Entry № 969
进程注入
进程注入 是什么?
进程注入一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。
进程注入涵盖所有把攻击者代码植入到其他进程内存并使其执行的方法,使得相关行为看起来源自一个已签名或被预期出现的程序。常见变种包括 DLL 注入、反射式 DLL 加载、Process Hollowing、APC 队列注入、线程劫持和 AtomBombing。其目的通常是防御绕过、持久化、提权和凭据访问(例如读取 LSASS 内存)。MITRE ATT&CK 将其汇总为 T1055 并细分为多个子技术。检测依赖 EDR 的跨进程及内存写入遥测、内核回调、Sysmon Event 8/10、父子进程行为基线,以及 Credential Guard 和 Code Integrity 等保护。
● 示例
- 01
Process Hollowing:以挂起状态启动 notepad.exe,卸载其镜像,写入恶意载荷再恢复运行。
- 02
Beacon 从外部向 explorer.exe 进行 APC 注入,从而无需写入新文件即可维持存活。
● 常见问题
进程注入 是什么?
一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。 它属于网络安全的 攻击与威胁 分类。
进程注入 是什么意思?
一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。
如何防御 进程注入?
针对 进程注入 的防御通常结合技术控制与运营实践,详见上方完整定义。