Защитник Windows ATP это служба безопасности, которая позволяет сотрудникам службы безопасности (SecOps) обнаруживать, исследовать и реагировать на сложные угрозы и враждебную деятельность. На прошлой неделе публикация в блоге была выпущена Исследовательской группой Windows Defender ATP Research, которая показывает, как Windows Defender ATP помогает сотрудникам SecOps выявлять и устранять атаки.
В блоге Microsoft заявляет, что продемонстрирует свои инвестиции, направленные на совершенствование инструментов и обнаружение технологий в памяти в трехчастной серии. Серия будет охватывать-
- Улучшения обнаружения для вставки кода кросс-процесса
- Эскалация и фальсификация ядра
- Использование в памяти
В первом посте основное внимание было уделено кросс-процесс впрыска, Они продемонстрировали, как улучшения, которые будут доступны в обновлении Creators для Windows Defender ATP, обнаружат широкий набор действий по атаке. Это будет включать все, начиная с товарного вредоносного ПО, которое пытается скрыть с простого взгляда на сложные группы активности, которые участвуют в целенаправленных атаках.
Как кросс-процесс инъекции помогает злоумышленникам
Атакующим по-прежнему удается разрабатывать или покупать атаки с нулевым днем. Они уделяют больше внимания уклонению от обнаружения, чтобы защитить свои инвестиции. Для этого они в основном полагаются на атаки внутри памяти и эскалацию привилегий ядра. Это позволяет им не касаться диска и оставаться чрезвычайно скрытным.
С помощью кросс-процесса нападающие инъекции становятся более заметными в обычных процессах. Кросс-процесс инъекции скрывает вредоносный код внутри доброкачественных процессов, и это делает их скрытыми.
Согласно сообщению, Внедрение перекрестного процесса является двукратным процессом:
- В удаленном процессе вредоносный код помещается на новую или существующую исполняемую страницу.
- Введенный вредоносный код выполняется посредством управления потоком и контекстом выполнения
Как Windows Defender ATP обнаруживает кросс-процессную инъекцию
В сообщении в блоге говорится, что обновление для разработчиков для Windows Defender ATP хорошо подготовлено для обнаружения широкого спектра вредоносных инъекций. Он имеет инструментальные вызовы функций и построил статистические модели для решения одинаковых задач. Исследовательская группа Windows Defender ATP проверила усовершенствования по сравнению с реальными делами, чтобы определить, как усовершенствования будут эффективно раскрывать враждебные действия, которые влияют на кросс-процессную инъекцию. Реальные случаи, указанные в сообщении, - это вредоносное ПО Commodity для разработки криптовалютных систем, Fynloski RAT и Targeted attack от GOLD.
Внедрение перекрестного процесса, как и другие методы в памяти, также может обойти защиту от вредоносных программ и другие решения безопасности, которые направлены на проверку файлов на диске. С обновлением Windows 10 Creators Windows Defender ATP будет задействован для предоставления персоналу SecOps дополнительных возможностей для обнаружения вредоносных действий с использованием кросс-процесса.
Подробные временные рамки событий, а также другая контекстная информация также предоставляются Защитником Windows Defender, который может быть полезен персоналу SecOps. Они могут легко использовать эту информацию для быстрого понимания характера атак и принятия немедленных мер реагирования. Он встроен в ядро Windows 10 Enterprise. Узнайте больше о новых возможностях Windows Defender ATP TechNet.