Android

Quy trình bảo vệ chống trộm và bom trong Windows Defender ATp

API integration in Microsoft Defender ATP

API integration in Microsoft Defender ATP

Mục lục:

Anonim

Windows 10 Creators Cập nhật các cải tiến bảo mật bao gồm các cải tiến trong Windows Defender Advanced Threat Protection. Những cải tiến này sẽ giữ cho người dùng được bảo vệ khỏi các mối đe dọa như Kovter và Dridex Trojans, nói Microsoft. Rõ ràng, Windows Defender ATP có thể phát hiện các kỹ thuật tiêm mã liên quan đến các mối đe dọa này, chẳng hạn như Process HollowingAtom Bombing . Đã được sử dụng bởi nhiều mối đe dọa khác, những phương pháp này cho phép phần mềm độc hại lây nhiễm sang máy tính và tham gia vào nhiều hoạt động đáng khinh khác nhau trong khi vẫn lén lút.

Quy trình Rỗng

Quá trình sinh sản một quy trình hợp pháp mới và "làm rỗng nó" được gọi là Process Hollowing. Về cơ bản, đây là kỹ thuật tiêm mã trong đó mã hợp pháp được thay thế bằng phần mềm độc hại. Các kỹ thuật tiêm khác chỉ đơn giản là thêm một tính năng độc hại vào quy trình hợp pháp, làm rỗng các kết quả trong một quá trình xuất hiện hợp pháp nhưng chủ yếu là độc hại.

Xử lý Rác được sử dụng bởi Kovter

Microsoft xử lý các quy trình rỗng như một trong những vấn đề lớn nhất, được sử dụng bởi Kovter và nhiều gia đình phần mềm độc hại khác. Kỹ thuật này đã được các gia đình phần mềm độc hại sử dụng trong các cuộc tấn công tập tin, nơi phần mềm độc hại để lại dấu vết không đáng kể trên đĩa và các cửa hàng và chỉ thực hiện mã từ bộ nhớ của máy tính.

Kovter, một gia đình quan sát để liên kết với các gia đình ransomware như Locky. Năm ngoái, vào tháng 11, Kovter đã phải chịu trách nhiệm cho một sự tăng đột biến lớn trong các phiên bản malware mới.

Kovter được gửi chủ yếu thông qua email lừa đảo, nó ẩn hầu hết các thành phần độc hại của nó thông qua các khóa registry. Sau đó, Kovter sử dụng các ứng dụng gốc để thực thi mã và thực hiện việc tiêm. Nó đạt được sự kiên trì bằng cách thêm các phím tắt (các tệp.lnk) vào thư mục khởi động hoặc thêm các khóa mới vào sổ đăng ký.

Hai mục đăng ký được phần mềm độc hại thêm vào để mở tệp thành phần của nó bằng chương trình hợp pháp mshta.exe. Các thành phần chiết xuất một tải trọng obfuscated từ một khóa registry thứ ba. Một kịch bản PowerShell được sử dụng để thực thi một kịch bản bổ sung để đưa shellcode vào một quá trình đích. Kovter sử dụng quá trình đục lỗ để tiêm mã độc vào các quá trình hợp pháp thông qua shellcode này.

Atom Bombing

Atom Bombing là một kỹ thuật tiêm mã khác mà Microsoft tuyên bố chặn. Kỹ thuật này dựa vào phần mềm độc hại lưu trữ mã độc bên trong bảng nguyên tử. Các bảng này là các bảng bộ nhớ dùng chung, nơi tất cả các ứng dụng lưu trữ thông tin về các chuỗi, các đối tượng và các loại dữ liệu khác yêu cầu truy cập hàng ngày. Atom Bombing sử dụng các cuộc gọi thủ tục không đồng bộ (APC) để lấy mã và chèn nó vào bộ nhớ của quá trình đích.

Dridex là người đầu tiên sử dụng bom nguyên tử

Dridex là một trojan ngân hàng được phát hiện lần đầu tiên vào năm 2014 và Dridex chủ yếu được phân phối qua email spam, nó được thiết kế chủ yếu để ăn cắp thông tin ngân hàng và thông tin nhạy cảm. Nó cũng vô hiệu hóa các sản phẩm bảo mật và cung cấp cho những kẻ tấn công truy cập từ xa vào các máy tính nạn nhân. Mối đe dọa vẫn còn lén lút và bướng bỉnh thông qua việc tránh các cuộc gọi API chung liên quan đến kỹ thuật tiêm mã.

