新型 Mockingjay 进程注入技术突破 EDR 检测

关键要点

• Mockingjay 是一种新型的进程注入技术，能够通过合法的动态链接库和特定的内存操作来规避终端检测与响应系统（EDR）的监测。
• 该技术利用存在的 RWX 区域进行恶意代码加载，无需额外权限。
• 研究人员开发了自注入和远程进程注入的方法，以增强攻击的成功率。

最近，BleepingComputer 报道，威胁行为者可以利用新出现的 Mockingjay进程注入技术来部署，而不被终端检测和响应系统（EDR）发现。根据 Security Joes 的报告，Mockingjay结合了合法的动态链接库和对内存的读取、写入及执行操作，以绕过 EDR 钩子实现恶意代码注入，这与需要 Windows API或其他系统调用以及特殊权限的其他进程注入技术不同。

研究人员通过使用一个存在漏洞的 DLL 和一个默认的 RWX 区域来开发这种新型的进程注入方法。这一 RWX区域经过修改，允许在不需要更多权限的情况下加载恶意代码。他们表示：“通过利用这个预先存在的 RWX区域，我们能够利用它所提供的内存保护，从而有效地绕过可能已经被 EDR钩住的任何功能。这一方法不仅避免了用户态钩子所施加的限制，还为我们的注入技术建立了一个稳健而可靠的环境。”

这一新技术的出现，表明了攻击者在规避安全系统方面的不断进化，同时也提醒我们在网络安全防护上的重要性。