Prosessinpuristus- ja Atom-pommitus suojaus Windows Defender ATp

Windows 10 Creators Päivityksen tietoturvaominaisuuksiin sisältyy parannuksia Windows Defender Advanced Threat Protection -ohjelmassa. Näiden parannusten avulla käyttäjät voivat suojata uhkia, kuten Kovter ja Dridex-troijalaisia, sanoo Microsoft. Selkeästi, että Windows Defender ATP pystyy havaitsemaan näihin uhkiin liittyvät koodinpuristusmenetelmät, kuten Prosessipurkaus ja Atom Bombing . Useat muut uhkat käyttävät näitä menetelmiä, joiden avulla haittaohjelmat voivat tartuttaa tietokoneita ja harjoittaa monenlaisia ​​halveksittavia toimintoja samalla, kun ne jäävät salamyhkäisiksi.

Prosessiaukko

Prosessi, jossa kutsuvat uusi ilmentymä oikeutetusta prosessista ja "hollowing it out" tunnetaan prosessin putoamisena. Tämä on periaatteessa koodinpistomenetelmä, jossa laillista koodia korvataan haittaohjelman avulla. Muut injektointitekniikat yksinkertaisesti lisäävät haitallisen ominaisuuden lailliseen prosessiin, jolloin koverrusta seuraa prosessi, joka näyttää oikeutetulta, mutta joka on ensisijaisesti haitallista.

Kovterin käyttämät prosessihöyrytutkimukset

Microsoft käsittelee prosessin kasaamista yhtenä suurimmista ongelmista. joita Kovter ja monet muut haittaohjelmat käyttävät. Tätä tekniikkaa ovat käyttäneet haittaohjelmat perheissä tiedostojen ulkopuolisissa hyökkäyksissä, joissa haittaohjelmat jättävät levylle vähäisiä jalanjälkiä ja tallentavat ja suorittavat koodin vain tietokoneen muistista.

Kovter, joka on juuri viime aikoina ollut havaittiin liittyvän ransomware-perheiden, kuten Lockyn. Viime vuonna marraskuussa Kovter havaittiin vastuuseen massiivisesta piikistä uusista haittaohjelmien vaihtoehdoista.

Kovter toimitetaan pääasiassa phishing-sähköpostin välityksellä, se kätkee suurimman osan sen haitallisista osista rekisteriavainten avulla. Sitten Kovter käyttää natiivisovelluksia koodin suorittamiseen ja ruiskutuksen suorittamiseen. Se saa jatkuvuutta lisäämällä pikakuvakkeita (.lnk-tiedostoja) käynnistyskansioon tai lisäämällä rekisteriin uusia avaimia.

Haittaohjelmat lisäävät kaksi rekisterimerkintää, jotta sen mshta.exe-laillisen ohjelman avaama osatiedosto avataan. Komponentti poistaa kolmannen rekisteriavaimen hämärän hyötykuorman. PowerShell-komentosarjaa käytetään ylimääräisen komentosarjan suorittamiseen, joka injektoi shell-koodin kohdeprosessiin.

Atom Bombing

Atom Bombing on toinen kooditekniikka, jota Microsoft väittää estävän. Tämä tekniikka perustuu haittaohjelmiin, jotka tallentavat haitallisia koodeja atomitaulukoihin. Nämä taulukot ovat jaettuja muistitaulukoita, joissa kaikki sovellus tallentaa informaation jonoihin, esineisiin ja muihin datatietoihin, jotka edellyttävät päivittäistä käyttöä. Atom Bombing käyttää asynkronisia menettelytapoja (APC) hakemaan koodin ja lisää sen kohdeprosessin muistiin.

Dridex on atomipommin varhaisinsovittelija

Dridex on pankkitoimintaan liittyvä troijalainen, joka havaittiin ensimmäisen kerran vuonna 2014 ja on ollut yksi atomipommituksen aikaisimmista käyttöönottajista.

Dridex jakautuu useimmiten roskapostiviestien välityksellä, sillä se on ensisijaisesti suunniteltu varastamaan pankkivaltuutuksia ja arkaluonteisia tietoja. Se myös poistaa suojaustuotteet käytöstä ja tarjoaa hyökkääjille etäkäytön uhkakoneisiin. Uhka on piilotettu ja tylsiä, kun vältetään koodin injektointitekniikoihin liittyvät yhteiset API-puhelut.

Kun Dridex suoritetaan uhrin tietokoneella, se etsii kohdeprosessia ja varmistaa, että tämä prosessi lataa user32.dll. Tämä johtuu siitä, että DLL tarvitsee tarvittavat atomin taulukkotoiminnot. Seuraavaksi haittaohjelma kirjoittaa sen shellcodea globaaliin atomitaulukkoon, lisäksi se lisää NtQueueApcThread-kutsut GlobalGetAtomNameW: lle kohdeprosessiketjun APC-jonoon pakottaakseen sen kopioimaan haitallisen koodin muistiin.

John Lundgren, Windows Defenderin ATP-tutkimusryhmä, sanoo, että

"Kovter ja Dridex ovat esimerkkejä tunnetuista haittaohjelmista, jotka ovat kehittyneet välttääkseen tunnistusta koodinpidätekniikoilla. Vanhoja ja uusia haittaohjelmia käyttävät olemassaolevat ja uudet haittaohjelmat käyttävät epäilemättä prosessointia, atomipommituksia ja muita kehittyneitä tekniikoita ", hän lisää." Windows Defender ATP tarjoaa myös yksityiskohtaisia ​​tapahtumien aikajaksoja ja muita asiayhteystietoja, joita SecOps-ryhmät voivat käyttää hyökkäysten ymmärtämiseen ja nopeaan reagointiin. Windows Defender ATP: n parannetut toiminnot mahdollistavat sen, että ne voivat eristää uhkakoneen ja suojata muun verkon. "

Microsoft vihdoin näkee koodin injektiokysymyksiä käsittelevän ongelman, toivoa lopulta nähtäväksi, että yritys lisää nämä kehitykset Windowsin vapaaseen versioon puolustaja.