Windows Defender ATP on tietoturvapalvelu, joka mahdollistaa tietoturvaoperaatioiden (SecOps) henkilöiden havaita, tutkia ja vastata kehittyneisiin uhkiin ja vihamieliseen toimintaan. Viime viikolla Windows Defender ATP Research Team julkaisi blogikirjoituksen, joka kertoo, kuinka Windows Defender ATP auttaa SecOps-henkilöstön paljastamista ja iskujen selvittämistä.
Blogissa Microsoft kertoo, että se esittelee investoinnit, joilla tehostetaan instrumentointia ja muistin tekniikoiden tunnistamista kolmikantasarjassa. Sarja kattaisi -
- Tunnistusparannukset ristiprosessien koodin injektoimiseksi
- Ytimen eskaloituminen ja vioittuminen
- Muistiinpanojen hyödyntäminen
Ensimmäisessä postissa niiden pääpaino oli päällä ristiprosessiruisku. He ovat havainneet, miten Windows Defender ATP: n Creators -päivityksessä käytettävissä olevat parannukset havaitsevat laajan joukon hyökkäystoimintoja. Tämä sisältäisi kaiken alkaen hyödykehaittaohjelmista, joka on yrittänyt piilottaa tavallisesta näkymästä hienostuneisiin aktiivisuusryhmiin, jotka osallistuvat kohdennettuihin hyökkäyksiin.
Miten ristiprosessien ruiskutus auttaa hyökkääjiä
Hyökkääjät ovat edelleen kehittämässä tai ostaessaan nollan päivän hyökkäyksiä. He panostavat enemmän huomiota havaitsemiseen investointiensa suojelemiseksi. Tätä varten ne perustuvat pääasiassa muistin hyökkäyksiin ja ytimen etuoikeuden laajenemiseen. Tämän ansiosta ne voivat välttää koskettamasta levyä ja pysyvät erittäin salassa.
Ristiprosessorin ruiskutuksen hyökkääjät saavat paremman näkyvyyden normaaleihin prosesseihin. Cross-prosessin injektio peittää haitallisen koodin hyvänlaatuisissa prosesseissa ja tämä tekee niistä salamyhkäisiä.
Postin mukaan, Ristiprosessiruisku on kaksitahoinen prosessi:
- Haitallinen koodi sijoitetaan uuteen tai olemassa olevaan suoritettavaan sivulle etäprosessissa.
- Injektoidut haitalliset koodit suoritetaan käyttämällä säikeen ja toteutuksen kontekstia
Miten Windows Defender ATP havaitsee ristiprosessorin pistoksen
Blogipostissa sanotaan, että Windows Defender ATP: n Luoja-päivityksellä on hyvät mahdollisuudet havaita laaja valikoima haitallisia injektioita. Se on toimittanut toiminto-puheluja ja rakennettu tilastollisia malleja sen käsittelemiseksi. Windows Defenderin ATP-tutkimusryhmä testasi parannuksia reaalimaailman tapauksiin sen selvittämiseksi, miten parannukset vaikuttaisivat tehokkaasti vihamieliseen toimintaan, joka tehostaa ristiprosessiruiskeen. Tapahtumissa mainitut reaalimaailman tapaukset ovat Commodity-haittaohjelmia cryptocurrency-kaivoksille, Fynloski RAT ja GOLDin kohdennettu hyökkäys.
Cross-prosessin injektio, kuten muut muistiinpanotekniikat, voi myös välttää haittaohjelmia ja muita tietoturvaratkaisuja, jotka keskittyvät tiedostojen tarkastamiseen levylle. Windows 10 Creators -päivityksen avulla Windows Defender ATP: n avulla voidaan tarjota SecOps-henkilökunnalle lisäominaisuuksia havaitsemaan haittaohjelmat, jotka hyödyntävät ristiprosessorin ruiskutusta.
Yksityiskohtaiset tapahtumajaksot sekä muut asiayhteystietoja tarjoavat myös Windows Defender ATP, joka voi olla hyödyllinen SecOps-henkilöstölle. He voivat helposti käyttää näitä tietoja nopeasti ymmärtämään hyökkäysten luonnetta ja ryhtymään välittömiin vasteisiin. Se on rakennettu Windows 10 Enterprise -ympäristön ytimeen. Lue lisää Windows Defender ATP: n uusista ominaisuuksista TechNet.
