Bescherming tegen procesopeningen en atoombombardementen in Windows Defender ATp

Windows 10 Creators Update-beveiligingsverbeteringen omvatten verbeteringen in Windows Defender Advanced Threat Protection. Deze verbeteringen zouden de gebruikers beschermen tegen bedreigingen zoals Kovter en Dridex Trojans, zegt Microsoft. Expliciet kan Windows Defender ATP code-injectietechnieken detecteren die zijn gekoppeld aan deze bedreigingen, zoals Process Hollowing en Atom Bombing . Deze methoden worden al gebruikt door tal van andere bedreigingen en laten malware toe om de computers te infecteren en verschillende verachtelijke activiteiten uit te voeren terwijl ze onopgemerkt blijven.

Procesdoorsnede

Het proces van het uitzetten van een nieuw exemplaar van een legitiem proces en het "uithollen" staat bekend als Process Hollowing. Dit is in feite een code injectietechniek waarbij de legitieme code wordt vervangen door die van de malware. Andere injectietechnieken voegen eenvoudigweg een kwaadwillende functie toe aan het legitieme proces, uithollen resulteert in een proces dat legitiem lijkt maar vooral kwaadaardig is.

Proces-uitholling gebruikt door Kovter

Microsoft pakt hol geslagen uit als een van de grootste problemen, het is gebruikt door Kovter en verschillende andere malwarefamilies. Deze techniek is door malwarefamilies gebruikt in bestandsloze aanvallen, waarbij de malware te verwaarlozen voetafdrukken op schijf achterlaat en code alleen uit het geheugen van de computer opslaat en uitvoert.

Kovter, een familie van klikfraude-trojaanse paarden die zeer recent zijn waargenomen te associëren met ransomwarefamilies zoals Locky. Vorig jaar, in november Kovter, werd verantwoordelijk gesteld voor een enorme piek in nieuwe malwarevarianten.

Kovter wordt voornamelijk via phishing-e-mails afgeleverd, het verbergt de meeste van zijn schadelijke componenten via registersleutels. Vervolgens gebruikt Kovter native applicaties om de code uit te voeren en de injectie uit te voeren. Het bereikt persistentie door snelkoppelingen (. LNK-bestanden) toe te voegen aan de opstartmap of nieuwe sleutels toe te voegen aan het register.

Twee registervermeldingen worden door de malware toegevoegd om het bestand met componenten te laten openen door het legitieme programma mshta.exe. De component extraheert een versluierde payload van een derde registersleutel. Een PowerShell-script wordt gebruikt om een ​​extra script uit te voeren dat shellcode in een doelproces injecteert. Kovter gebruikt procesuitholling om kwaadaardige code in legitieme processen te injecteren via deze shellcode.

Atom Bombing

Atom Bombing is een andere code injectietechniek die Microsoft beweert te blokkeren. Deze techniek is gebaseerd op malware die schadelijke code in atomaire tabellen opslaat. Deze tabellen zijn gedeelde geheugentabellen waarin alle toepassingen de informatie over tekenreeksen, objecten en andere soorten gegevens opslaan die dagelijks moeten worden geopend. Atom Bombing gebruikt asynchrone procedureaanroepen (APC) om de code op te halen en deze in het geheugen van het doelproces op te nemen.

Dridex is een vroege adopter van het atoombombardement

Dridex is een bancaire trojan die voor het eerst werd gespot in 2014 en is een van de eerste aanvragers van atoombommen geweest. <> Dridex wordt meestal verspreid via spam-e-mails, het was vooral bedoeld om bankreferenties en gevoelige informatie te stelen. Het schakelt ook beveiligingsproducten uit en biedt de aanvallers externe toegang tot de computers van het slachtoffer. De dreiging blijft heimelijk en obstinaat door het vermijden van algemene API-oproepen die verband houden met code-injectietechnieken.

Wanneer Dridex wordt uitgevoerd op de computer van het slachtoffer, zoekt het naar een doelproces en zorgt ervoor dat user32.dll door dit proces wordt geladen. Dit komt omdat het DLL-bestand toegang heeft tot de vereiste atoomtafelfuncties. Hierna schrijft de malware zijn shellcode naar de globale atoomtabel, verder voegt het NtQueueApcThread-aanroepen voor GlobalGetAtomNameW toe aan de APC-wachtrij van de doelprocesthread om het te dwingen de schadelijke code naar het geheugen te kopiëren.

John Lundgren, het Windows Defender ATP Research Team, zegt:

"Kovter en Dridex zijn voorbeelden van prominente malwarefamilies die zijn geëvolueerd om detectie te omzeilen met behulp van code-injectietechnieken. Onvermijdelijk zullen procesuitholling, atoombomboming en andere geavanceerde technieken worden gebruikt door bestaande en nieuwe malwarefamilies, "voegt hij eraan toe." Windows Defender ATP biedt ook gedetailleerde event-tijdlijnen en andere contextuele informatie die SecOps-teams kunnen gebruiken om aanvallen te begrijpen en snel te reageren. De verbeterde functionaliteit in Windows Defender ATP stelt hen in staat om de machine van het slachtoffer te isoleren en de rest van het netwerk te beschermen. "

Microsoft heeft eindelijk problemen met code-injectie gezien en hoopt uiteindelijk dat het bedrijf deze ontwikkelingen toevoegt aan de gratis versie van Windows Defender.