Proceshul- og atombombehandlingsbeskyttelse i Windows Defender ATp

Windows 10 Creators Opdater sikkerhedsforbedringer omfatter forbedringer i Windows Defender Advanced Threat Protection. Disse forbedringer ville holde brugerne beskyttet mod trusler som Kovter og Dridex Trojans, siger Microsoft. Det er klart, at Windows Defender ATP kan registrere kodeinjektionsteknikker forbundet med disse trusler, som f.eks. Process Hollowing og Atom Bombing . Disse metoder tillader allerede malware at inficere computerne og engagere sig i forskellige foragtelige aktiviteter, mens de forbliver stygge.

Process Hollowing

Processen til at gyde en ny instans af en legitim proces og "udhule det" er kendt som Process Hollowing. Dette er dybest set en kodeinjektionsteknik, hvor den legitime kode erstattes af malware. Andre indsprøjtningsteknikker tilføjer simpelthen en skadelig funktion til den legitime proces, idet hollowing resulterer i en proces, der forekommer legitim, men primært er ondsindet.

Process Hollowing brugt af Kovter

Microsoft adresser processen hollowing som et af de største problemer, det er brugt af Kovter og forskellige andre malware familier. Denne teknik er blevet brugt af malwarefamilier i filløse angreb, hvor malware overlader ubetydelige fodaftryk på disken og gemmer og udfører kun kode fra computerens hukommelse.

Kovter, en familie af kliksvind-trojere, der for nylig er blevet observeret at forbinde med ransomware familier som Locky. Sidste år, i november Kovter, blev fundet ansvarlig for en massiv stigning i nye malwarevarianter.

Kovter leveres primært via phishing-emails, det gemmer de fleste af dets ondsindede komponenter via registreringsnøgler. Så bruger Kovter native applikationer til at udføre koden og udføre injektionen. Det opnår vedholdenhed ved at tilføje genveje (.lnk-filer) til startmappen eller tilføje nye nøgler til registreringsdatabasen.

To registreringsposter indsættes af malware`en for at få sin komponentfil åbnet af det legitime program mshta.exe. Komponenten ekstraherer en obfuscated nyttelast fra en tredje registreringsnøgle. Et PowerShell-script bruges til at udføre et ekstra script, der injicerer shellcode i en målproces. Kovter bruger proceshollowing til at injicere ondsindet kode til legitime processer gennem denne shellcode.

Atom Bombing er en anden kodeinjektionsteknik, som Microsoft hævder at blokere. Denne teknik er afhængig af malware, der lagrer ondsindet kode inde i atomtabeller. Disse tabeller er delte hukommelsestabeller, hvor alle programmer gemmer oplysningerne om strenge, objekter og andre typer data, som kræver daglig adgang. Atom Bombing anvender asynkrone procedureopkald (APC) for at hente koden og indsætte den i hukommelsen af ​​målprocessen.

Dridex en tidlig adopter af atombombningen

Dridex er en banktrojan, der først blev opdaget i 2014 og har været en af ​​de tidligste adoptere af atombombning.

Dridex distribueres for det meste via spam e-mails. Det var primært designet til at stjæle bankoplysninger og følsomme oplysninger. Det deaktiverer også sikkerhedsprodukter og giver angriberne fjernadgang til offerets computere. Truslen forbliver surreptitiv og stædig ved at undgå fælles API-opkald i forbindelse med kodeindsprøjtningsteknikker.

Når Dridex udføres på offerets computer, ser det efter en målproces og sikrer user32.dll er indlæst af denne proces. Dette skyldes, at den har brug for DLl`en til at få adgang til de nødvendige atombordfunktioner. Herefter skriver malware sin shellcode til den globale atombord, og den tilføjer yderligere NtQueueApcThread-opkald til GlobalGetAtomNameW til APC-køen af ​​målprocessetråden for at tvinge den til at kopiere den ondsindede kode til hukommelsen.

John Lundgren, Windows Defender ATP Research Team, siger, "Kovter og Dridex er eksempler på fremtrædende malware familier, der udviklede sig til at undgå detektion ved hjælp af kodeinjektionsteknikker. Uundgåeligt vil proceshuling, atombombning og andre avancerede teknikker blive brugt af eksisterende og nye malwarefamilier, "tilføjer han." Windows Defender ATP giver også detaljerede hændelsestidslinjer og andre kontekstuelle oplysninger, som SecOps-teams kan bruge til at forstå angreb og reagere hurtigt. Den forbedrede funktionalitet i Windows Defender ATP gør det muligt for dem at isolere offermaskinen og beskytte resten af ​​netværket. "

Microsoft er endelig set på at behandle kodeindsprøjtningsproblemer, håber i sidste ende at virksomheden tilføjer denne udvikling til den gratis version af Windows Defender.