תהליך החלפה ופצצות אטום ב- Windows Defender ATp

עדכון Windows 10 Creators עדכון האבטחה כולל שיפורים בהגנה מפני איום מתקדם של Windows Defender. שיפורים אלה ישמרו על המשתמשים מוגנים מפני איומים כמו קובטר ו Dridex Trojans, אומר מיקרוסופט. באופן מפורש, Windows Defender ATP יכול לזהות טכניקות הזרקת קוד הקשורות לאיומים אלה, כגון תהליך החלפה ו- פצצת אטום . כבר בשימוש על ידי איומים רבים אחרים, שיטות אלה מאפשרות תוכנות זדוניות להדביק את המחשבים ולעסוק בפעילויות שונות בזוי תוך שמירה על התגנבות.

תהליך חלול

תהליך של הפצת מופע חדש של תהליך לגיטימי "חלול זה" המכונה תהליך חלול. זוהי בעצם טכניקה הזרקת קוד שבו קוד לגיטימי מוחלף עם זה של תוכנה זדונית. טכניקות זריקה אחרות פשוט להוסיף תכונה זדונית לתהליך לגיטימי, חלול תוצאות בתהליך שנראה לגיטימי אבל הוא בעיקר זדוני.

תהליך חלול בשימוש על ידי Kovter

כתובות מיקרוסופט תהליך חלול כאחד הנושאים הגדולים ביותר, זה המשמשים את Kovter ומשפחות זדוניות אחרות. טכניקה זו כבר בשימוש על ידי משפחות תוכנות זדוניות קבצים פחות התקפות, שבו תוכנות זדוניות משאיר עקבות זניחה על דיסק וחנויות ומבצעת קוד רק מזיכרון המחשב.

Kovter, משפחה של הונאה קליקים טרויאנים, כי לאחרונה שנצפו כדי לקשר עם משפחות ransomware כמו לוקי. בשנה שעברה, בנובמבר קובטר, נמצאה אחראית לעלייה חדה בגרסאות חדשות של תוכנות זדוניות.

קובטר נמסר בעיקר באמצעות הודעות דוא"ל מתחזות, הוא מסתיר את רוב המרכיבים הזדוניים שלו באמצעות מפתחות רישום. אז קובטר משתמש ביישומים מקומיים כדי לבצע את הקוד ולבצע את ההזרקה. הוא משיג התמדה על ידי הוספת קיצורי דרך (קבצי lnk) לתיקיית ההפעלה או הוספת מפתחות חדשים לרישום.

שני ערכי רישום מתווספים על-ידי התוכנה הזדונית כדי לפתוח את קובץ המרכיבים שלה על-ידי התוכנית השגיאה mshta.exe. רכיב מחלץ מטען מטושטש ממפתח רישום שלישי. סקריפט PowerShell משמש לביצוע סקריפט נוסף הזריק shellcode לתוך תהליך היעד. Kovter משתמש בתהליך חלול להזריק קוד זדוני לתוך תהליכים לגיטימיים באמצעות shellcode זה.

פצצת אטום

פצצת אטום היא טכניקה נוספת הזרקת קוד מיקרוסופט טוענת לחסום. טכניקה זו מסתמכת על תוכנה זדונית אחסון קוד זדוני בתוך טבלאות אטום. טבלאות אלה הן טבלאות זיכרון משותפות שבהן כל האפליקציות מאחסנות את המידע על מחרוזות, אובייקטים וסוגים אחרים של נתונים המחייבים גישה יומית. Atom Bombing משתמש בשיטות הליך אסינכרוני (APC) כדי לאחזר את הקוד ולהכניס אותו לזיכרון של תהליך היעד.

Dridex מאמן מוקדם של הפיגוע האטומי

Dridex הוא סוס טרויאני בנקאי אשר זוהה לראשונה בשנת 2014, היה אחד הראשונים המאמצים של פצצת אטום.

Dridex מופץ בעיקר באמצעות דואר זבל, זה נועד בעיקר לגנוב אישורים בנקאיים ומידע רגיש. הוא גם משבית את מוצרי האבטחה ומספק לתוקפים גישה מרחוק למחשבי הקורבן. האיום נשאר חשאי ועקשן על ידי הימנעות משיחות API נפוצות הקשורות לטכניקות הזרקת קוד.

כאשר Dridex מבוצע במחשב של הקורבן, הוא מחפש תהליך יעד ומבטיח user32.dll נטען על ידי תהליך זה. הסיבה לכך היא כי הוא צריך את ה- DLL לגשת לפונקציות הטבלה האטום הנדרש. לאחר מכן, תוכנות זדוניות כותב shellcode שלה לטבלה אטום העולמי, נוסף זה מוסיף NtQueueApcThread שיחות GlobalGetAtomNameW לתור APC של הליך המשנה היעד כדי לאלץ אותו להעתיק את קוד זדוני לזיכרון.ג `ון לונדגרן, צוות המחקר של Windows Defender ATP, אומר, "קובטר ו Dridex הם דוגמאות של משפחות תוכנות זדוניות בולטות שהתפתחו כדי להתחמק גילוי באמצעות טכניקות הזרקת קוד. באופן בלתי נמנע, תהליך חלול, פיצוץ אטום וטכניקות מתקדמות אחרות ישמשו את משפחות התוכנות הזדוניות הקיימות והחדשות ", הוא מוסיף." Windows Defender ATP מספק גם לוחות זמנים מפורטים לאירועים ומידע קונקציונלי אחר, אשר צוותי SecOps יכולים להשתמש בו כדי להבין התקפות ולהגיב במהירות. הפונקציונליות המשופרת ב- Windows Defender ATP מאפשרת להם לבודד את מחשב הקורבן ולהגן על שאר הרשת. "

מיקרוסופט נתפסת לבסוף לטיפול בבעיות הזרקת קוד, בתקווה שבסופו של דבר תראה את החברה שתוסיף את ההתפתחויות הללו לגרסה החינמית של Windows המגן