Προστασία κατά της βομβαρδισής διαδικασίας και Atom στο Windows Defender ATp

Οι δημιουργοί των Windows 10 Οι ενημερώσεις βελτίωσης ασφαλείας περιλαμβάνουν βελτιώσεις στην Προηγμένη προστασία από απειλές του Windows Defender. Αυτές οι βελτιώσεις θα κρατούσαν τους χρήστες προστατευμένους από απειλές όπως οι Kovter και Trojans Dridex, λέει η Microsoft. Σαφώς, το Windows Defender ATP μπορεί να ανιχνεύσει τεχνικές έγχυσης κώδικα που σχετίζονται με αυτές τις απειλές, όπως Διακοπή διαδικασίας και Atom Bombing . Χρησιμοποιούνται ήδη από πολλές άλλες απειλές, οι μέθοδοι αυτές επιτρέπουν στο κακόβουλο λογισμικό να μολύνει τους υπολογιστές και να ασχολείται με διάφορες καταθλιπτικές δραστηριότητες ενώ παραμένει κρυφά.

Process Hollowing

Η διαδικασία της αναπαραγωγής ενός νέου στιγμιότυπου μιας νόμιμης διαδικασίας και "κοίλωσης" είναι γνωστή ως Process Hollowing. Αυτό είναι βασικά μια τεχνική ένεσης κώδικα στην οποία ο νόμιμος κώδικας αντικαθίσταται με αυτόν του κακόβουλου λογισμικού. Άλλες τεχνικές έγχυσης προσθέτουν απλώς ένα κακόβουλο χαρακτηριστικό στη νόμιμη διαδικασία, το κοίλωμα των αποτελεσμάτων σε μια διαδικασία που φαίνεται νόμιμη, αλλά είναι κατά κύριο λόγο κακόβουλη.

Διαδικασία κοίλωσης που χρησιμοποιεί ο Kovter

Η Microsoft αντιμετωπίζει τη διαδικασία κοίλωσης ως ένα από τα μεγαλύτερα ζητήματα που χρησιμοποιούνται από τον Kovter και διάφορες άλλες οικογένειες malware. Αυτή η τεχνική έχει χρησιμοποιηθεί από οικογένειες κακόβουλων προγραμμάτων σε επιθέσεις χωρίς αρχεία, όπου το κακόβουλο λογισμικό αφήνει αμελητέα ίχνη στο δίσκο και αποθηκεύει και εκτελεί κώδικα μόνο από τη μνήμη του υπολογιστή.

Kovter, μια οικογένεια δολοφόνων Trojans που έχουν πρόσφατα παρατηρήθηκε ότι συνεργάζεται με οικογένειες ransomware όπως η Locky. Πέρυσι, τον Νοέμβριο ο Kovter βρέθηκε υπεύθυνος για μια τεράστια αύξηση στις νέες παραλλαγές κακόβουλου λογισμικού.

Το Kovter διανέμεται κυρίως μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing), κρύβει τα περισσότερα από τα κακόβουλα συστατικά του μέσω κλειδιών μητρώου. Στη συνέχεια, η Kovter χρησιμοποιεί μητρικές εφαρμογές για να εκτελέσει τον κώδικα και να εκτελέσει την ένεση. Επιτυγχάνει την επιμονή προσθέτοντας συντομεύσεις (αρχεία.lnk) στο φάκελο εκκίνησης ή προσθέτοντας νέα κλειδιά στο μητρώο.

Δύο καταχωρήσεις μητρώου προστίθενται από το κακόβουλο λογισμικό για να ανοίξει το αρχείο συστατικών του από το νόμιμο πρόγραμμα mshta.exe. Το στοιχείο εξάγει ένα παγιδευμένο ωφέλιμο φορτίο από ένα τρίτο κλειδί μητρώου. Μια δέσμη ενεργειών PowerShell χρησιμοποιείται για την εκτέλεση μιας πρόσθετης δέσμης ενεργειών που εισάγει κέλυφος σε μια διαδικασία στόχου. Το Kovter χρησιμοποιεί την διαδικασία κοίλωσης για να εισφέρει κακόβουλο κώδικα σε νόμιμες διαδικασίες μέσω αυτού του shellcode.

