Детект process injection на Linux через process_vm_writev
Process injection — не только Windows-сценарий. На Linux межпроцессная запись в память через process_vm_writev может использоваться для подмены поведения других процессов.
Как атакуют через process_vm_writev
Типичная схема:
- злоумышленник получает выполнение кода в одном процессе;
- записывает payload или данные в память целевого процесса;
- меняет поведение цели для stealth/persistence/кражи данных.
Так как активность происходит в памяти, file-based защита часто видит её хуже.
Почему это опасно
Инжект в процесс позволяет:
- выполнять код “под маской” доверенного процесса;
- красть чувствительные данные из долгоживущих сервисов;
- обходить защиту за счёт скрытности.
В итоге — меньше явных индикаторов и более высокий потенциальный ущерб.
Что важно детектить
Практичный детект включает:
- вызовы
process_vm_writev, гдеsource PID != target PID; - нетипичные пары источник/цель;
- повторяющиеся попытки записи в коротком окне.
Встроенное правило SecureExec process_injection уже ловит этот ключевой high-signal паттерн.
Почему важна связанная история
Одного алерта недостаточно. Для расследования нужен контекст цепочки. SecureExec хранит:
- метаданные алерта и severity;
- связанные сырые события;
- идентификаторы процессов и таймлайн в Elasticsearch.
Это помогает быстро восстановить картину: кто, в кого, когда и что происходило дальше.
Ловите in-memory атаки до масштабирования ущерба
In-memory техники развиваются быстро и скрытно. Добавьте в защиту Linux детерминированные сигналы, realtime-алерты и историю для расследований.
Используйте SecureExec, чтобы детектить подозрительное process_vm_writev-поведение и ускорять incident response.