beebright - stock.adobe.com
Process Injection: Die Bedrohung erkennen und abwehren
Die Angriffsmethode Process Injection dient Angreifern dazu, sich vor den Security-Lösungen von Firmen zu verstecken. Wie funktioniert diese Bedrohung und wie entschärft man sie?
Process Injection ist eine Technik, mit der bösartiger Code in laufende Prozesse eingeschleust wird. Da sich die Methode den Erkennungstechniken entzieht, führen eigentlich harmlose Prozesse den injizierten bösartigen Code aus und infizieren so unwissentlich die Systeme. Die Prozessinjektion ist eine Art der Ausführung von beliebigem Code und ermöglicht es Angreifern, Systeme zu infiltrieren, auf Netzwerke und Ressourcen zuzugreifen und möglicherweise ihre Privilegien zu erhöhen.
Grund genug einmal näher zu betrachten, wie ein Angriff mit Prozessinjektion funktioniert, welche spezielle Techniken es gibt und wie man Angriffe mit Prozessinjektion verhindern kann.
Was ist Process Injection?
Cyberangriffe lassen sich im Allgemeinen in zwei Phasen unterteilen. Erstens dringen die Angreifer über die Außengrenzen, den Perimeter, eines Unternehmens ein. Dazu gehören Techniken wie Phishing, das Erraten von Passwörtern und das Ausnutzen veralteter oder anfälliger Software. In der zweiten Phase eines Angriffs bewegen sich die Angreifer innerhalb des Netzwerks des Zielunternehmens, um ihre Privilegien zu erweitern und sensible Daten zu stehlen oder zu verschlüsseln.
In dieser zweiten Phase eines Angriffs sind die Bedrohungsakteure oft mit den Erkennungs- und Reaktionssystemen von Unternehmen konfrontiert. Sie müssen daher eine Reihe von Techniken anwenden, wie zum Beispiel Prozessinjektion, um eine Entdeckung zu vermeiden.
Process Injection ist, wie bereits erwähnt, eine Technik zur Umgehung der Verteidigung. Angreifer nutzen sie, um die Ausführung von Schadcode im Adressraum eines legitimen Prozesses zu verstecken. Da er in einem legitimen Programm versteckt ist, ist der bösartige Code schwer zu erkennen. Process Injection beruht auf den Privilegien des legitimen Prozesses oder Programms, in das der bösartige Code eingeschleust wird. Diese legitimen Prozesse oder Programme stehen oft auf der Erlaubnisliste und werden daher nicht weiter untersucht. Process Injections entziehen sich auch der Erkennung durch Antiviren-, Anwendungskontroll- oder EDR-Systeme (Endpoint Detection and Response), die im Netzwerk laufen, da die infizierten Prozesse als legitim angesehen werden.
Angreifer haben es in der Regel auf Prozesse abgesehen, die von Windows rechtmäßig benötigt werden und auf jedem System ausgeführt werden, wie zum Beispiel svchost.exe, ein gemeinsam genutzter Dienstprozess, oder rundll32.exe, eine Binärdatei zum Laden von DLLs (Dynamic Link Libraries). Diese Prozesse haben in der Regel eine höhere Berechtigungsstufe als ein normaler Benutzer auf einem Notebook, so dass Angreifer sie angreifen, um die vollständige Kontrolle über das Gerät zu erlangen. Ausgefeilte Angriffe können bösartigen Code in mehrere laufende Prozesse einschleusen, um Module zu segmentieren und sich weiter zu verschleiern.
Process Injection betrifft jedes Betriebssystem, einschließlich Linux, Windows und macOS. Die Angriffe lassen sich in eine Reihe verschiedener Untertechniken aufteilen. Das Mitre ATT&CK-Framework hebt die folgenden Process-Injection-Techniken hervor:
- DLL Injection
- Injection von portablen ausführbaren Dateien
- Hijacking der Thread-Ausführung
- ptrace-Systemaufrufe
- Proc-Memory
- Injection von Extra Window Memory
- Process Hollowing
- Process Doppelgänging
- Virtual Dynamic Shared Object Hijacking
- Listplanting
Unabhängig von der Technik ist das Endergebnis dasselbe: Das System ist kompromittiert, der Angriff wurde nicht erkannt, und das betroffene Unternehmen kann den betroffenen Computer nicht isolieren, um zu verhindern, dass Angreifer weiteren Zugang zum Netzwerk erhalten.
Wie man die Prozessinjektion verhindert oder abschwächt
Der Schlüssel zur Eindämmung der Prozessinjektion liegt in der Prävention und Erkennung in der ersten Phase eines Angriffs. Sobald Angreifer die zweite Angriffsphase erreicht haben - die Injektion von Prozessen mit bösartigem Code -, haben sie sich bereits Zugang zum Netzwerk verschafft. Um Angreifer daran zu hindern, erfolgreich in das Netzwerk einzudringen, sollten Sie die folgenden Schutzmaßnahmen ergreifen:
- Firewalls
- Zugriffskontrolle
- Antimalware-Software
- SIEM-Werkzeuge
- Intrusion-Prevention-Systeme
Aufgrund der Art und Vielfalt von Process-Injection-Angriffen gibt es keinen einheitlichen Präventionsansatz, der für alle passt. Mitre empfiehlt die Verwendung von Endpunktsicherheitsprodukten, die gängige Prozessinjektionsverfahren blockieren. Die Verwaltung privilegierter Zugriffsrechte kann auch einschränken, auf welche Prozesse zugegriffen werden kann und somit Code injiziert werden kann.
Sobald die Prozessinjektion stattgefunden hat, haben die Erkennung, Eindämmung und Isolierung der Bedrohung Priorität. Obwohl die Prozessinjektion so konzipiert ist, dass sie sich der Erkennung entzieht, erzeugt sie eine Spur in den Systemprotokollen, die von MDR-Tools (Managed Detection and Response) und anderen Sicherheitssystemen entdeckt werden kann.
Process Injection ist nur eine Technik, mit der Angreifer die Erkennung umgehen. Korrelieren Sie die Ereignisaktivität in Ihrem SIEM, MDR und anderen Tools und Diensten, um Anomalien und andere Anzeichen für ein Eindringen zu erkennen.
