Prosess Hulling og Atom Bombing beskyttelse i Windows Defender ATp

Windows 10-skapere Oppdater sikkerhetsforbedringer inkluderer forbedringer i Advanced Defensive Protection for Windows Defender. Disse forbedringene ville holde brukerne beskyttet mot trusler som Kovter og Dridex Trojans, sier Microsoft. Det er klart at Windows Defender ATP kan oppdage kodeinjeksjonsteknikker knyttet til disse truslene, for eksempel Process Hollowing og Atom Bombing . Disse metodene tillater allerede malware å infisere datamaskiner og engasjere seg i ulike foragtelige aktiviteter, mens de fortsatt er lunte.

Prosess Hollowing

Prosessen med å gyte en ny forekomst av en legitim prosess og "hule ut det" er kjent som Process Hollowing. Dette er i utgangspunktet en kodeinjeksjonsteknikk der den legitime koden er erstattet med skadelig programvare. Andre injeksjonsteknikker legger ganske enkelt en ondsinnet funksjon til den legitime prosessen, og hollowing resulterer i en prosess som virker legitim, men er først og fremmest ondsinnet.

Process Hollowing brukt av Kovter

Microsoft adresseprosess hollowing som en av de største problemene, det er brukt av Kovter og diverse andre malware familier. Denne teknikken har blitt brukt av malwarefamilier i fil-mindre angrep, der malware går ubetydelig fotspor på disk og lagrer og kjører bare kode fra datamaskinens minne.

Kovter, en familie av klikkfusk trojanske som nylig har vært observert å knytte seg til ransomware familier som Locky. I fjor ble det i november Kovter funnet ansvarlig for en massiv spike i nye malwarevarianter.

Kovter leveres hovedsakelig via phishing-e-post, den skjuler de fleste skadelige komponentene via registernøkler. Deretter bruker Kovter innfødte programmer for å utføre koden og utføre injeksjonen. Det oppnår utholdenhet ved å legge til snarveier (.lnk-filer) til oppstartsmappen eller legge til nye nøkler i registret.

To registeroppføringer legges til av skadelig programvare for å få sin komponentfil åpnet av det legitime programmet mshta.exe. Komponenten trekker ut en obfuscated nyttelast fra en tredje registernøkkel. Et PowerShell-skript brukes til å utføre et ekstra skript som injiserer skjermkoden i en målprosess. Kovter bruker prosesshollowing til å injisere skadelig kode i legitime prosesser gjennom denne shellcode.

Atom Bombing er en annen kodeinjiseringsteknikk som Microsoft hevder å blokkere. Denne teknikken er avhengig av skadelig programvare som lagrer ondsinnet kode inne i atomtabeller. Disse tabellene er delte minnetabeller der alt program lagrer informasjonen på strenger, objekter og andre typer data som krever daglig tilgang. Atom Bombing bruker asynkrone proseduresamtaler (APC) for å hente koden og sette den inn i minnet av målprosessen.

Dridex en tidlig adopter av atombombingen

Dridex er en banktrojan som ble oppdaget første gang i 2014 og har vært en av de tidligste adopterne av atombombing.

Dridex distribueres for det meste via spam e-post, det var først og fremst designet for å stjele bankopplysninger og sensitiv informasjon. Det deaktiverer også sikkerhetsprodukter og gir angriperne ekstern tilgang til offerdatamaskinene. Truselen forblir surreptitiv og stødig ved å unngå felles API-anrop som er knyttet til kodeinjeksjonsteknikker.

Når Dridex blir utført på offerets datamaskin, ser det etter en målprosess og sikrer at user32.dll lastes av denne prosessen. Dette skyldes at den trenger DLL for å få tilgang til de nødvendige atombordfunksjonene. Deretter skriver malware sin shellcode til det globale atombordet, og legger videre til NtQueueApcThread-anrop for GlobalGetAtomNameW til APC-køen i målprosesstråden for å tvinge den til å kopiere den skadelige koden til minnet.

John Lundgren, Windows Defender ATP Research Team, sier, "Kovter og Dridex er eksempler på fremtredende malwarefamilier som utviklet seg for å unngå deteksjon ved hjelp av kodeinjeksjonsteknikker. Uansett vil prosesshulling, atombombing og andre avanserte teknikker bli brukt av eksisterende og nye malwarefamilier, legger han til. Windows Defender ATP gir også detaljerte hendelsestidslinjer og annen kontekstuell informasjon som SecOps-team kan bruke til å forstå angrep og reagere raskt. Den forbedrede funksjonaliteten i Windows Defender ATP gjør det mulig for dem å isolere offermaskinen og beskytte resten av nettverket. "

Microsoft er endelig sett på å ta opp kodeinjeksjonsproblemer, håper å til slutt se at selskapet legger til denne utviklingen i den gratis versjonen av Windows Defender.