นักวิจัยจาก Security Joes บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานการพบเทคนิคการโจมตีแบบ Process Injection รูปแบบใหม่ในชื่อ “Mockingjay” ที่ใช้ในการหลีกเลี่ยงการตรวจจับของ EDR (Endpoint Detection and Response) รวมถึงผลิตภัณฑ์รักษาความปลอดภัยอื่น ๆ เพื่อเรียกใช้คำสั่งอันตรายบนระบบเป้าหมาย

โดยเทคนิคการโจมตี Mockingjay จะใช้ DLL ที่ได้รับการรับรอง พร้อมกับสิทธิ์ RWX (read, write, execute) ในการหลีกเลี่ยง EDR hooks และแทรกคำสั่งอันตรายจากระยะไกล

Process injection เป็นวิธีการเรียกใช้คำสั่งจากใน Process ที่กำลังทำงานอยู่ในระบบ ซึ่งเป็นระบบที่ได้รับการเชื่อใจจากระบบ (trusted by the operating system) จึงทำให้ Hacker สามารถเรียกใช้งานคำสั่งอันตรายโดยไม่ถูกตรวจจับได้ ตัวอย่างของเทคนิคการโจมตีนี้ได้แก่ DLL injection, PE (portable executable) injection, reflective DLL injection, thread execution hijacking, process hollowing, mapping injection, APC (asynchronous procedure call) injection และอื่น ๆ

เทคนิคการโจมตี Mockingjay

Security Joes ได้ทำการวิจัยเพื่อค้นหา DLL ที่มีช่องโหว่พร้อมกับสิทธิ์ RWX เริ่มต้น เพื่อให้สามารถแก้ไขเนื้อหา และดาวน์โหลดคำสั่งอันตรายโดยไม่ต้องดำเนินการขอสิทธิ์เพิ่มเติม

ซึ่งนักวิจัยพบ DLL อันตรายจาก DLL msys-2.0.dll ภายใน Visual Studio 2022 Community ซึ่งมีสิทธิ์ RWX เริ่มต้นที่มีขนาด 16 KB

โดยการใช้ประโยชน์จากส่วน RWX ที่มีอยู่แล้วนี้ ทำให้สามารถป้องกันหน่วยความจำในตัว และหลีกเลี่ยงการตรวจสอบของ EDR รวมถึงเพิ่มประสิทธิภาพในการโจมตีแบบ injection

ซึ่งทางทีม Security Joes ได้ทำการพัฒนากระบวนการโจมตีแบบ injection 2 วิธี คือ self-injection และ remote process injection

self-injection ทดลองโดยการใช้ custom application ("nightmare.