Windows Defender ATP on turvateenistus, mis võimaldab turbeoperatsioonidel (SecOps) personali avastada, uurida ja reageerida täiustatud ohtudele ja vaenulikule tegevusele. Eelmisel nädalal vabastati Windows Defender ATP uurimismeeskond, mis näitab, kuidas Windows Defender ATP aitab SecOpsi töötajatel rünnakuid avastada ja neid lahendada.
Blogis räägib Microsoft, et ta tutvustab oma investeeringuid, mis on tehtud kolmeosaliste seeriate mäluseadmete ja -mäluseadmete tuvastamiseks. Seeria katab
- Ristprotsessi koodi süstimise tuvastamise parandused
- Kerneli eskaleerumine ja rikkumine
- In-mälu kasutamine
Esimeses postituses keskenduti nende põhirõhk ristprotsessi süstimine. Nad on illustreerinud, kuidas Windows Defender ATP-i loojate värskendamiseks kättesaadavad täiustused avastavad laiaulatusliku rünnakuülesande. See hõlmaks kõike alates toorainetest pahavara, mis on püüdnud hõlpsalt peita keerukatele tegevusgruppidele, kes tegelevad sihitud rünnakutega.
Kuidas ristsuunaline süsti aitab ründajaid
Ründajad on ikka veel võimelised arendama või ostma null-päeva ekspluate. Nad pööravad suuremat rõhku avastamise avamisele, et kaitsta oma investeeringuid. Selleks toetuvad nad enamasti mälu rünnakutele ja kerneli privileegide eskalatsioonile. See võimaldab neil vältida ketta puudutamist ja jääda äärmiselt salajaseks.
Ristprofiilide süstimise ründajad saavad tavapärasest protsessist nähtavuse. Mitmetasandiline süsti varjab pahatahtlikku koodi healoomuliste protsesside sees ja see muudab need rahulikuks.
Vastavalt ametikohale Mitme protsessi süstimine on kahekordne protsess:
- Põlemiskood pannakse serveri protsessi uuele või olemasolevale käivitatavale lehele.
- Süstestatud pahatahtlik kood täidetakse nööri ja täitmise konteksti kontrollimisega
Kuidas Windows Defender ATP tuvastab mitme protsessi süsti
Blogi postitus väidab, et Windows Defender ATP loojate värskendus on hästi varustatud, et tuvastada paljusid pahatahtlikke süstekohti. See on seadistatud funktsiooni kõnede ja ehitatud statistilised mudelid, et lahendada sama. Windows Defender ATP uurimisrühm katsetasid täiustusi reaalmaailma juhtumite kohta, et teha kindlaks, kuidas täiustused tõhusalt toovad vaenulikke tegevusi, mis võimaldavad ristprotsesse süstida. Postituses tsiteeritud reaalmaailma juhtumid on CryptoCurrency Kaevandamine, Fynloski RAT ja GOLD suunatud rünnak.
Mitmetasandiline süstimine, nagu ka muud mälu-tehnoloogiad, võib vältida ka viirusetõrjetarkvara ja muid turvalahendusi, mis keskenduvad ketta failide kontrollimisele. Windows 10 loojate värskendusega saab Windows Defender ATP-i abil anda SecOpsi töötajatele lisavõimalusi, et avastada pahatahtlikke tegevusi, mis võimendavad ristprotsesse süstimist.
Täpse sündmuse tähtaegu ja muud kontekstuaalset teavet pakuvad ka Windows Defender ATP, mis võib olla kasulik SecOpsi personali jaoks. Nad saavad hõlpsalt kasutada seda teavet, et kiiresti mõista rünnakute olemust ja viivitamatult reageerida. See on integreeritud Windows 10 Enterprise'i tuuma. Lisateave Windows Defender ATP uute võimaluste kohta TechNet.