最近,BleepingComputer 报道,威胁行为者可以利用新出现的 Mockingjay 进程注入技术来部署恶意软件,而不被终端检测和响应系统EDR发现。根据 Security Joes 的报告,Mockingjay 结合了合法的动态链接库和对内存的读取、写入及执行操作,以绕过 EDR 钩子实现恶意代码注入,这与需要 Windows API 或其他系统调用以及特殊权限的其他进程注入技术不同。
研究人员通过使用一个存在漏洞的 DLL 和一个默认的 RWX 区域来开发这种新型的进程注入方法。这一 RWX 区域经过修改,允许在不需要更多权限的情况下加载恶意代码。他们表示:“通过利用这个预先存在的 RWX 区域,我们能够利用它所提供的内存保护,从而有效地绕过可能已经被 EDR 钩住的任何功能。这一方法不仅避免了用户态钩子所施加的限制,还为我们的注入技术建立了一个稳健而可靠的环境。”
这一新技术的出现,表明了攻击者在规避安全系统方面的不断进化,同时也提醒我们在网络安全防护上的重要性。
