Grazie al lavoro di alcuni ricercatori di Security Joes è stata individuata una nuova tecnica di code injection denominata Mockingjay.
Gli stessi autori della scoperta (Thiago Peixoto, Felipe Duarte e Ido Nao), in un rapporto condiviso con The Hacker News, hanno descritto questa nuova strategia come unica nel suo genere.
La stessa, infatti, prevede l’utilizzo di un file DLL vulnerabile e la copia di un codice all’interno dello stesso. D’altro canto, questo metodo di attacco non è di certo una novità nell’ambito della sicurezza informatica.
Nella maggior parte dei casi, inclusa la tecnica Mockingjay, vengono presi di mira proprio i file DLL (Dynamic Link Library) passando attraverso l’esecuzione delle API di Windows. A rendere questo sistema molto pericoloso, però, è la sua impressionante capacità elusiva.
Mockingjay bypassa la maggior parte di difese: ecco come funziona questa tecnica
A distinguere Mockingjay dai sistemi di injection più diffusi, vi è il fatto che non necessità del passaggio attraverso le API di Windows, di solito monitorate da antivirus e sistemi simili.
Con questo sistema, infatti, viene infece sfruttato il file msys-2.0.dll che, per le sue caratteristiche, risulta ideale per un attacco injection (offrendo 16KB di spazio a disposizione dell’agente malevolo).
Secondo i ricercatori “L’unicità di questa tecnica risiede nel fatto che non è necessario allocare memoria, impostare autorizzazioni o creare un nuovo thread all’interno del processo di destinazione per avviare l’esecuzione del codice iniettato” aggiungendo poi “Questa differenziazione distingue la strategia da altre tecniche esistenti e rende difficile per i sistemi Endpoint Detection and Response (EDR) rilevare tale attività“.
Il risultato è che, allo stato attuale, Mockingjay può mettere in difficoltà buona parte degli antivirus sul mercato.
A tal proposito, per evitare potenziali criticità, è consigliabile affidarsi a suite di sicurezza di comprovato valore e mantenere aggiornato qualunque tipo di software presente sul computer in uso.