Zistite zlomyseľný krížový proces injekcie s programom Windows Defender ATP

Obsah:

Zistite zlomyseľný krížový proces injekcie s programom Windows Defender ATP
Zistite zlomyseľný krížový proces injekcie s programom Windows Defender ATP

Video: Zistite zlomyseľný krížový proces injekcie s programom Windows Defender ATP

Video: Zistite zlomyseľný krížový proces injekcie s programom Windows Defender ATP
Video: Can’t Open Exe Files in Windows 10/8/7 FIX - YouTube 2024, Marec
Anonim

Windows Defender ATP je bezpečnostná služba, ktorá umožňuje personálu bezpečnostných operácií (SecOps) odhaliť, vyšetrovať a reagovať na pokročilé hrozby a nepriateľskú aktivitu. Minulý týždeň blogový príspevok vydal výskumný tím Windows Defender ATP, ktorý ukazuje, ako program Windows Defender ATP pomáha SecOps zamestnancom odhaliť a riešiť útoky.

V blogu spoločnosť Microsoft hovorí, že predvedie svoje investície na zvýšenie prístrojovej techniky a detekcie techník v pamäti v trojdielnej sérii. Séria by pokryla -

  1. Zlepšenie detekcie pri injektovaní kódu v priečnom procese
  2. Zvyšovanie jadra a manipulácia s ním
  3. Využívanie v pamäti

V prvom príspevku ich hlavné zameranie bolo injekcia v rámci procesu, Ukázali, ako budú vylepšenia, ktoré budú k dispozícii v aktualizácii tvorcov programu Windows Defender ATP, rozpoznať širokú škálu útokov. To by zahŕňalo všetko od komoditného malwaru, ktorý sa pokúšal skryť z hladkého pohľadu na sofistikované skupiny aktivít, ktoré sa zaoberajú cielenými útokmi.

Image
Image

Ako injekcia naprieč procesom pomáha útočníkom

Útočníci sa stále dokážu vyvíjať alebo zakúpiť nulové zneužitie. Dávajú väčší dôraz na vyhýbanie sa detekcii, aby ochránili svoje investície. K tomu sa väčšinou spoliehajú na útoky v pamäti a eskaláciu privilégií jadra. To im umožňuje zabrániť dotyku disku a zostať extrémne tajné.

Útočníci s krížovým procesom získavajú väčšiu viditeľnosť do bežných procesov. Inšpekcia v rámci viacerých procesov skrýva škodlivý kód v rámci benígnych procesov, čo znemožňuje ich utajenie.

Podľa príspevku, Vstrekovanie cez proces je dvojaký proces:

  1. Škodlivý kód je umiestnený na novú alebo existujúcu spustiteľnú stránku v rámci vzdialeného procesu.
  2. Zavádzaný škodlivý kód sa vykonáva prostredníctvom kontroly kontextu vlákna a výkonu

Ako Windows Defender ATP detekuje injekcie s viacerými procesmi

Príspevok na blogu hovorí, že aktualizácia tvorcov programu Windows Defender ATP je dobre vybavená na detekciu širokej škály škodlivých injekcií. Má prístrojové volania funkcií a postavil štatistické modely na riešenie toho istého. Výskumný tím programu Windows Defender ATP testoval vylepšenia v prípadoch v reálnom svete, aby určil, ako by vylepšenia mohli účinne odhaliť nepriateľské aktivity, ktoré napájajú injekčné riešenie medzi procesmi. Prípady v reálnom svete uvedené v príspevku sú komoditný malware pre ťažbu šifrovacích zariadení, Fynloski RAT a cielený útok GOLD.

Priebežná injekcia, podobne ako iné techniky v pamäti, sa tiež môže vyhnúť antimalwarom a iným bezpečnostným riešeniam, ktoré sa zameriavajú na kontrolu súborov na disku. Vďaka aktualizácii Windows 10 tvorcov bude program Windows Defender ATP napájaný tak, aby poskytoval zamestnancom SecOps ďalšie možnosti na objavovanie škodlivých aktivít využívajúcich injekčné riešenia v rámci viacerých procesov.

Podrobný časový harmonogram udalostí, ako aj ďalšie kontextové informácie poskytuje aj program Windows Defender ATP, ktorý môže byť užitočný pre pracovníkov SecOps. Tieto informácie môžu ľahko využiť na rýchle pochopenie povahy útokov a na okamžité reakcie. Je zabudovaný do jadra systému Windows 10 Enterprise. Prečítajte si viac o nových funkciách programu Windows Defender ATP TechNet.

Odporúča: