Processhålning och Atom Bombing Protection i Windows Defender ATp

Windows 10-skapare Uppdatera säkerhetsförbättringar inkluderar förbättringar i Advanced Defensive Protection för Windows Defender. Dessa förbättringar skulle hålla användarna skyddade mot hot som Kovter och Dridex Trojans, säger Microsoft. Uppenbarligen kan Windows Defender ATP upptäcka injektionstekniker som är förknippade med dessa hot, till exempel Process Hollowing och Atom Bombing . Dessa metoder används redan av många andra hot och tillåter att skadlig programvara infekterar datorerna och engagerar sig i olika föraktliga aktiviteter medan de fortfarande är smarta.

Process Hollowing

Processen för att gyta en ny instans av en legitim process och "hylla ut det" är känt som Process Hollowing. Detta är i grunden en kodinjektionsteknik där den legitima koden ersätts med skadlig kod. Andra insprutningstekniker lägger helt enkelt en skadlig funktion till den legitima processen, vilket resulterar i en process som verkar vara legitim men är främst skadlig.

Process Hollowing används av Kovter

Microsoft adressprocesser höljer som en av de största problemen, det är används av Kovter och olika andra malwarefamiljer. Den här tekniken har använts av malwarefamiljer i filer utan attacker, där skadlig programvara lämnar försumbara fotspår på disken och lagrar och exekverar kod endast från datorns minne.

Kovter, en familj av klickfusk trojaner som nyligen har varit observerades att associera sig med ransomwarefamiljer som Locky. Förra året, i november Kovter, fann sig ansvarig för en massiv spik i nya malwarevarianter.

Kovter levereras huvudsakligen via phishing-e-postmeddelanden, det döljer de flesta skadliga komponenterna via registernycklarna. Då använder Kovter inhemska applikationer för att utföra koden och utföra injektionen. Det uppnår uthållighet genom att lägga till genvägar (.lnk-filer) till startmappen eller lägga till nycklar till registret.

Två registerposter läggs till av skadlig programvara för att få sin komponentfil öppnad av det legitima programmet mshta.exe. Komponenten extraherar en obfuscated nyttolast från en tredje registernyckel. Ett PowerShell-skript används för att utföra ett extra skript som injicerar skalkod i en målprocess. Kovter använder processavhämtning för att injicera skadlig kod till legitima processer genom denna skalakod.

Atom Bombing

Atom Bombing är en annan kodinjektionsteknik som Microsoft hävdar att blockera. Denna teknik bygger på skadlig kod som lagrar skadlig kod inom atomtabellerna. Dessa tabeller är delade minnetabeller där alla program lagrar informationen på strängar, objekt och andra typer av data som kräver daglig åtkomst. Atom Bombing använder asynkrona procedursamtal (APC) för att hämta koden och sätta in den i minnet av målprocessen.

Dridex, en tidig adopterare av atombombningen

Dridex är en banktrojan som först upptäcktes 2014 och har varit en av de tidigaste ombuden av atombombning.

Dridex distribueras mestadels via spam-e-postmeddelanden. Det var främst utformat för att stjäla bankuppgifter och känslig information. Det inaktiverar också säkerhetsprodukter och ger angriparna fjärråtkomst till offrets datorer. Hotet förblir surreptitivt och ständigt genom att undvika gemensamma API-samtal i samband med kodinjektionstekniker.

När Dridex körs på offrets dator söker den efter en målprocess och säkerställer att user32.dll laddas av den här processen. Detta beror på att den behöver DLL för att få tillgång till de nödvändiga atombordsfunktionerna. Därefter skriver malware sin sköldkod till det globala atombordet och lägger vidare till NtQueueApcThread-samtal för GlobalGetAtomNameW till APC-köen i målprocessgängan för att tvinga den att kopiera den skadliga koden i minnet.

John Lundgren, Windows Defender ATP Research Team, säger

"Kovter och Dridex är exempel på framstående malwarefamiljer som utvecklats för att undvika detektering med hjälp av kodinjektionstekniker. Oavsiktligt kommer processhålning, atombombning och andra avancerade tekniker att användas av befintliga och nya malwarefamiljer, säger han. Windows Defender ATP tillhandahåller också detaljerade händelsetidlinjer och annan kontextuell information som SecOps-team kan använda för att förstå attacker och snabbt svara. Den förbättrade funktionaliteten i Windows Defender ATP gör det möjligt för dem att isolera offret maskinen och skydda resten av nätverket. "

Microsoft ser slutligen på att hantera kodinjektionsproblem, hoppas att så småningom se företaget lägga till den här utvecklingen till den fria versionen av Windows Defender.