Ochrona przed hollowingiem i atakiem atomowym w programie Windows Defender ATp

Aktualizacje zabezpieczeń dla Windows 10 Creators obejmują ulepszenia w programie Windows Defender Advanced Threat Protection. Te ulepszenia chroniłyby użytkowników przed zagrożeniami takimi jak trojany Kovter i Dridex, mówi Microsoft. Bezsprzecznie program Windows Defender ATP wykrywa techniki wtrysku kodu powiązane z tymi zagrożeniami, takie jak Process Hollowing i Atom Bombing . Już używane przez wiele innych zagrożeń, te metody pozwalają złośliwym programom infekować komputery i angażować się w różne nikczemne działania, pozostając przy tym ukradkiem.

Process Hollowing

Proces tworzenia nowej instancji legalnego procesu i "hollowowania go" jest znany jako Process Hollowing. Jest to w zasadzie technika wstrzykiwania kodu, w której legalny kod jest zastępowany przez złośliwe oprogramowanie. Inne techniki iniekcji po prostu dodają złośliwą funkcję do legalnego procesu, a jej zakończenie powoduje proces, który wydaje się być uzasadniony, ale jest przede wszystkim szkodliwy.

Process Hollowing używany przez firmę Kovter

Microsoft rozwiązuje problem związany z procesami jako jeden z największych problemów. używane przez Kovter i różne inne rodziny szkodliwego oprogramowania. Techniki te zostały wykorzystane przez rodziny szkodliwego oprogramowania w atakach bez plików, w których złośliwe oprogramowanie pozostawia znikome ślady na dysku i przechowuje je, a następnie wykonuje kod tylko z pamięci komputera.

Kovter, rodzina trojanów wykorzystujących oszustwa typu click-fraud, które ostatnio były zaobserwowany jako powiązany z rodzinami ransomware, takimi jak Locky. W zeszłym roku, w listopadzie, firma Kovter została uznana za odpowiedzialną za ogromny wzrost liczby nowych wariantów szkodliwego oprogramowania.

Kovter jest dostarczany głównie poprzez phishingowe e-maile, ukrywa większość złośliwych składników za pomocą kluczy rejestru. Następnie Kovter używa natywnych aplikacji do wykonania kodu i wykonania iniekcji. Osiąga on trwałość, dodając skróty (pliki.lnk) do folderu startowego lub dodając nowe klucze do rejestru.

Dwa szkodliwe programy zostały dodane przez szkodliwe oprogramowanie, aby plik jego składników został otwarty przez legalny program mshta.exe. Komponent wyodrębnia ukryty ładunek z trzeciego klucza rejestru. Skrypt PowerShell służy do wykonania dodatkowego skryptu, który wprowadza kod powłoki do procesu docelowego. Kovter używa procesu hollowing do wstrzykiwania złośliwego kodu do legalnych procesów za pomocą tego kodu powłoki.

Atom Bombing

Atom Bombing to kolejna technika wtrysku kodu, którą Microsoft twierdzi, że blokuje. Technika ta polega na złośliwym oprogramowaniu przechowującym złośliwy kod w tabelach atomów. Te tabele są tabelami pamięci współdzielonych, w których wszystkie aplikacje przechowują informacje o łańcuchach, obiektach i innych typach danych wymagających codziennego dostępu. Atom Bombing wykorzystuje asynchroniczne wywołania procedur (APC) w celu pobrania kodu i wstawienia go do pamięci docelowego procesu.

Dridex jest wczesnym użytkownikiem bombardowania atomów

Dridex to trojan bankowy, który został po raz pierwszy zauważony w 2014 roku i był jednym z pierwszych użytkowników bomb atomowych.

Dridex jest w większości dystrybuowany za pośrednictwem wiadomości spamowych, głównie w celu kradzieży danych uwierzytelniających i poufnych danych bankowych. Wyłącza również produkty zabezpieczające i zapewnia atakującym zdalny dostęp do komputerów ofiary. Zagrożenie pozostaje ukryte i uparte poprzez unikanie typowych wywołań API związanych z technikami wtrysku kodu.

Kiedy Dridex jest wykonywany na komputerze ofiary, szuka docelowego procesu i zapewnia, że ​​user32.dll jest ładowany przez ten proces. Dzieje się tak, ponieważ potrzebuje biblioteki DLL, aby uzyskać dostęp do wymaganych funkcji tablic atomów. Następnie szkodnik zapisuje swój kod powłoki do globalnej tabeli atomów, a następnie dodaje wywołania NtQueueApcThread dla GlobalGetAtomNameW do kolejki APC docelowego wątku procesu, aby zmusić go do skopiowania złośliwego kodu do pamięci.

John Lundgren, zespół ds. Badań ATP w Windows Defender, mówi:

"Kovter i Dridex to przykłady wybitnych rodzin złośliwych programów, które ewoluowały w celu uniknięcia wykrycia za pomocą technik wstrzykiwania kodu. Nieuchronnie, proces hollowowania, bombardowanie atomów i inne zaawansowane techniki będą wykorzystywane przez istniejące i nowe rodziny szkodliwego oprogramowania ", dodaje." Windows Defender ATP zapewnia również szczegółowy harmonogram zdarzeń i inne informacje kontekstowe, które zespoły SecOps mogą wykorzystać do zrozumienia ataków i szybkiego reagowania. Ulepszona funkcjonalność w programie Windows Defender ATP umożliwia im odizolowanie komputera ofiary i ochronę reszty sieci. "

Microsoft jest wreszcie postrzegany jako osoba zajmująca się kwestiami wtłaczania kodu, mam nadzieję, że w końcu zobaczymy firmę dodającą te zmiany do darmowej wersji systemu Windows Obrońca.