Khi Dridex được thực thi trên máy tính của nạn nhân, nó tìm kiếm một quá trình đích và đảm bảo quá trình này được user32.dll nạp. Điều này là do nó cần DLL để truy cập các hàm bảng nguyên tử cần thiết. Sau đó, phần mềm độc hại ghi shellcode của nó vào bảng nguyên tử toàn cục, hơn nữa nó bổ sung thêm các lệnh NtQueueApcThread cho GlobalGetAtomNameW vào hàng đợi APC của chuỗi quy trình đích để buộc nó sao chép mã độc vào bộ nhớ.

John Lundgren, Nhóm nghiên cứu ATP của Windows Defender, cho biết, “Kovter và Dridex là những ví dụ về các gia đình phần mềm độc hại nổi bật đã phát triển để né tránh việc phát hiện bằng cách sử dụng các kỹ thuật tiêm mã. "Windows Defender ATP cũng cung cấp các mốc thời gian sự kiện chi tiết và các thông tin ngữ cảnh khác mà các đội SecOps có thể sử dụng để hiểu các cuộc tấn công và phản hồi nhanh chóng. Chức năng cải tiến trong Windows Defender ATP cho phép họ tách riêng máy tính nạn nhân và bảo vệ phần còn lại của mạng. ”

Microsoft cuối cùng cũng gặp phải vấn đề về tiêm mã, hy vọng cuối cùng sẽ thấy công ty thêm những phát triển này vào phiên bản Windows miễn phí Hậu vệ.

Trong khi đó, cổ phiếu của Nvidia tăng lên vài ngày sau khi công bố kết quả kinh doanh quý thứ ba của họ, mặc dù công ty báo cáo lỗ đầu tiên của nó gần năm năm. Nhà sản xuất chip cho biết họ đã thu một khoản phí 196 triệu USD trong quý thứ hai tài chính để trang trải các chi phí liên quan đến các vấn đề kỹ thuật. Nvidia đã cho biết vào tháng Bảy rằng một số chip máy tính xách tay đã không thành công vì những vấn đề với vật liệu được sử dụng để gói chúng. Nvidia thua lỗ trong quý này là 120,9 tri

Trong khi đó, cổ phiếu của Nvidia tăng lên vài ngày sau khi công bố kết quả kinh doanh quý thứ ba của họ, mặc dù công ty báo cáo lỗ đầu tiên của nó gần năm năm. Nhà sản xuất chip cho biết họ đã thu một khoản phí 196 triệu USD trong quý thứ hai tài chính để trang trải các chi phí liên quan đến các vấn đề kỹ thuật. Nvidia đã cho biết vào tháng Bảy rằng một số chip máy tính xách tay đã không thành công vì những vấn đề với vật liệu được sử dụng để gói chúng. Nvidia thua lỗ trong quý này là 120,9 tri

Mặc dù lo ngại lạm phát, ngành công nghệ đã có những bước đi lạc quan trong thời gian gần đây. Bộ lao động Mỹ cho biết, chỉ số giá tiêu dùng tháng 7 đã tăng 0.8%. Chỉ số Nasdaq Composite tăng mạnh trong tháng 6, sau khi giảm xuống từ đầu tháng 6, bắt đầu tăng trong tuần thứ hai của tháng bảy. Nó đóng cửa vào Thứ Năm năm 2453, thấp hơn mức mở cửa năm 2609, nhưng thấp hơn mức thấp của tháng 3 ở dải 2200. Một yếu tố có thể là nới lỏng giá dầu - chi phí năng lượng tăng cao được cho là sẽ ảnh hưởng đ

. Cuộc suy thoái tiếp tục đè nặng lên ngành công nghiệp bán dẫn trên toàn thế giới, trong đó ghi nhận một sự sụt giảm doanh thu khổng lồ trong quý đầu tiên của năm 2009, Gartner cho biết. doanh thu bán dẫn trong quý đầu tiên là 45,2 tỷ USD, giảm từ 65,5 tỷ USD trong quý đầu tiên của năm ngoái.

. Cuộc suy thoái tiếp tục đè nặng lên ngành công nghiệp bán dẫn trên toàn thế giới, trong đó ghi nhận một sự sụt giảm doanh thu khổng lồ trong quý đầu tiên của năm 2009, Gartner cho biết. doanh thu bán dẫn trong quý đầu tiên là 45,2 tỷ USD, giảm từ 65,5 tỷ USD trong quý đầu tiên của năm ngoái.

Doanh thu sẽ giảm dần vào giữa năm 2009, với sự tăng trưởng bền vững dự kiến ​​sẽ bắt đầu trong quý II Năm 2010, khi nhu cầu về sản phẩm tăng lên, Paul Middleton, nhà phân tích nghiên cứu của Gartner cho biết.

Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window

Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window

Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.