Windows Defender ATP ir drošības pakalpojums, kas ļauj drošības operācijām (SecOps) personālam atklāt, izmeklēt un reaģēt uz progresīviem draudiem un naidīgu darbību. Pagājušās nedēļas laikā Windows Defender ATP izpētes grupa atbrīvoja emuāra ziņu, kas parāda, kā Windows Defender ATP palīdz SecOps personālam atklāt un risināt uzbrukumus.
Emuārā Microsoft saka, ka tas parādīs savus ieguldījumus, lai uzlabotu aparatūru un atpazīšanas metožu noteikšanu trīsdaļu sērijās. Sērija aptvers-
- Atklāšanas uzlabojumi starpprocesa koda injekcijai
- Kodola eskalācija un manipulēšana
- In-atmiņas izmantošana
Pirmajā amatā galvenā uzmanība tika pievērsta krustveida injekcija. Tie ir parādījuši, kā uzlabojumi, kas būs pieejami Windows Defender ATP veidotāju atjauninājumā, atklāt plašu uzbrukumu darbību kopumu. Tas ietvertu visu, sākot no pretrunīgas ļaundabīgās programmas, kura mēģināja noslēpt no vienkārša skata uz sarežģītām aktivitāšu grupām, kuras iesaistītas mērķtiecīgos uzbrukumos.
Kā starpnozaru injekcija palīdz uzbrucējiem
Uzbrucēji joprojām spēj izstrādāt vai iegādāties nulles dienas ekspluatāciju. Viņi lielāku uzmanību pievērš tam, lai izvairītos no atklāšanas, lai aizsargātu savus ieguldījumus. Lai to izdarītu, viņi galvenokārt paļaujas uz atmiņas uzbrukumiem un kodola privilēģiju eskalāciju. Tas ļauj viņiem izvairīties no pieskāriena diska un paliek ļoti slepens.
Ar Cross-process injekcijas uzbrucēji vairāk redzamību normālos procesos. Cross-process injekcija noslēpj ļaunprātīgu kodu labdabīgu procesos, un tas padara tos slepenus.
Saskaņā ar amatu Krustveida injekcija ir divkāršs process:
- Ļaunprātīgs kods tiek ievietots jaunā vai esošajā izpildāmā lapā tālvadības procesā.
- Ievadītais ļaundabīgais kods tiek izpildīts, kontrolējot pavedienu un izpildes kontekstu
Kā Windows Defender ATP nosaka starpsistēmas injekciju
Emuāra ziņojumā teikts, ka Windows Defender ATP izstrādātāju atjauninājums ir labi aprīkots, lai atklātu plašu ļaunprātīgu injekciju klāstu. Tas ir aprīkots ar funkciju zvaniem un izveidojis statistiskos modeļus, lai risinātu to pašu. Windows Defender ATP izpētes grupa pārbaudīja uzlabojumus pret reāliem gadījumiem, lai noteiktu, kā uzlabojumi efektīvi atklātu naidīgas darbības, kas spēj nodrošināt dažādu procesu injekciju. Reālos gadījumos, kas citēti šajā amatā, ir Preču ļaunprogrammatūra, kas paredzēta kriptvulāras ieguves, Fynloski RAT un mērķa uzbrukumam GOLD.
Daudzfunkcionāla injekcija, tāpat kā citas atmiņas metodes, var arī izvairīties no antimalware un citiem drošības risinājumiem, kas vērsti uz failu pārbaudi uz diska. Izmantojot Windows 10 izstrādātāju atjauninājumu, Windows Defender ATP varēs nodrošināt SecOps personālu ar papildu iespējām, lai atklātu ļaunprātīgas darbības, kas piesaista vairāku procesu injekcijas.
Detalizētu notikumu termiņus, kā arī citu konteksta informāciju nodrošina arī Windows Defender ATP, kas var būt noderīgs SecOps personālam. Viņi var viegli izmantot šo informāciju, lai ātri izprastu uzbrukumu būtību un veiktu tūlītējas atbildes pasākumus. Tas ir iebūvēts Windows 10 Enterprise pamatā. Uzziniet vairāk par Windows Defender ATP jaunajām iespējām TechNet.
