Ochrana proti hromadění procesů a Atom bombardování v systému Windows Defender ATp

Windows 10 Creators Aktualizace vylepšení zabezpečení zahrnují vylepšení v programu Advanced Defat Protection systému Windows Defender. Tato vylepšení by uživatelům chránila před hrozbami jako Kovter a Dridex Trojans, říká Microsoft. Explicitně, program Windows Defender ATP dokáže rozpoznat techniky vkládání kódu spojených s těmito hrozbami, jako například Splnění procesů a Atom bombardování . Tyto metody, které již byly použity mnoha dalšími hrozbami, umožňují malware infikovat počítače a zapojit se do různých opovržních aktivit a zároveň zůstat neuvěřitelní.

Procesní dutiny

Proces vytváření nové instance legitimního procesu a "vyfukování" je známý jako Process Hollowing. Jedná se v zásadě o techniku ​​kódování, ve které je Legitimní kód nahrazen kódem škodlivého softwaru. Jiné injekční techniky jednoduše přidávají škodlivý prvek do legitimního procesu, výsledkem je proces, který se zdá být legitimní, ale je primárně škodlivý.

Procesní dutiny používané společností Kovter

Společnost Microsoft řeší dutiny jako jeden z největších problémů. používá Kovter a různé další malware rodiny. Tato technika byla použita rodinami škodlivého softwaru v útoku bez souborů, kde malware zanechává zanedbatelné stopy na disku a ukládá a spouští kód pouze z paměti počítače.

Kovter, rodina trojských koní, že se sdružuje s rodinami ransomware jako je Locky. V loňském roce byl Kovter v listopadu nalezen zodpovědný za masivní špičku v nových variantách malwaru.

Kovter je dodáván hlavně prostřednictvím phishingových e-mailů, skrývá většinu svých škodlivých komponent pomocí klíče registru. Pak Kovter používá nativní aplikace k provedení kódu a provedení injekce. To dosáhne vytrvalosti přidáním zkratky (.lnk soubory) do spouštěcí složky nebo přidáním nových klíčů do registru.

Malware přidá dvě položky registru, aby měl soubor komponenty otevřený legitimním programem mshta.exe. Komponenta vytahuje zmatené užitečné zatížení z třetího klíče registru. Skript PowerShell se používá k provedení dalšího skriptu, který injektuje shell kód do cílového procesu. Kovter využívá proces dutiny pro vkládání škodlivého kódu do legitimních procesů prostřednictvím tohoto shell kódu.

Atom Bombing

Atom Bombing je další technika injekce kódu, kterou Microsoft tvrdí, že blokuje. Tato technika se spoléhá na malware, který obsahuje škodlivý kód uvnitř atomových tabulek. Tyto tabulky jsou tabulky sdílených pamětí, kde všechny aplikace ukládají informace o řetězcích, objektech a jiných typech dat, které vyžadují denní přístup. Atom Bombing využívá asynchronní volání procedur (APC) k načtení kódu a jeho vložení do paměti cílového procesu.

Dridex předčasný adopter atomového bombardování

Dridex je bankovní trojan, který byl poprvé spatřen v roce 2014 a byl jedním z nejčasnějších uživatelů bombardování atomů.

Dridex je většinou distribuován prostřednictvím spamových e-mailů, byl primárně určen k odcizení bankovních pověření a citlivých informací. Zablokuje také bezpečnostní produkty a poskytuje útočníkům vzdálený přístup k obětem počítačů. Tato hrozba zůstává skrytá a vytrvalá tím, že se vyhýbám běžným voláním API spojeným s technikami vstřikování kódu.

Když je Dridex spuštěn na počítači oběti, hledá cílový proces a zajistí, že uživatel32.dll je tímto procesem načten. Je to proto, že potřebuje knihovnu DLL pro přístup k požadovaným funkcím atomové tabulky. Potom malware zapíše svůj shell kód do globální atomové tabulky a dále přidá volání NtQueueApcThread pro GlobalGetAtomNameW do fronty APC cílové podprocesu procesu, aby jej přinutila kopírovat škodlivý kód do paměti.

John Lundgren, výzkumný tým Windows Defender ATP, říká:

"Kovter a Dridex jsou příklady prominentních rodin malwaru, které se vyvíjely, aby se vyhnuly detekci pomocí technik injekčního kódu. Nevyhnutelně budou existující a nové pokročilé techniky využívat procesné dutiny, bombardování atomů a další pokročilé techniky, "dodává." Windows Defender ATP také poskytuje podrobné časové harmonogramy událostí a další kontextové informace, které týmy SecOps mohou využít k pochopení útoků a rychlé reakci. Vylepšená funkčnost systému Windows Defender ATP jim umožňuje izolovat poškozený počítač a chránit zbytek sítě. "

Microsoft je konečně viděn řešit problémy s injekčním kódem, doufám, že nakonec uvidíme, že společnost přidá tento vývoj ke svobodné verzi systému Windows Defender.