Proseso Hollowing & Atom Bombing proteksyon sa Windows Defender ATp

Windows 10 Creator I-update ang mga pagpapahusay sa seguridad ay kinabibilangan ng mga pagpapabuti sa Windows Defender Advanced Threat Protection. Ang mga pagpapahusay na ito ay panatilihin ang mga gumagamit na protektado mula sa mga banta tulad ng Kovter at Dridex Trojans, sabi ng Microsoft. Talaga, ang Windows Defender ATP ay maaaring makakita ng mga diskarte sa pag-iniksyon ng code na nauugnay sa mga banta na ito, tulad ng Proseso Hollowing at Atom Bombing . Ginagamit ng maraming iba pang mga pagbabanta, ang mga pamamaraan na ito ay nagbibigay-daan sa malware na makahawa sa mga computer at nakikipag-ugnayan sa iba`t ibang mga kasuklam-suklam na gawain habang nananatiling pailalim.

Proseso Hollowing

Ang proseso ng pagbubukbos ng isang bagong pagkakataon ng isang lehitimong proseso at " ay kilala bilang Proseso Hollowing. Ito ay karaniwang isang pamamaraan sa pag-iniksyon ng code kung saan ang Lehitimong code ay pinalitan ng malware. Ang iba pang mga diskarte sa pag-iiniksyon ay nagdaragdag lamang ng isang nakakahamak na tampok sa lehitimong proseso, ang mga resulta ng hollowing sa isang proseso na kung saan ay lilitaw na lehitimo ngunit pangunahing nakakahamak.

Process Hollowing na ginamit ng Kovter

Microsoft address na proseso hollowing bilang isa sa mga pinakamalaking isyu, ito ay na ginamit ni Kovter at iba`t ibang mga pamilya ng malware. Ang pamamaraan na ito ay ginagamit ng mga pamilya ng malware sa mga pag-atake na hindi kumokontrol sa file, kung saan ang mga malware ay nag-iwan ng mga hindi bababa sa mga bakas ng paa sa disk at mga tindahan at nagpapatupad ng code lamang mula sa memory ng computer.

Kovter, isang pamilya ng mga click-pandaraya Trojans na kamakailan lamang sinusunod na iugnay sa mga pamilya ng ransomware tulad ng Locky. Sa nakaraang taon, noong Nobyembre Kovter, natagpuang nananagot para sa isang napakalaking spike sa mga bagong variant ng malware.

Kovter ay inihatid ng higit sa lahat sa pamamagitan ng phishing na mga email, itinatago nito ang karamihan sa mga nakakahamak na sangkap nito sa pamamagitan ng mga registry key. Pagkatapos ay gumagamit si Kovter ng mga katutubong application upang isagawa ang code at isagawa ang iniksyon. Nakakamit ang pagtitiyaga sa pamamagitan ng pagdaragdag ng mga shortcut (.lnk file) sa folder ng startup o pagdaragdag ng mga bagong key sa registry.

Dalawang mga registry entry ang idinagdag ng malware upang mabuksan ang bahagi ng file nito sa pamamagitan ng lehitimong program na mshta.exe. Ang bahagi ay kinukuha ng isang obfuscated na kargamento mula sa isang ikatlong key ng pagpapatala. Ang isang PowerShell script ay ginagamit upang magsagawa ng isang karagdagang script na injects shellcode sa isang target na proseso. Ang Kovter ay gumagamit ng process hollowing upang maipasok ang malisyosong code sa mga lehitimong proseso sa pamamagitan ng shellcode na ito.

Atom Bombing

Ang Atom Bombing ay isa pang pamamaraan sa pag-iniksyon ng code na sinasabing hinarang ng Microsoft. Ang pamamaraan na ito ay nakasalalay sa malware na nagtatabi ng malisyosong code sa loob ng mga talahanayan ng atom. Ang mga talahanayan na ito ay ibinahagi sa mga talahanayan ng memorya kung saan ang lahat ng application ay nag-iimbak ng impormasyon sa mga string, bagay, at iba pang mga uri ng data na nangangailangan ng pang-araw-araw na pag-access. Ang Atom Bombing ay gumagamit ng asynchronous procedure calls (APC) upang kunin ang code at ipasok ito sa memorya ng proseso ng target.

Dridex isang unang tagagamit ng atom bombing

Dridex ay isang pagbabangko trojan na unang nakita sa 2014 at ay isa sa pinakamaagang adopters ng atom bombing.

Ang Dridex ay kadalasang ipinamamahagi sa pamamagitan ng mga email na spam, lalo itong dinisenyo upang magnakaw ng mga kredensyal sa bangko at sensitibong impormasyon. Hindi rin nito pinapagana ang mga produkto ng seguridad at nagbibigay ng mga attacker na may malayuang pag-access sa mga computer ng biktima. Ang pananakot ay nananatiling tahimik at matigas sa pamamagitan ng pag-iwas sa karaniwang mga tawag sa API na nauugnay sa mga diskarte sa pag-iniksyon ng code.

Kapag ang Dridex ay naisakatuparan sa computer ng biktima, hinahanap nito ang isang target na proseso at tinitiyak na ang user32.dll ay na-load ng prosesong ito. Ito ay dahil kailangan nito ang DLL upang ma-access ang mga kinakailangang function ng atom table. Sumusunod, ang malware ay nagsusulat ng shellcode nito sa pandaigdigang talahanayan ng atom, ang karagdagang ito ay nagdaragdag ng mga tawag na NtQueueApcThread para sa GlobalGetAtomNameW sa queue ng APC ng thread na proseso ng target upang pilitin ito upang kopyahin ang malisyosong code sa memorya.

Sinabi ni John Lundgren, ang Windows Defender ATP Research Team,

"Ang Kovter at Dridex ay mga halimbawa ng mga kilalang pamilya ng malware na lumiliko upang maiwasan ang pagtuklas gamit ang mga diskarte sa pag-iniksyon ng code. Hindi maaaring hindi, ang proseso ng pagwawaldas, pagbomba sa atom, at iba pang mga advanced na diskarte ay gagamitin ng mga umiiral at bagong mga pamilya ng malware, "dagdag niya." Nagbibigay din ang Windows Defender ATP ng detalyadong mga timeline ng kaganapan at iba pang impormasyon sa konteksto na magagamit ng mga koponang SecOps upang maunawaan ang mga pag-atake at mabilis na tumugon. Ang pinahusay na pag-andar sa Windows Defender ATP ay nagbibigay-daan sa kanila na ihiwalay ang makina ng biktima at protektahan ang natitirang bahagi ng network. "

Sa wakas ay nakita ng Microsoft ang pag-address ng mga isyu sa iniksyon ng code, umaasa upang makita ang kumpanya sa pagdaragdag ng mga pagpapaunlad sa libreng bersyon ng Windows Defender.