Atom Bombing

Η Atom Bombing είναι μια άλλη τεχνική ένεσης κώδικα την οποία η Microsoft ισχυρίζεται ότι εμποδίζει. Αυτή η τεχνική βασίζεται σε κακόβουλο λογισμικό που αποθηκεύει κακόβουλο κώδικα μέσα σε πίνακες ατόμων. Αυτοί οι πίνακες είναι πίνακες κοινόχρηστων μνημών, όπου όλες οι εφαρμογές αποθηκεύουν τις πληροφορίες σε συμβολοσειρές, αντικείμενα και άλλους τύπους δεδομένων που απαιτούν καθημερινή πρόσβαση. Το Atom Bombing χρησιμοποιεί κλήσεις ασύγχρονης διαδικασίας (APC) για να ανακτήσει τον κώδικα και να το εισαγάγει στη μνήμη της διαδικασίας στόχου.

Dridex ένας πρώιμος υιοθετητής του βομβαρδισμού ατόμων

Το Dridex είναι ένα τραπεζικό δούρειο trojan που εντοπίστηκε για πρώτη φορά το 2014 και υπήρξε ένας από τους πρώτους που υιοθετούν βομβαρδισμούς από άτομα.

Η Dridex διανέμεται ως επί το πλείστον μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητων μηνυμάτων, σχεδιάστηκε κατά κύριο λόγο για να κλέψει τα τραπεζικά διαπιστευτήρια και τις ευαίσθητες πληροφορίες. Επίσης, απενεργοποιεί τα προϊόντα ασφαλείας και παρέχει στους επιτιθέμενους απομακρυσμένη πρόσβαση στους υπολογιστές-θύματα. Η απειλή παραμένει συγκαλυμμένη και επίμονη, αποφεύγοντας τις κοινές κλήσεις API που σχετίζονται με τις τεχνικές ένεσης κώδικα.

Όταν το Dridex εκτελείται στον υπολογιστή του θύματος, αναζητά μια διαδικασία στόχου και εξασφαλίζει ότι η user32.dll φορτώνεται από αυτή τη διαδικασία. Αυτό συμβαίνει επειδή χρειάζεται το αρχείο DLL για να αποκτήσετε πρόσβαση στις απαιτούμενες λειτουργίες πίνακα ατόμων. Ακολούθως, το κακόβουλο λογισμικό γράφει το κέλυφος του στον παγκόσμιο πίνακα ατόμων και επιπλέον προσθέτει κλήσεις NtQueueApcThread για το GlobalGetAtomNameW στην ουρά APC του νήματος της διαδικασίας προορισμού για να τον αναγκάσει να αντιγράψει τον κακόβουλο κώδικα στη μνήμη.

Ο John Lundgren, η ερευνητική ομάδα του Windows Defender ATP, λέει ότι

"Τα Kovter και Dridex είναι παραδείγματα προεξέχουσας οικογένειας malware που εξελίχθηκαν για να αποφύγουν την ανίχνευση χρησιμοποιώντας τεχνικές έγχυσης κώδικα. Αναπόφευκτα, η επεξεργασία κοίλων, βομβαρδισμών ατόμων και άλλες προηγμένες τεχνικές θα χρησιμοποιηθούν από υπάρχουσες και νέες οικογένειες κακόβουλου λογισμικού ", προσθέτει ο ίδιος. Το Windows Defender ATP παρέχει επίσης λεπτομερή χρονοδιαγράμματα συμβάντων και άλλες πληροφορίες πλαισίου που οι ομάδες SecOps μπορούν να χρησιμοποιήσουν για να καταλάβουν τις επιθέσεις και να ανταποκριθούν γρήγορα. Η βελτιωμένη λειτουργικότητα του Windows Defender ATP τους επιτρέπει να απομονώσουν το θύμα και να προστατεύσουν το υπόλοιπο δίκτυο. "

Η Microsoft αντιμετωπίζει τελικά τα προβλήματα με την ένεση κώδικα, ελπίζουμε τελικά να δούμε την εταιρεία να προσθέσει αυτές τις εξελίξεις στην ελεύθερη έκδοση των Windows Defender.