Process Injection “Mockingjay”: RWX İstemeden (Runtime’da RWX Açmadan) Kod Çalıştırma Risk Sınıfı

0 Replies 1 Views
·

Leave a rating: Process Injection “Mockingjay”: RWX İstemeden (Runtime’da RWX Açmadan) Kod Çalıştırma Risk Sınıfı

You have already rated this thread. Re-rating it will remove your existing rating or review.

Rating:

Raters: Process Injection “Mockingjay”: RWX İstemeden (Runtime’da RWX Açmadan) Kod Çalıştırma Risk Sınıfı

Participants
Thread Starter #0
(Defansif İnceleme – VIP)


1) Kapsam ve Yasal Not


Bu içerik yalnızca kendi sistemlerinizde ve izinli güvenlik doğrulamalarında; tespit, sertleştirme ve risk azaltma amacıyla kullanılmalıdır.




2) Mockingjay Nedir? (Savunma Perspektifi)


Mockingjay, Security Joes tarafından kamuya açıklanan bir process injection yaklaşımıdır. Temel fikir: hedef süreçte “yeni RWX bellek ayırmak” veya “runtime’da sayfa izinlerini RWX’e çevirmek” gibi EDR’nin sık izlediği desenlere daha az ihtiyaç duymak için zaten RWX olarak işaretlenmiş bir modül section’ını kötüye kullanmaktır. Security Joes+1


MITRE ATT&CK, process injection’ı (T1055) “başka bir canlı sürecin adres alanında kod yürütme” olarak tanımlar; bu sınıf savunma kaçınma ve ayrıcalık etkileri doğurabilir. MITRE ATT&CK+1




3) “RWX İzinleri Olmadan” Ne Demek? (Netleştirme)


Bu ifade çoğu yerde şu anlamda kullanılıyor:


  • Runtime’da “RWX açma” (yeni RWX bellek oluşturma / RW→RWX gibi izin değişimi) gibi görünmeden
  • Zaten RWX olan (yanlış/gevşek işaretlenmiş) bir section üzerinde yürütme zemini bulmak

Yani pratikte “ortada RWX yok” değil; RWX’i yaratmadan, var olan RWX’i istismar etmek söz konusu. Security Joes’un yaklaşımı da “varsayılan RWX section’ı olan DLL’ler” üzerinden bunu anlatıyor. Security Joes+1




4) Savunmacı İçin Risk Neden Büyük?


Çünkü birçok EDR kuralı, klasik injection zincirlerinde görülen “belirgin” adımlara (yeni bellek + izin değişimi + yürütme tetiklemesi) aşırı ağırlık verir. Mockingjay tarzı, bu görünür adımları azaltabildiği için telemetri kör noktası yaratabilir. Dark Reading ve diğer güvenlik haber/analizleri, tekniğin “EDR’nin izlediği API desenlerine daha az bağlı” olmasını bu bağlamda vurgular. Dark Reading+1




5) Nerede Doğar? (En Yaygın “Kırmızı Bayrak”)


5.1 RWX Section’lı Modüller


Bir DLL/EXE’nin bazı section’larının RWX olması çoğu modern yazılım için gereksiz ve risklidir (özellikle dağıtık ürünlerde/SDK’larda).


Kırmızı bayrak:


  • Kurumsal imajda yaygın kurulu yazılımların içinde RWX section barındıran modüller
  • Geliştirici araçları / bundle edilen runtime’lar ile gelen “gevşek” modüller

Security Joes, araştırmalarında RWX section içeren modülleri hedefleyip bu zemini kullandığını açıkça anlatır. Security Joes


5.2 “İmaj Tabanlı” Sayfalara Yazma


Bir modül belleğe yüklendikten sonra, normalde kod section’ı (image-backed) sürekli yazılan bir yer değildir. Bu tür anormallikler savunma açısından çok kıymetlidir.




6) Tespit (Detection): SOC / Blue Team İçin Yüksek Sinyal Yaklaşımlar


Aşağıdakiler “tek başına imza” değil; korelasyon ile güçlü hale gelir.


6.1 RWX Section Envanteri (Kurumsal Baseline)


  • Endpoint’lerde yüklü modüller arasında RWX section barındıranları envanterle
  • “Yeni gelen” RWX section’lı modül artışını alarm yap

Bu, Mockingjay benzeri zemini kaynağında görmenizi sağlar. (Tekniğin RWX section’a dayanması: Security Joes+1)


6.2 Image-backed Belleğe Yazma Anomalileri


  • Yürütülebilir modüllerin (image mapped) belirli alanlarına beklenmeyen yazma davranışı
  • Aynı süreçte kısa süre içinde “alışılmadık bellek değişimi” kümeleri

6.3 Process Injection Genel Telemetrisiyle Korelasyon


  • Şüpheli süreç-ağacı (parent/child) + olağandışı handle erişimleri + bellek anomalleri
  • “Klasik RWX allocation yok ama davranış var” durumlarını özellikle triage edin

MITRE T1055, bu tekniğin savunma kaçınma bağlamında nasıl kullanıldığını çerçeveler. MITRE ATT&CK+1




7) Önleme (Mitigation): Zemini Kapat, Etkiyi Düşür


7.1 RWX Section’ları “Politika İhlali” Say


  • Build pipeline’da RWX section üreten derleme/link ayarlarını engelle
  • 3rd-party DLL/SDK tedarikinde “RWX section yok” kontrolünü kalite kapısı yap
  • Kurumsal uygulama allowlist’inde RWX section’lı modülleri ekstra incelemeye al

7.2 Attack Surface Reduction


  • Uygulama kontrolü (allowlisting), imza politikaları, güvenilir yayıncı sınırları
  • “Geliştirici araçları” gibi geniş yetkili bileşenlerin prod/kurumsal uçlarda sınırlandırılması

7.3 EDR Ayarları: “Sadece RWX Allocation”a Bağlanma


  • Kurallarınızı “RWX bellek ayırma” dışına taşıyın:

    • image-backed page write anomalisi
    • beklenmedik modül davranışı
    • süreçler arası etkileşim korelasyonu

https://www.securityjoes.com/post/process-mockingj…
https://www.darkreading.com/application-security/m…
https://attack.mitre.org/techniques/T1055/
https://www.scworld.com/brief/edr-bypass-possible-…
https://thehackernews.com/2023/06/new-mockingjay-p…

You must be logged in to reply.

0 quotes selected