Procesas "Hollowing" ir "Atom" bombardavimo apsauga "Windows Defender ATP"

Turinys:

Procesas "Hollowing" ir "Atom" bombardavimo apsauga "Windows Defender ATP"
Procesas "Hollowing" ir "Atom" bombardavimo apsauga "Windows Defender ATP"

Video: Procesas "Hollowing" ir "Atom" bombardavimo apsauga "Windows Defender ATP"

Video: Procesas
Video: Create A FREE CPA AFFILIATE MARKETING WEBSITE In 10 Mins That Earns $800 Daily With FREE Traffic! - YouTube 2024, Lapkritis
Anonim

"Windows 10" kūrėjai Atnaujinti saugos patobulinimai apima "Windows Defender Advanced Threat Protection" patobulinimus. Šie patobulinimai naudotojams apsaugotų nuo tokių grėsmių, kaip "Kovter" ir "Dridex" trojanai, teigia "Microsoft". Aiškiai "Windows Defender ATP" gali aptikti kodų įvedimo būdus, susijusius su šiomis grėsmėmis, pvz., " Procesas tuščias ir Atomo bombardavimas. Šie metodai, jau naudojami daugelio kitų grėsmių metu, leidžia kenkėjišką programinę įrangą užkrėsti kompiuterius ir įsitraukti į įvairias paniekinamąsias veiklas, likdama slapta.

Image
Image

Procesas tuščias

Naujo teisėtojo proceso instancijos nerštavimosi procesas ir "tobulinimas" yra žinomas kaip "Procesas". Tai iš esmės yra kodo įvedimo būdas, kurio metu teisėtas kodas pakeičiamas kenkėjiškos programos kodu. Kitos injekcijos technologijos paprasčiausiai prideda kenksmingą teisėtam procesui būdingą funkciją, tariant, kad rezultatai yra teisėti, bet iš esmės yra kenkėjiški.

Kovterio naudojamas procesas "Hollowing"

"Microsoft" atkreipia dėmesį į procesą, kuris yra vienas iš didžiausių problemų, jį naudoja Kovter ir įvairios kitos kenkėjiškos programos šeimos. Ši technologija buvo naudojama kenkėjiškų programų šeimos be failų atakų, kur kenkėjiška programa palieka nereikšmingus pėdsakus diske, saugo ir vykdo kodą tik iš kompiuterio atminties.

"Kovter" - šeima, kuriuose naudojami "spyglių" šnipinėjimo programų Trojos arklys, kurių neseniai buvo pastebėta, kad jie susitinka su "ransomware" šeimomis, tokiomis kaip Locky. Praėjusiais metais, lapkričio mėn. Kovter, buvo nustatyta, kad atsako už didžiulį naujų kenkėjiškų programų variantą.

"Kovter" pristatomas daugiausia per apgaulingus el. Laiškus, jis slapčia dauguma kenksmingų komponentų per registro raktus. Tada Kovter naudoja vietines programas kodo vykdymui ir injekcijos atlikimui. Tai užtikrina atkaklumą, pridedant nuorodas (.lnk failus) į paleisties aplanką arba įtraukiant naujus registro raktus.

Kenkėjiška programinė įranga įtraukia du registro įrašus, kad jo komponento failas būtų atidarytas teisėtos programos mshta.exe. Komponentas ištrina iškraipytą naudingą apkrovą iš trečiojo registro raktas. "PowerShell" scenarijus naudojamas papildomam scenarijui atlikti, kuris įpurškia "shellcode" į tikslinį procesą. Kovteris naudoja procesą, kuris įkvepia kenksmingą kodą į teisėtus procesus per šį "shellcode".

Atomo bombardavimas

"Atom bombardavimas" yra dar vienas kodo įpurškimo būdas, kurį "Microsoft" teigia blokuoja. Šis metodas remiasi kenkėjiškomis programomis, saugančiomis kenkėjišką kodą atomų lentelėse. Šios lentelės yra bendri atminties lenteles, kuriose visa programa saugo informaciją apie eilutes, objektus ir kitus duomenų tipus, kuriems reikia kasdienio prieigos. "Atom bombardavimas" naudoja asinchroninius procedūros skambučius (APC), norėdami gauti kodą ir įterpti jį į tikslinio proceso atmintį.

" Dridex" yra ankstyvas atominės bombardavimo taikiklis

"Dridex" yra bankinis "trojan", kuris pirmą kartą buvo pastebėtas 2014 m. Ir buvo vienas iš anksčiausių atominių sprogdiklių pritaikymo priemonių.

"Dridex" dažniausiai platinama naudojant šlamšto el. Laiškus, visų pirma jis buvo skirtas pavogti banko kredencialus ir slaptą informaciją. Tai taip pat išjungia saugos produktus ir suteikia užpuolikams nuotolinę prieigą prie aukų kompiuterių. Grėsmė išlieka paslėpta ir užsispyrusi, nes išvengiama bendrų API skambučių, susijusių su kodo įvedimo būdais.

Kai "Dridex" vykdomas nukentėjusio kompiuterio, jis ieško tikslinio proceso ir užtikrina, kad šis procesas įkeltas į user32.dll. Taip yra todėl, kad reikia DLL, norint pasiekti reikiamas atominės lentelės funkcijas. Po to kenkėjiška programa įrašo savo "shellcode" į pasaulinę branduolio lentelę, toliau ji prideda NtQueueApcThread skambučius GlobalGetAtomNameW prie tikslinės proceso gijos eilės APC, kad priverstų jį kopijuoti kenkėjišką kodą į atmintį.

John Lundgren, "Windows Defender ATP Research Team", sako:

“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”

"Microsoft" pagaliau mato sprendžiant kodų injekcijos problemas, tikėdamasi, kad galiausiai bendrovė pridės šiuos įvykius į nemokamą "Windows Defender" versiją.

Rekomenduojamas: