Otkrivanje zlonamjernog inicijalnog prekida u sustavu Windows Defender ATP

Sadržaj:

Otkrivanje zlonamjernog inicijalnog prekida u sustavu Windows Defender ATP
Otkrivanje zlonamjernog inicijalnog prekida u sustavu Windows Defender ATP
Anonim

Windows Defender ATP je sigurnosna služba koja osoblju sigurnosnih operacija (SecOps) omogućuje otkrivanje, istraživanje i reagiranje na napredne prijetnje i neprijateljske aktivnosti. Prošli tjedan objavio je blog post Windows Defender ATP istraživačkog tima koji pokazuje kako Windows Defender ATP pomaže osoblju SecOps-a otkriti i riješiti napade.

U blogu, Microsoft kaže da će predstaviti svoje investicije kako bi poboljšali instrumentaciju i otkrivanje tehnika u memoriji u trodijelnom nizu. Serija će pokriti-

  1. Poboljšanja detekcije za injektiranje koda unakrsnih procesa
  2. Eskalacija krumpira i manipulacija
  3. Eksploatacija u memoriji

U prvom postu, njihov glavni fokus bio je unakrsno procesno ubrizgavanje, Oni su ilustrirali kako će poboljšanja koja će biti dostupna u Ažuriranju autora sadržaja za Windows Defender ATP otkrivaju široki skup aktivnosti napada. To bi obuhvaćalo sve počevši od zlonamjernog softvera za robu koji se pokušao sakriti od običnog prikaza do sofisticiranih grupa aktivnosti koje se bave ciljanim napadima.

Image
Image

Kako ubrizgavanje u procesu pomaže napadačima

Napadači još uvijek uspijevaju razviti ili kupiti nula nula eksploatacija. Oni stavljaju veći naglasak na izbjegavanje otkrivanja kako bi zaštitili svoja ulaganja. Da biste to učinili, oslanjaju se uglavnom na napade u memoriju i eskalaciju privilegija kernela. To im omogućuje da izbjegavaju dodirivanje diska i ostaju izuzetno nepristojni.

S napadačima za ubrizgavanje Cross-procesa postiže se veća vidljivost u normalnim procesima. Injekcija s više procesa prikriva zlonamjerni kod unutar benignih procesa i to ih čini nepristojnim.

Prema postu, Injekcija s više procesa je dvostruki proces:

  1. Zlonamjerni kôd postavlja se na novu ili postojeću izvršnu stranicu unutar udaljenog procesa.
  2. Injektirani zlonamjerni kôd izvršava se putem kontrole konca i konteksta izvršenja

Kako Windows Defender ATP otkriva ubrizgavanje više procesa

Post bloga kaže da je ažuriranje Stvoritelja za Windows Defender ATP dobro opremljeno za otkrivanje širokog raspona zlonamjernih injekcija. Snimio je funkcijske pozive i izrađivao statističke modele za rješavanje istih. Windows Defender ATP istraživački tim testovao je poboljšanja u slučajevima u stvarnom svijetu kako bi utvrdio kako će poboljšanja učinkovito izložiti neprijateljske aktivnosti koje ubrizgavaju unakrsne postupke. Slučajevi u stvarnom svijetu navedeni u postu su zlonamjerni softver za robne marke za kriptoznutarnu miniranost, Fynloski RAT i ciljani napad GOLD-a.

Injekcija s više procesa, poput ostalih tehnika u memoriji, također može izbjeći antimalware i druga sigurnosna rješenja koja se usredotočuju na provjeru datoteka na disku. Pomoću ažuriranja za Windows 10 Stvoritelja, Windows Defender ATP će se napajati kako bi osoblju SecOps-a omogućila dodatne mogućnosti otkrivanja zlonamjernih aktivnosti koje mogu utjecati na injektiranje unakrsnih procesa.

Detaljne vremenske okvire događaja, kao i druge kontekstualne informacije, također pruža Windows Defender ATP, što može biti korisno osoblju SecOps-a. Oni jednostavno mogu koristiti ove informacije kako bi brzo shvatili prirodu napada i poduzeli hitne akcije. Ugrađena je u jezgru sustava Windows 10 Enterprise. Pročitajte više o novim mogućnostima sustava Windows Defender ATP TechNet.

Preporučeni: