Windows Defender ATP е услуга за сигурност, която позволява на служителите по сигурността (SecOps) да откриват, разследват и реагират на напреднали заплахи и враждебни действия. Миналата седмица бе публикувана блокова публикация от изследователския екип на Windows Defender ATP, който показва как Windows Defender ATP помага на служителите на SecOps да разкрият и да се справят с атаките.
В блога Microsoft казва, че ще покаже направените от нея инвестиции за подобряване на измерванията и откриването на техники в паметта в серия от три части. Серията ще обхване -
- Усъвършенствани откривания при инжектиране на кодове в различни фази
- Ескалация на ядрото и подправяне
- В експлоатация в паметта
В първия пост, основният им фокус беше върху инжекция чрез кръстосано третиране, Те са илюстрирали как подобренията, които ще бъдат на разположение в Актуализацията на създателите за Windows Defender ATP, ще открият широк набор от атаки. Това включва всичко, започващо от злонамерен софтуер, който се е опитвал да се скрие от обикновения изглед до сложните групи от дейности, които се занимават с целенасочени атаки.
Как инжекцията от кръстосан процес помага на нападателите
Атакуващите все още успяват да развиват или купуват нулеви експлоатирани продукти. Те наблягат повече на избягването на откриването, за да защитят инвестициите си. За да направите това, те разчитат най-вече на атаки в паметта и на ескалация на привилегиите на ядрото. Това им позволява да избягват докосването на диска и да останат изключително нелепи.
С нападателите с кръстосано инжектиране получават по-голяма видимост в нормалните процеси. Взаимодействието между отделните процеси прикрива злонамерения код в доброкачествени процеси и това ги прави нелепни.
Според длъжността, Взаимодействие с различни процеси е двустранен процес:
- Злонамереният код се поставя в нова или съществуваща изпълнима страница в рамките на отдалечен процес.
- Инжектираният злонамерен код се изпълнява чрез контролиране на нишката и изпълнението на контекста
Как Windows Defender ATP открива инжектиране на кръстосани процеси
В публикацията в блога се казва, че актуализацията на създателите за Windows Defender ATP е добре оборудвана, за да открие широк спектър от злонамерени инжекции. Той е инструментал функция повиквания и изградени статистически модели за адресиране на същото. Изследователският екип на Windows Defender ATP изпробва подобренията срещу случаи от реалния свят, за да определи как подобренията ефективно биха изложили враждебни дейности, които водят до инжектиране на кръстосани процеси. Реалните случаи, цитирани в публикацията, са зловреден код за суровини за криптопродажба, Fynloski RAT и целенасочена атака от GOLD.
Взаимодействието между отделните процеси, подобно на други техники в паметта, също може да избегне антималури и други решения за сигурност, които се фокусират върху проверка на файлове на диск. С актуализацията на Windows 10 за създателите, Windows Defender ATP ще се захрани, за да предостави на служителите на SecOps допълнителни възможности за откриване на злонамерени дейности, като използва впръскването на кръстосани процеси.
Подробни графи за събития, както и друга контекстуална информация, също се предоставят от Windows Defender ATP, което може да бъде полезно за персонала на SecOps. Те могат лесно да използват тази информация, за да разберат бързо природата на атаките и да предприемат незабавни действия. Той е вграден в сърцето на Windows 10 Enterprise. Прочетете повече за новите възможности на Windows Defender ATP TechNet.
