Windows 10 radītāji Update drošības uzlabojumi ietver Windows Defender Advanced threat protection aizsardzību. Šie uzlabojumi ļaus lietotājiem aizsargāt no draudiem, piemēram, Kovter un Dridex Trojans, saka Microsoft. Tieši Windows Defender ATP var atklāt kodu ievadīšanas metodes, kas saistītas ar šiem draudiem, piemēram, Procesa ieejas un Atom bombardēšana. Šīs metodes jau izmanto daudzi citi draudi, un šīs metodes ļauj ļaunprātīgai programmatūrai inficēt datorus un iesaistīties dažādās nicināmās darbībās, vienlaikus paliekot slepeni.
Procesa ieejas
Procesu, kas rada jaunu leģitīmā procesa gadījumu un to izsauc, tiek saukts par Process Hollowing. Tas būtībā ir koda injekcijas metode, kurā Likumīgais kods tiek aizstāts ar ļaundabīgo programmu. Citas injekcijas metodes vienkārši pievieno ļaunprātīgu funkciju leģitīmam procesam, iegūstot rezultātus procesā, kas šķiet likumīgs, bet galvenokārt ir ļaunprātīgs.
Kovteras izmantotais process
Microsoft pievērš uzmanību procesam, kas ir viens no lielākajiem jautājumiem, to izmanto Kovter un dažādas citas ļaundabīgo programmu ģimenes. Šī tehnika ir izmantota ļaundabīgo programmu ģimenēs bez uzbrukumiem bez failiem, kur ļaunprogramma atstāj nenozīmīgus pēdas nospiedumus uz diska, un tos saglabā un izpilda tikai no datora atmiņas.
Kovter, klikšķu saudzēšanas Trojas zirgu seja, kuras nesen novēroja saistību ar ransomware ģimenēm, piemēram, Locky. Pagājušajā gadā, novembrī Kovter, tika atrasts atbildība par lielu smaile jauno ļaunprātīgu programmatūru variantiem.
Kovter tiek piegādāts galvenokārt ar pikšķerēšanas e-pasta starpniecību, tā slēpj lielāko daļu ļaunprātīgo komponentu, izmantojot reģistra atslēgas. Tad Kovter izmanto kodu programmas, lai izpildītu kodu un veiktu injekciju. Tas nodrošina noturību, pievienojot īsceļus (.lnk failus) uz startēšanas mapi vai pievienojot jaunus reģistra atslēgas.
Ļauna programmatūra pievieno divus reģistra ierakstus, lai tās komponenta failu atver likumīgā programma mshta.exe. Komponents noņem trešās reģistra atslēgas konfigurēto kravnesību. PowerShell skripts tiek izmantots, lai izpildītu papildu skriptu, kurā šifrēšanas kodi tiek ievadīts mērķa procesā. Kovter izmanto šo procesu, kas ievieš ļaunprātīgu kodu likumīgajos procesos, izmantojot šo čaulas kodējumu.
Atom bombardēšana
Atom bombardēšana ir vēl viena koda iesmidzināšanas metode, ko Microsoft apgalvo bloķēt. Šis paņēmiens balstās uz ļaunprātīgu programmatūru, kurā tiek ievietots ļaundabīgais kods atomu tabulās. Šīs tabulas ir koplietojamās atmiņas tabulas, kurās visās lietojumprogrammās tiek saglabāta informācija par virknes, objektiem un citiem datu veidiem, kuriem nepieciešama ikdienas piekļuve. Atom bombardēšana izmanto asinhronas procedūras izsaukumus (APC), lai ielādētu kodu un ievietotu to mērķa procesa atmiņā.
Dridex ir agrīnā adopcijas avota bombardēšanas
Dridex ir banku Trojas zirgs, kas pirmo reizi tika atklāts 2014. gadā un ir bijis viens no agrākajiem atombombing adoptētājiem.
Dridex lielākoties tiek izplatīts, izmantojot surogātpasta vēstules, galvenokārt tas bija paredzēts, lai nozagtu bankas akreditācijas datus un konfidenciālu informāciju. Tas arī atspējo drošības produktus un nodrošina uzbrucējiem attālu piekļuvi upura datoriem. Draudi joprojām ir slepeni un apgrūtinoši, izvairoties no kopējiem API izsaukumiem, kas saistīti ar kodu ievadīšanas metodēm.
Kad Dridex tiek izpildīts upura datorā, tas meklē mērķa procesu un nodrošina, ka šis process tiek ielādēts user32.dll. Tas ir tāpēc, ka tam vajadzīga DLL, lai piekļūtu vajadzīgajām atomu tabulas funkcijām. Pēc tam ļaundabīgā programma raksta savu čaulas kodolu globālajai atomu tabulai, pēc tam tā pievieno NtQueueApcThread aicinājumus par GlobalGetAtomNameW uz mērķa procesa pavediena APC rindu, lai liktu tai kopēt ļaunprātīgo kodu atmiņā.
"Windows Defender ATP Research Team", John Lundgren, saka:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft beidzot ir redzējis risinājumu koda injekcijas problēmām, ceru, ka galu galā uzņēmums šo notikumu pievienos Windows Defender bezmaksas versijai.