Tvorcovia operačného systému Windows 10 Aktualizácie vylepšenia zabezpečenia zahŕňajú vylepšenia v oblasti ochrany pred rozšírením hrozby Windows Defender. Tieto vylepšenia by používateľom chránili pred hrozbami ako sú Kovter a Trojans Dridex, tvrdí Microsoft. Explicitne, program Windows Defender ATP dokáže detekovať techniky injekcie kódu spojené s týmito hrozbami, ako napríklad Process Hollowing a Atómové bombardovanie, Už v mnohých ďalších hrozbách tieto metódy umožňujú malvéru infikovať počítače a vykonávať rôzne opovržlivé činnosti, pričom zostávajú tajné.
Process Hollowing
Proces vytvárania novej inštancie legitímneho procesu a "vyprázdňovanie" je známy ako Process Hollowing. Ide v podstate o techniku kódovania injekcie, v ktorej je legitímny kód nahradený kódom škodlivého softvéru. Iné injekčné techniky jednoducho pridávajú škodlivý prvok k legitímnemu procesu, dutiny vedú k procesu, ktorý sa javí ako legitímny, ale primárne škodlivý.
Procesové dutiny používané spoločnosťou Kovter
Spoločnosť Microsoft sa zaoberá spracovaním dutiniek ako jednou z najväčších problémov, ktorú používa spoločnosť Kovter a rôzne iné škodlivé rodiny. Táto technika bola používaná rodinami škodlivého softvéru pri útokoch bez súborov, kde malware zanecháva zanedbateľné stopy na disku a ukladá a spúšťa kód iba z pamäte počítača.
Kovter, rodina trójskych koní, ktoré sa veľmi často nedávno spájajú s rodinami ransomware, ako je Locky. Vlani v novembri bol Kovter zodpovedný za masívny výskyt nových malware variantov.
Kovter je dodávaný predovšetkým prostredníctvom phishingových e-mailov, skrýva väčšinu svojich škodlivých komponentov prostredníctvom kľúčov databázy Registry. Potom Kovter používa natívne aplikácie na vykonanie kódu a vykonanie injekcie. Dosiahne vytrvalosť pridaním skratiek (.lnk súborov) do spúšťacej zložky alebo pridaním nových kľúčov do registra.
Dva položky databázy registry pridáva škodlivý softvér tak, aby bol jeho komponentový súbor otvorený legitímnym programom mshta.exe. Komponent vytiahne neoprávnené užitočné zaťaženie z tretieho kľúča registra. Skript PowerShell sa používa na vykonanie ďalšieho skriptu, ktorý vloží shell kód do cieľového procesu. Kovter používa proces dutiny na vniknutie škodlivého kódu do legitímnych procesov prostredníctvom tohto shell kódu.
Atómové bombardovanie
Atom Bombing je ďalšia metóda injekcie kódu, ktorú Microsoft tvrdí, že blokuje. Táto technika sa opiera o škodlivý softvér, ktorý obsahuje škodlivý kód vnútri atómových tabuliek. Tieto tabuľky sú tabuľky zdieľanej pamäte, kde všetky aplikácie ukladajú informácie o reťazcoch, objektoch a iných typoch údajov, ktoré vyžadujú denný prístup. Atom Bombing používa asynchrónne volania procedúr (APC) na načítanie kódu a vloženie do pamäte cieľového procesu.
Dridex prvý adopter atómového bombardovania
Dridex je bankový trójsky kôň, ktorý bol prvýkrát zaznamenaný v roku 2014 a bol jedným z prvých adoptovateľov atómového bombardovania.
Dridex je väčšinou distribuovaný prostredníctvom nevyžiadaných e-mailov, bol primárne určený na ukradnutie bankových poverení a citlivých informácií. Zablokuje tiež bezpečnostné produkty a poskytuje útočníkom vzdialený prístup k počítačom obete. Hrozba zostáva skrytá a vytrvalá, pretože sa vyhýbajú bežným volaniam API spojeným s technikami injekcie kódu.
Keď je Dridex spustený na počítači obete, hľadá cieľový proces a zaistí, že sa tento proces načíta užívateľ32.dll. Je to preto, že potrebuje DLL pre prístup k požadovaným funkciám tabuľky atómov. Nasleduje, že malware zapíše svoj shell kód do globálnej tabuľky atómov, ďalej pridáva volania NtQueueApcThread pre GlobalGetAtomNameW do frontu APC cieľového procesného vlákna a donúti ho kopírovať škodlivý kód do pamäte.
John Lundgren, výskumný tím Windows Defender ATP, hovorí:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft je nakoniec vidieť riešenie problémov s injekčným kódom, dúfajme, že nakoniec uvidíme spoločnosť, ktorá pridá tento vývoj do bezplatnej verzie programu Windows Defender.