Защита от пробивания и защиты от взлома процессора в Windows Defender ATp

Создатели Windows 10 Обновления для повышения безопасности включают улучшения в Windows Defender Advanced Threat Protection. Эти улучшения будут защищать пользователей от угроз, таких как трояны Kovter и Dridex, сообщает Microsoft. Очевидно, что Windows Defender ATP может обнаруживать методы инъекции кода, связанные с этими угрозами, такие как Process Hollowing и Atom Bombing . Эти методы позволяют использовать вредоносное ПО для заражения компьютеров и заниматься различными презренными действиями, оставаясь скрытыми.

Process Hollowing

Процесс создания нового экземпляра законного процесса и «выведения его из строя», известен как процесс выдолбления. Это, в основном, метод ввода кода, в котором законченный код заменяется кодом Legitimate. Другие методы инъекций просто добавляют вредоносную функцию в законный процесс, опуская результаты в процесс, который кажется легитимным, но в первую очередь вредоносным.

Обработка процесса, используемая Kovter

Microsoft устраняет проблему, как одну из самых больших проблем, используемые Kovter и различными другими семействами вредоносных программ. Этот метод был использован семействами вредоносных программ в бездействующих атаках, где вредоносное ПО оставляет незначительные следы на диске и сохраняет и выполняет код только из памяти компьютера.

Kovter, семейство мошенников с мошенничеством, которые недавно были наблюдал за тем, чтобы ассоциироваться с семействами выкупленных, такими как Локки. В прошлом году в ноябре Kovter был признан ответственным за массивный всплеск новых вариантов вредоносных программ.

Kovter поставляется в основном через фишинговые электронные письма, он скрывает большинство своих вредоносных компонентов через ключи реестра. Затем Kovter использует собственные приложения для выполнения кода и выполнения инъекции. Это обеспечивает постоянство, добавляя ярлыки (.lnk-файлы) в папку автозагрузки или добавляя новые ключи в реестр.

Две записи реестра добавляются вредоносным ПО, чтобы его файл-компонент был открыт законной программой mshta.exe. Компонент извлекает обфускацию полезной нагрузки из третьего раздела реестра. Сценарий PowerShell используется для выполнения дополнительного скрипта, который вводит шелл-код в целевой процесс. Kovter использует полый процесс, чтобы внедрить вредоносный код в законные процессы через этот шеллкод.

Atom Bombing

Atom Bombing - еще один метод ввода кода, который Microsoft требует блокировать. Этот метод использует вредоносное ПО, хранящее вредоносный код внутри таблиц атомов. Эти таблицы представляют собой таблицы общей памяти, в которых все приложения хранят информацию о строках, объектах и ​​других типах данных, которые требуют ежедневного доступа. Atom Bombing использует асинхронные вызовы процедур (APC) для извлечения кода и вставки его в память целевого процесса.

Dridex - раннее применение атомной бомбардировки

Dridex - это банковский троян, который был впервые обнаружен в 2014 году и был одним из первых усыновителей атомной бомбардировки.

Dridex в основном распространяется по электронной почте с помощью спама, он в первую очередь предназначен для кражи банковских учетных данных и конфиденциальной информации. Он также отключает продукты безопасности и предоставляет злоумышленникам удаленный доступ к компьютерам-жертвам. Угроза остается скрытой и упрямой, избегая общих вызовов API, связанных с методами впрыска кода.

Когда Dridex выполняется на компьютере жертвы, он ищет целевой процесс и обеспечивает загрузку user32.dll этим процессом. Это связано с тем, что ему нужна DLL для доступа к требуемым функциям таблицы атомов. После этого вредоносная программа записывает свой шеллкод в таблицу глобальных атомов, а затем добавляет вызовы NtQueueApcThread для GlobalGetAtomNameW в очередь APC целевого потока процессов, чтобы заставить его скопировать вредоносный код в память.

Джон Лундгрен (John Lundgren), исследовательская группа Windows Defender ATP Research, говорит:

«Kovter и Dridex - примеры известных семейств вредоносных программ, которые эволюционировали, чтобы избежать обнаружения с использованием методов инъекции кода. Неизбежно, технологические пустоты, атомные бомбардировки и другие передовые методы будут использоваться существующими и новыми семействами вредоносных программ », - добавляет он.« Защитник Windows ATP также предоставляет подробные временные рамки событий и другую контекстуальную информацию, которую команды SecOps могут использовать для понимания атак и быстрого реагирования. Улучшенная функциональность в Windows Defender ATP позволяет им изолировать машину-жертву и защитить остальную сеть ».

Наконец, Microsoft увидела проблемы с вводом кода, надеюсь, что в конечном итоге компания добавит эти разработки в бесплатную версию Windows Defender.