进程注入
进程注入 是什么?
进程注入一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。
进程注入涵盖所有把攻击者代码植入到其他进程内存并使其执行的方法,使得相关行为看起来源自一个已签名或被预期出现的程序。常见变种包括 DLL 注入、反射式 DLL 加载、Process Hollowing、APC 队列注入、线程劫持和 AtomBombing。其目的通常是防御绕过、持久化、提权和凭据访问(例如读取 LSASS 内存)。MITRE ATT&CK 将其汇总为 T1055 并细分为多个子技术。检测依赖 EDR 的跨进程及内存写入遥测、内核回调、Sysmon Event 8/10、父子进程行为基线,以及 Credential Guard 和 Code Integrity 等保护。
● 示例
- 01
Process Hollowing:以挂起状态启动 notepad.exe,卸载其镜像,写入恶意载荷再恢复运行。
- 02
Beacon 从外部向 explorer.exe 进行 APC 注入,从而无需写入新文件即可维持存活。
● 常见问题
进程注入 是什么?
一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。 它属于网络安全的 攻击与威胁 分类。
进程注入 是什么意思?
一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。
进程注入 是如何工作的?
进程注入涵盖所有把攻击者代码植入到其他进程内存并使其执行的方法,使得相关行为看起来源自一个已签名或被预期出现的程序。常见变种包括 DLL 注入、反射式 DLL 加载、Process Hollowing、APC 队列注入、线程劫持和 AtomBombing。其目的通常是防御绕过、持久化、提权和凭据访问(例如读取 LSASS 内存)。MITRE ATT&CK 将其汇总为 T1055 并细分为多个子技术。检测依赖 EDR 的跨进程及内存写入遥测、内核回调、Sysmon Event 8/10、父子进程行为基线,以及 Credential Guard 和 Code Integrity 等保护。
如何防御 进程注入?
针对 进程注入 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- attacks№ 332
DLL 注入
一种代码注入技术,强制目标 Windows 进程加载并执行攻击者提供的动态链接库(DLL)。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- malware№ 649
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
● 参见
- № 1124Sysmon
- № 964沙箱逃逸
- № 331DLL 劫持
- № 610LD_PRELOAD 劫持