Windows 10 Creators Актуализирането на подобренията на защитата включва подобрения в защитата на Windows Defender Advanced Threat Protection. Тези подобрения ще предпазят потребителите от заплахи като Kovter и Dridex Trojans, твърди Microsoft. Изрично, Windows Defender ATP може да открие техники за инжектиране на код, свързани с тези заплахи, като например Обработка на процеси и Атом бомбардиране, Вече се използва от много други заплахи, тези методи позволяват злонамерен софтуер да заразява компютрите и да се занимават с различни отчаяни дейности, като същевременно остават скрити.
Обработка на процеси
Процесът на възникване на нов случай на легитимен процес и "изхвърлянето му" е известен като процес на задушаване. Това е основно техника за инжектиране на код, в която легитимният код е заменен с този на злонамерения софтуер. Други техники за инжектиране просто добавят злонамерен елемент към легитимен процес, като изхвърлят резултатите в процес, който изглежда легитимен, но е предимно злонамерен.
Процесът на засмукване, използван от Kovter
Microsoft адресира процесите като един от най-големите проблеми, използван от Kovter и различни други злонамерени семейства. Тази техника е била използвана от злонамерени семейства при атаки без файловете, където зловредният софтуер оставя незначителни отпечатъци на диска и съхранява и изпълнява код само от паметта на компютъра.
Kovter, семейство троянци с измами с кликвания, които напоследък са били наблюдавани да се асоциират с семейства с ransomware като Locky. Миналата година, през ноември Kovter, бе открита отговорен за огромния скок в новите варианти на злонамерен софтуер.
Kovter се доставя главно чрез фишинг имейли, като скрива повечето от злонамерените си компоненти чрез ключове в системния регистър. Тогава Kovter използва местни приложения, за да изпълни кода и да извърши инжекцията. Той постига постоянство чрез добавяне на преки пътища (.lnk файлове) към стартовата папка или добавянето на нови ключове към системния регистър.
Две записи в системния регистър се добавят от злонамерения софтуер, за да му се отвори компонентният файл от законната програма mshta.exe. Компонентът извлича затъмнен полезен товар от третия ключ на системния регистър. Скриптът PowerShell се използва, за да изпълни допълнителен скрипт, който инжектира кода на кошчето в целевия процес. Kovter използва процеси, които изхвърлят зловреден код в легитимни процеси чрез този shellcode.
Атом бомбардиране
Atom Bombing е друга техника за инжектиране на код, която Microsoft твърди, че блокира. Тази техника разчита на злонамерен софтуер, който съхранява злонамерен код вътре в атомните таблици. Тези таблици са таблици със споделена памет, където всяко приложение съхранява информацията за низове, обекти и други видове данни, които изискват ежедневен достъп. Atom Bombing използва асинхронни процедури (APC), за да изтегли кода и да го вмъкне в паметта на целевия процес.
Dridex ранен осиновител на атомната бомбардировка
Dridex е банков троянски кон, който за първи път е забелязан през 2014 г. и е един от най-ранните осиновители на атомни бомбардировки.
Dridex се разпространява най-вече чрез спам имейли, предназначен основно за открадване на банкови данни и поверителна информация. Той също така деактивира продуктите за сигурност и предоставя на нападателите отдалечен достъп до компютрите на жертвите. Заплахата остава скрита и упорита, като се избягват общи API повиквания, свързани с техниките за инжектиране на код.
Когато Dridex се изпълнява на компютъра на жертвата, той търси целеви процес и гарантира, че user32.dll се зарежда от този процес. Това е така, защото се нуждае от DLL за достъп до необходимите функции на атомна маса. След това злонамереният софтуер записва своя shellcode на глобалната атомна таблица, освен това добавя NtQueueApcThread повиквания за GlobalGetAtomNameW към опашката на APC на целевата нишка на процеса, за да го принуди да копира злонамерения код в паметта.
Джон Лундгрен, изследователският екип на Windows Defender ATP, казва:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft най-сетне се сблъсква с проблемите, свързани с инжектирането на кода, и се надяваме в края на краищата да видим, че компанията добавя тези разработки към безплатната версия на Windows Defender.