Разработчики Windows 10 Обновления для повышения безопасности включают в себя усовершенствования в Windows Defender Advanced Threat Protection. Эти улучшения будут защищать пользователей от угроз, таких как трояны Kovter и Dridex, сообщает Microsoft. Очевидно, что Windows Defender ATP может обнаруживать методы инъекции кода, связанные с этими угрозами, такие как Технологическая обработка а также Атомная бомба, Эти методы, уже используемые многочисленными другими угрозами, позволяют вредоносным программам заражать компьютеры и заниматься различными презренными действиями, оставаясь скрытыми.
Технологическая обработка
Процесс создания нового экземпляра законного процесса и «выдолбления его» известен как «Технологическое выдолбление». Это, в основном, метод ввода кода, в котором законченный код заменяется кодом Legitimate. Другие методы инъекций просто добавляют вредоносную функцию в законный процесс, опуская результаты в процесс, который кажется законным, но в первую очередь вредоносным.
Обработка процесса, используемая Kovter
Microsoft решает проблему, как одну из самых больших проблем, она используется Kovter и другими семействами вредоносных программ. Этот метод использовался семействами вредоносных программ в атаках без файлов, где вредоносное ПО оставляет на диске дискретные следы и сохраняет и выполняет код только из памяти компьютера.
Kovter, семейство мошенников с мошенничеством с троянами, которые совсем недавно были замечены в связи с семьями выкупа, такими как Локки. В прошлом году в ноябре Kovter был признан ответственным за массивный всплеск в новых вариантах вредоносного ПО.
Kovter поставляется в основном через фишинговые электронные письма, он скрывает большинство своих вредоносных компонентов через ключи реестра. Затем Kovter использует собственные приложения для выполнения кода и выполнения инъекции. Он обеспечивает постоянство, добавляя ярлыки (.lnk-файлы) в папку автозагрузки или добавляя новые ключи в реестр.
Вредоносная программа добавляет две записи реестра, чтобы их компонентный файл открывался законной программой mshta.exe. Компонент извлекает обфускацию полезной нагрузки из третьего раздела реестра. Сценарий PowerShell используется для выполнения дополнительного скрипта, который вводит шелл-код в целевой процесс. Kovter использует полый процесс, чтобы внедрить вредоносный код в законные процессы через этот шеллкод.
Атомная бомба
Atom Bombing - еще один метод ввода кода, который Microsoft требует блокировать. Этот метод использует вредоносное ПО, хранящее вредоносный код внутри таблиц атомов. Эти таблицы представляют собой таблицы общей памяти, в которых все приложения хранят информацию о строках, объектах и других типах данных, которые требуют ежедневного доступа. Atom Bombing использует асинхронные вызовы процедур (APC) для извлечения кода и вставки его в память целевого процесса.
Dridex - раннее применение атомной бомбардировки
Dridex является банковским трояном, который был впервые замечен в 2014 году и был одним из первых усыновителей атомной бомбардировки.
Dridex в основном распространяется по электронной почте с помощью спама, и в первую очередь он предназначен для кражи банковских учетных данных и конфиденциальной информации. Он также отключает продукты безопасности и предоставляет злоумышленникам удаленный доступ к компьютерам-жертвам. Угроза остается скрытой и упрямой, избегая общих вызовов API, связанных с методами инъекции кода.
Когда Dridex выполняется на компьютере жертвы, он ищет целевой процесс и обеспечивает загрузку user32.dll этим процессом. Это связано с тем, что ему нужна DLL для доступа к требуемым функциям таблицы атомов. После этого вредоносная программа записывает свой шелл-код в глобальную таблицу атомов, а затем добавляет вызовы NtQueueApcThread для GlobalGetAtomNameW в очередь APC целевого потока процессов, чтобы заставить его скопировать вредоносный код в память.
Джон Лундгрен, исследовательская группа Windows Defender ATP Research, говорит:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft наконец-то увидела проблемы с вводом кода, надеюсь, что в конечном итоге компания добавит эти разработки в бесплатную версию Защитника Windows.
