Windows 10 Creators A biztonsági fejlesztések frissítései közé tartozik a Windows Defender Advanced Threat Protection fejlesztése. Ezek a fejlesztések megóvnák a felhasználókat olyan fenyegetések ellen, mint a Kovter és a Dridex trójaiak, mondja a Microsoft. Explicit módon a Windows Defender ATP észlelheti az ilyen fenyegetésekkel kapcsolatos kódbeviteli technikákat, például Folyamatos üregelés és Atom bomba. Számos más fenyegetés által már használt, ezek a módszerek lehetővé teszik, hogy a kártékony programok megfertőzzék a számítógépeket, és különböző elrettenthetetlen tevékenységeket folytassanak, miközben lopakodóak maradnak.
Folyamatos üregelés
A törvényes folyamat egy új példányának megteremtése és a "kiüresedés" folyamata folyamatcsonknak nevezhető. Ez alapvetően egy kód-befecskendezési technika, amelyben a törvényes kódot a rosszindulatú program helyettesíti. Az egyéb befecskendezési technikák egyszerűen rosszindulatú jellemzőt adnak a törvényes folyamatnak, az üregezés eredményeként egy olyan folyamat, amely jogszerűnek tűnik, de elsősorban rosszindulatú.
A Kovter által használt eljárás
A Microsoft az egyik legfontosabb problémaként kezeli az ürgetés folyamatát, amelyet a Kovter és más rosszindulatú családok használnak. Ezt a technikát rosszindulatú családok használják fájl nélküli támadásokban, ahol a rosszindulatú szoftverek elhanyagolható lábnyomokat hagynak a lemezen, és csak a számítógép memóriájából tárolják és végrehajtják a kódot.
Kovter, a csalócsalás trójai családja, melyeket nemrég megfigyeltek, hogy társuljon a felmentett családokhoz, például a Lockyhez. Tavaly, novemberben, Kovterben találták felelősségre az új malware változatok tömeges tüskéjét.
A Kovter elsősorban az adathalász e-mailen keresztül szállít, ezért a rendszerleíró kulcsok segítségével elrejti a legtöbb rosszindulatú összetevőjét. Ezután a Kovter natív alkalmazásokat használ a kód végrehajtásához és az injektálás végrehajtásához. Tartósan elérheti az indító mappák hivatkozásait (.lnk fájlokat), vagy új kulcsokat ad a rendszerleíró adatbázishoz.
A rosszindulatú szoftverek két regisztrációs bejegyzéseket adnak hozzá ahhoz, hogy az mshta.exe törvényes programja megnyitja az összetett fájlt. Az összetevő elvág egy elhanyagolt terhelést egy harmadik rendszerleíró kulcsból. A PowerShell szkriptet egy további parancsfájl futtatására használják, amely a shellkódot célprocesszé alakítja. A Kovter a folyamat kódolását használja a rosszindulatú kód legális folyamatoknak a shellkódon keresztül történő beadásához.
Atom bomba
Az Atom Bombing egy másik kódbefecskendezési technika, amelyet a Microsoft blokkolja. Ez a technika rosszindulatú kódot tároló rosszindulatú kódokat használ az atomtáblákon belül. Ezek a táblák megosztott memória táblák, ahol az összes alkalmazás tárolja az információkat a karakterláncokra, tárgyakra és más típusú adatokra, amelyek napi hozzáférést igényelnek. Az Atom Bombing aszinkron eljárási hívásokat (APC) használ fel a kód lekéréséhez és beillesztésébe a célfolyam memóriájába.
Dridex az atom bombázás korai alkalmazója
A Dridex egy banki trójai, amelyet először 2014-ben észleltek, és az atomrobbanások egyik legkorábbi alkalmazója volt.
A Dridexet többnyire spamszemekkel terjesztik, elsősorban a banki hitelesítő adatok és az érzékeny információk ellopására tervezték. Ezenkívül letiltja a biztonsági termékeket, és hozzáférést biztosít a támadók számára az áldozat számítógépekhez. A fenyegetés továbbra is titokzatos és tapintatos a kódbefecskendezési technikákkal kapcsolatos közös API hívások elkerülésével.
Amikor a Dridex végrehajtásra kerül az áldozat számítógépén, megkeresi a célfolyamatot és biztosítja, hogy a processzor betölti a user32.dll fájlt. Ez azért van, mert szüksége van a DLL-nek a szükséges atomtáblázatfüggvények elérésére. A rosszindulatú program a shellkódját a globális atomtáblára írja, továbbá hozzáadja az NtQueueApcThread hívásokat a GlobalGetAtomNameW számára a célfolyamat menetének APC sorához, és arra kényszeríti, hogy másolja a rosszindulatú kódot a memóriába.
John Lundgren, a Windows Defender ATP kutatócsoportja szerint,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
A Microsoft végre látta a kód injektálással kapcsolatos kérdéseket, remélve, hogy végül meglátja a céget, hogy ezeket a fejleményeket hozzáadja a Windows Defender ingyenes verziójához.
