Windows 10 loojad Turvavärskenduste värskendamine sisaldab Windows Defender Advanced Threat Protectioni täiustusi. Microsoft kinnitab, et need täiustused hoiaksid kasutajaid kaitstud selliste ohtude eest nagu Kovter ja Dridex Trooja. Windows Defender ATP võib selgesõnaliselt tuvastada nende ohudega seotud koodide süstimise tehnikaid, nagu näiteks Protsessi hollowing ja Atomipommitamine. Nimetatud meetodid, mida juba kasutavad arvukad muud ohud, võimaldavad pahavara arvutite nakatamist ja mitmesuguste häbiväärsete toimingute tegemist, jäädes samal ajal salajaseks.
Protsessi hollowing
Õiguspärase protsessi uue eksemplari kudemiseks on vaja teada protsessi hollowing. See on põhimõtteliselt koodi sisestamise meetod, mille puhul õigustatud kood asendatakse õelvara programmiga. Teised süstimistehnikad lisavad õigustatud protsessile pahatahtliku funktsiooni, mis viivad tulemusi protsessi, mis tundub olevat õigustatud, kuid on ennekõike pahatahtlik.
Kovteri poolt kasutatud protsessi hollowing
Microsoft käsitleb protsessi, mis on üks peamistest probleemidest, seda kasutab Kovter ja mitmed muud pahavara perekonnad. Seda tehnikat on pahatahtlike perede poolt kasutanud failivabaduseta rünnakute puhul, kus pahavara jätab kettale väheolulisi jalajälgi ja salvestab ja käivitab koodi ainult arvuti mälust.
Kovter - kliki pettustevastaste troojalaste perekond, mis on hiljuti täheldatud ransomäärsete perede sarnaseks ühendamiseks nagu Locky. Möödunud aastal, novembris Kovter, leiti vastutust uue pahavara variantide massilise tõusu eest.
Kovter toimetatakse peamiselt andmepüügilehtede abil, see peidab enamik oma pahatahtlikke komponente registrivõtmete abil. Siis kasutab Kovter koodi käivitamiseks ja süstimiseks natiivseid rakendusi. See saavutab püsivuse, lisades kiirklahvid (.lnk-failid) käivituskausta või lisades registrisse uued võtmed.
Paharprogramm lisab kaks registritoimikut, et seadmeprogramm mshta.exe avab selle komponendi faili. Komponent eemaldab kolmandast registrivõtmest ümbersulatatud kasuliku koormuse. PowerShell-skript kasutatakse täiendava skripti käivitamiseks, mis sisestab shell-koodi sihtprotsesse. Kovter kasutab protsessi, mille abil saab selle shellcoodi kaudu sisestada pahatahtlikku koodi õigustatud protsessidesse.
Atomipommitamine
Atom Bombing on veel üks koodi sisestamise meetod, mida Microsoft väidab blokeerima. See meetod tugineb pahatahtlikule, mis salvestab pahatahtliku koodi aatomi tabelites. Need tabelid on jagatud mälutabelid, kus kogu rakendus salvestab stringi, esemete ja muude andmetest, mis vajavad igapäevast juurdepääsu. Atom Bombing kasutab asünkroonseid protseduurikõnesid (APC) koodi leidmiseks ja selle sisestamiseks sihtprotsessi mällu.
Dridex on aatomipommituse varajane kasutuselevõtja
Dridex on pankrotiankroos, mis esmakordselt täheldati 2014. aastal ja on olnud üks esimesi tuumapommitajaid.
Dridexi levitatakse peamiselt rämpsposti kaudu, seda peamiselt pangagarantiide ja tundliku teabe vargamiseks. Samuti blokeerib turvatoode ja tagab ründajatele serveri juurdepääsu ohverarvutitele. Oht on endiselt varjatud ja vastupidav, vältides ühiseid koodikäitamisega seotud API-kõnesid.
Kui Dridex käivitatakse ohvri arvuti, otsib see sihtprotsessi ja tagab selle protsessi kasutaja32.dlli laadimise. Seda seetõttu, et vajab aatomitabeli funktsioone pääsemiseks DLL-i. Järgnevalt kirjutab pahavara oma shell-koodi ülemaailmse aatomi tabelisse, lisaks lisab ta sihtmõju protsessi niitide APC järjekorda GlobalGetAtomNameW NtQueueApcThreadi kutsumiseks, et sundida seda pahatahtlikku koodi mällu kopeerima.
Windows Defender ATP teadusuuringute meeskond John Lundgren ütleb:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft on lõpuks näinud tegelemist koodi süstimisega seotud küsimusi, loodan, et lõpuks näha, et ettevõte lisab need arengud Windows Defenderi tasuta versioonile.