Windows Defender ATP egy olyan biztonsági szolgáltatás, amely lehetővé teszi a biztonsági műveletek (SecOps) személyzet számára a haladó fenyegetések és ellenséges tevékenységek felderítését, kivizsgálását és reagálását. A múlt héten a Windows Defender ATP Research Team kiadta a blogbejegyzést, amely bemutatja, hogy a Windows Defender ATP hogyan segíti a SecOps alkalmazottait a támadások felfedezésében és kezelésében.
A blogban a Microsoft azt állítja, hogy bemutatja befektetéseit, amelyek a műszerezettséget és a memória-technikák felderítését célozzák egy három részből álló sorozatban. A sorozat kiterjedne -
- A folyamatközi kód injektálásának észlelési javulása
- A kernel eszkalációja és manipulálása
- Memória-kiaknázás
Az első bejegyzésben fő hangsúlyt fektettek kereszt-folyamat befecskendezés. Megmutatták, hogy a Windows Defender ATP Creators frissítésében elérhető javítások széles körű támadási tevékenységeket észlelnek. Ez magában foglalja mindazokat, amelyek olyan árucikk-rosszindulatú programokból indulnak ki, amelyek megpróbálták elrejteni a sima szemlélést a kifinomult csoportokba, amelyek célzott támadásokkal foglalkoznak.
A kereszt-folyamat befecskendezése segíti a támadókat
A támadók még mindig zéró napi kizsákmányolást fejlesztenek vagy vásárolnak. Nagyobb hangsúlyt fektetnek a felderítés megkerülésére, hogy megvédjék befektetéseiket. Ehhez elsősorban az emlékezetes támadásokra és a rendszermag kiváltságaira támaszkodnak. Ez lehetővé teszi számukra, hogy ne érintse meg a lemezt, és maradjon rendkívül titokzatos.
A Cross-process injection támadók jobban láthatóvá válnak a normál folyamatokban. A keresztezéses befecskendezés elrejti a rosszindulatú kódokat a jóindulatú folyamatokban, és ez titokban tartja őket.
A poszt szerint, Kereszt-folyamat befecskendezés kétszeres folyamat:
- A rosszindulatú kód egy távoli folyamat új vagy meglévő végrehajtható oldalára kerül.
- Az injektált rosszindulatú kódot a szál és a végrehajtási környezet ellenőrzése végzi
A Windows Defender ATP hogyan észleli a többszörös befecskendezést
A blogbejegyzés szerint a Windows Defender ATP Teremtők frissítése jól fel van szerelve a rosszindulatú injekciók széles körének felderítésére. Működtetett funkcióhívásokat és statisztikai modelleket állított össze a megoldáshoz. A Windows Defender ATP kutatócsapata megvizsgálta a valódi esetekkel szembeni javításokat annak meghatározása érdekében, hogy a fejlesztések milyen hatást gyakorolhatnak az ellenséges folyamatok hatékonyságát előidéző ellenséges tevékenységekre. A posztban idézett valós esetek a Commodity malware a cryptocurrency bányászat, a Fynloski RAT és a GOLD célzott támadása.
A kereszthasználat-befecskendezés, mint más memória-technikák, elkerülheti az antimalware-ket és más olyan biztonsági megoldásokat is, amelyek a lemezen lévő fájlok ellenőrzésére irányulnak. A Windows 10 Creators frissítésével a Windows Defender ATP bekapcsolódik, így a SecOps személyi állományának további képességekkel rendelkezik a rosszindulatú tevékenységek felfedezésére a folyamatok közötti többlet befecskendezésére.
Részletes eseménysorozatokat, valamint egyéb kontextuális információkat is biztosít a Windows Defender ATP, amely hasznos lehet a SecOps személyzete számára. Ezek az információk könnyen felhasználhatók a támadások jellegének gyors megértéséhez és azonnali válaszintézkedések megtételéhez. A Windows 10 Enterprise magjába épül. További információ a Windows Defender ATP új szolgáltatásairól TechNet.