Новая техника инъекций Mockingjay не обнаруживается EDR

Новая техника инъекции процессов, которая получила название Mockingjay, позволяет хакерам успешно обходить EDR и другие ИБ-решения. В результате они получают возможность исполнять вредоносный код в скомпрометированных системах, что остается незамеченным владельцем.

Метод обнаружили исследователи из Security Joes. Он использует легальные библиотеки динамической компоновки DLL с разделами RWX, чтобы избежать проверок инструментом EDR. А после внедряет код в удаленные процессы.

Аналитики Security Joes выявили пораженную библиотеку DLL msys-2.0.dll внутри сообщества Visual Studio 2022. Ее раздел RWX по умолчанию имеет объем 16 Кб. Используя этот раздел, исследователи также смогли воспользоваться преимуществом присущей ему защиты. Этот факт создает надежную среду для выполнения инъекции.

Далее исследователи применили два метода: самоинъекции и удаленной инъекции. В первом случае они использовали приложение nightmare.exe и загрузили его напрямую в память при помощи двух вызовов Windows API. Во втором случае использовали эксплойт раздела TWX для выполнения инъекции в удаленные процессы.