Windows 10 Creators -päivitys Päivityksen tietoturvaominaisuuksiin sisältyy Windows Defender Advanced Threat Protectionin parannuksia. Näiden parannusten avulla käyttäjät voivat suojata uhkia, kuten Kovter ja Dridex-troijalaisia, sanoo Microsoft. Selkeästi, että Windows Defender ATP pystyy havaitsemaan näiden uhkien, kuten Prosessiaukko ja Atom Bombing. Useat muut uhkat käyttävät näitä menetelmiä, joiden avulla haittaohjelmat voivat tartuttaa tietokoneita ja harjoittaa erilaisia halveksittavia toimintoja samalla, kun ne jäävät salamyhkäisiksi.
Prosessiaukko
Prosessi, joka kuttaa laillisen prosessin uutta ilmentymää ja "kasaantuu", tunnetaan prosessihöyryksi. Tämä on periaatteessa koodinpistomenetelmä, jossa laillista koodia korvataan haittaohjelmien käytöstä. Muut injektointitekniikat yksinkertaisesti lisäävät haitallisen ominaisuuden lailliseen prosessiin, jolloin kasaantuminen johtaa prosessiin, joka näyttää oikeutetulta, mutta joka on ensisijaisesti haitallista.
Kovterin käyttämä prosessihöyry
Microsoft käsittelee prosessin kasaamista yhtenä suurimmista ongelmista, jota Kovter ja monet muut haittaohjelmat käyttävät. Haittaohjelmien käyttäjiä ovat käyttäneet tätä tekniikkaa tiedostomuutoksissa, joissa haittaohjelmat jättävät levylle vähäisiä jalanjälkiä ja varastoivat ja suorittavat koodin vain tietokoneen muistista.
Kovter, perheen napsautuspetoksen troijalaisia, joiden äskettäin on havaittu liittyvän ransomwareperheisiin, kuten Lockyyn. Viime vuonna, marraskuussa Kovter, todettiin vastuuseen massiiviseen piikkiin uusista haittaohjelmien vaihtoehdoista.
Kovter toimitetaan pääasiassa phishing-sähköpostin kautta, se kätkee suurimman osan sen haittaohjelmista rekisteriavainten avulla. Sitten Kovter käyttää natiivisovelluksia koodin suorittamiseen ja ruiskutuksen suorittamiseen. Se saavuttaa pysyvyyden lisäämällä käynnistyskansiin pikavalintoja (.lnk-tiedostoja) tai lisäämällä rekisteriin uusia avaimia.
Haittaohjelmat lisäävät kaksi rekisterimerkintää, jotta sen oikean ohjelman mshta.exe avasi sen osatiedoston. Komponentti poistaa kolmannen rekisteriavaimen hämärän hyötykuorman. PowerShell-komentosarjaa käytetään ylimääräisen komentosarjan suorittamiseen, joka injektoi shell-koodin kohdeprosessiin. Kovter käyttää prosessin kaventamista haitallisen koodin pistämiseen laillisille prosesseille tämän shell-koodin kautta.
Atom Bombing
Atom Bombing on toinen kooditekniikka, jonka Microsoft väittää estävän. Tämä tekniikka perustuu haittaohjelmiin, jotka tallentavat haitallisia koodeja atomitaulukoihin. Nämä taulukot ovat jaettuja muistitaulukoita, joissa kaikki sovellus tallentaa tiedot merkkijonoihin, esineisiin ja muuhun dataan, jotka edellyttävät päivittäistä käyttöä. Atom Bombing käyttää asynkronisia menettelytapoja (APC) hakemaan koodin ja lisää sen kohdeprosessin muistiin.
Dridex on atomin pommituksen varhaisin sovittelija
Dridex on pankkimaailma, joka havaittiin ensimmäisen kerran vuonna 2014 ja on ollut yksi atomipommituksen aikaisimmista käyttöönottajista.
Dridex jakautuu useimmiten roskapostiviestien välityksellä, sillä se on ensisijaisesti suunniteltu varastamaan pankkitiedostoja ja arkaluonteisia tietoja. Se myös poistaa suojaustuotteet käytöstä ja tarjoaa hyökkääjille etäkäytön uhri-tietokoneisiin. Uhka on edelleen piilotonta ja tyrmistynyttä välttäen yhteisiä API-kutsumia, jotka liittyvät koodinpidätystekniikoihin.
Kun Dridex toteutetaan uhrin tietokoneella, se etsii kohdeprosessia ja varmistaa, että tämä prosessi lataa user32.dll. Tämä johtuu siitä, että DLL tarvitsee tarvittavat atomin taulukkotoiminnot. Sen jälkeen haittaohjelmat kirjoittavat sen shell-koodin maailmanlaajuiselle atomipöytään, lisää se lisäksi NtQueueApcThread-kutsut GlobalGetAtomNameW: lle kohdeprosessilangan APC-jonoon pakottaakseen sen kopioimaan haitallisen koodin muistiin.
Windows Defenderin ATP-tutkimusryhmän John Lundgren sanoo,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft vihdoinkin näkemään koodin injektointikysymyksiä, toivottavasti lopulta nähdään, että yritys lisäsi nämä kehitykset Windows Defenderin ilmaiseen versioon.
