Microsoft Defender Advanced Threat Protection in 20 minutes | THR2046
Tartalomjegyzék:
Windows 10 Creators A biztonsági fejlesztések frissítése a Windows Defender Advanced Threat Protection javításait tartalmazza. Ezek a fejlesztések megóvnák a felhasználókat olyan fenyegetések ellen, mint a Kovter és a Dridex trójaiak, mondja a Microsoft. Explicit módon a Windows Defender ATP észlelheti az ilyen fenyegetésekkel kapcsolatos kódbefecskendezési technikákat, például Folyamatos üreges és Atom bomba . Számos más fenyegetés által már használt, ezek a módszerek lehetővé teszik a rosszindulatú programok számára, hogy megfertőzzék a számítógépeket, és különböző elnéptelenedő tevékenységeket folytatnak, miközben lopakodóak maradnak.
Process Hollowing
A folyamat, amely egy legitim folyamat egy új példányát hozza létre és "üríti ki" a folyamat üreges. Ez alapvetően egy kód-befecskendezési technika, amelyben a törvényes kódot a rosszindulatú program helyettesíti. Az egyéb befecskendezési technikák egyszerűen csak rosszindulatú jellemzőt adnak a legális folyamatba, az üregezés jogszerűnek, de elsődlegesen rosszindulatúnak bizonyul.
A Kovter
által használt folyamatadagolás A Microsoft az egyik legnagyobb kérdésként kezeli az üregezés folyamatát. amelyet a Kovter és más rosszindulatú családok használnak. Ezt a technikát rosszindulatú családok használják fájl nélküli támadásokban, ahol a rosszindulatú szoftverek elhanyagolható lábnyomokat hagynak a lemezen, és csak a számítógép memóriájából tárolják és végrehajtják a kódot.
Kovter, a csalócsaló család, megfigyelték, hogy csatlakoznak a felmentést végző családokhoz, mint a Locky. Az elmúlt évben, novemberben, Kovterben találták felelősségre az új malware változatok tömeges tüskéjét.
A Kovter elsősorban az adathalász e-maileken keresztül szállít, a rosszindulatú összetevők többségét a rendszerleíró kulcsok segítségével elrejti. Ezután a Kovter natív alkalmazásokat használ a kód végrehajtásához és az injektálás végrehajtásához. Ez persze megmarad, ha parancsikonokat (.lnk fájlokat) ad hozzá az indító mappához, vagy hozzáadja az új kulcsokat a rendszerleíró adatbázishoz.
A rosszindulatú szoftverek két regisztrációs bejegyzéseket adnak hozzá ahhoz, hogy az mshta.exe törvényes program által megnyitott összetevőt megnyitják. Az összetevő elvonja a zavaros terhelést egy harmadik rendszerleíró kulcsból. A PowerShell szkriptet egy további parancsfájl futtatására használják, amely a shellkódot célprocesszé alakítja. A Kovter a feldolgozási eljárást használja a rosszindulatú kód törvényes folyamatokba való beadásával a kódkód segítségével.
Atom Bombing
Az Atom Bombing egy másik kódbefecskendezési technika, amelyet a Microsoft blokkolja. Ez a technika rosszindulatú kódot tároló rosszindulatú kódokat használ az atomtáblákon belül. Ezek a táblák megosztott memória táblák, ahol az összes alkalmazás tárolja az információkat a karakterláncokra, tárgyakra és más típusú adatokra, amelyek napi hozzáférést igényelnek. Az Atom Bombing aszinkron eljárási hívásokat (APC) használ fel a kód lekéréséhez és a célfolyam memóriájába való beillesztéshez.
Dridex az atombomba korai alkalmazója
A Dridex egy banki trójai, amelyet először észleltek 2014-ben és az atomrobbanás egyik legkorábbi alkalmazója.
A Dridex-et többnyire spamszemekkel terjesztették, elsősorban arra, hogy ellopja a banki hitelesítő adatokat és az érzékeny információkat. Ezenkívül letiltja a biztonsági termékeket, és hozzáférést biztosít a támadók számára az áldozat számítógépekhez. A fenyegetés továbbra is burkolt és kopaszodik a kódbefecskendezési technikákkal kapcsolatos közös API-hívások elkerülésével.
Amikor a Dridex végrehajtásra kerül az áldozat számítógépén, megkeresi a célfolyamatot, és biztosítja, hogy a processzor betölti a user32.dll fájlt. Ez azért van, mert szüksége van a DLL-nek a szükséges atomtáblázatfüggvények elérésére. Ezt követően a rosszindulatú program a shell-kódot a globális atomtáblára írja, továbbá hozzáadja az NtQueueApcThread-hívásokat a GlobalGetAtomNameW-hez a célfolyamat cella APC sorához, és arra kényszeríti, hogy a rosszindulatú kódot a memóriába másolja.
John Lundgren, a Windows Defender ATP kutatócsapata szerint:
"A Kovter és a Dridex példák olyan kiemelkedő rosszindulatú családok számára, amelyek a kódbefecskendezési technikák alkalmazásával elkerülik a felderítést. A meglévő és az új malware családok elkerülhetetlenül használják a meglévő és az új malware családok használatát "- tette hozzá." A Windows Defender ATP részletes eseménysorozatokat és egyéb, a SecOps csapatok által használt támadásokat és gyors reagálási információkat is tartalmaz. A Windows Defender ATP továbbfejlesztett funkcionalitása lehetővé teszi számukra az áldozatgép elkülönítését és a hálózat többi részének védelmét. "
A Microsoft végre látta a kód injektálással kapcsolatos kérdéseket, remélve, hogy végül meglátja a cégnek ezeket a fejlesztéseket a Windows ingyenes verziójához Defender.
Korai elindítás elleni védelem elleni védelem (ELAM) a Windows operációs rendszerben
Korai indítás elleni védelem (ELAM) a Windows 10 / 8 biztosítja a védelmet még a rendszerindítási időben is. Letiltás, A Boot-Start illesztőprogram inicializálási szabályainak konfigurálása
A Windows Defender ATP új funkciói a Windows 10 Fall Creators frissítése alatt
Windows Defender ATP a Windows 10 rendszerben A Fall Creators frissítése számos új funkciót tartalmaz Exploit Guard, egy ablak üveg nézet a Windows Security Stack, stb
Még akkor is, ha már lefoglaltad az ingyenes Windows 10 frissítést, észre fogod venni, hogy a Windows 10 App ikon továbbra is a tálcán található. Bár ez nem nagy baj, főleg azok számára, akik frissíteni szeretnék a Windows 10-öt, különösen azok, akik nem akarják frissíteni a Windows 8.1 vagy Windows 7 rendszert, előfordulhat, hogy el szeretnék rejteni vagy eltávolítani. folyamat, amely felelős az ikonért, a
GWX.exe