Windows Defender ATP er en sikkerhetstjeneste som gjør det mulig for sikkerhetsoperasjoner (SecOps) å oppdage, undersøke og svare på avanserte trusler og fiendtlig aktivitet. I forrige uke ble et blogginnlegg utgitt av Windows Defender ATP Research Team som viser hvordan Windows Defender ATP hjelper SecOps-personell til å avdekke og angripe angrepene.
I bloggen sier Microsoft at den ville vise frem sine investeringer for å forbedre instrumentering og gjenkjenning av minnemetoder i en tredelers serie. Serien ville dekke-
- Deteksjon forbedringer for kryss-prosess kode injeksjon
- Kjernen eskalering og manipulering
- In-memory utnyttelse
I det første innlegget var deres hovedfokus på kryss-prosessinjeksjon. De har illustrert hvordan forbedringene som vil være tilgjengelige i Creators Update for Windows Defender ATP, oppdager et bredt sett av angrepsaktiviteter. Dette vil inkludere alt fra malware som er forsøkt å skjule fra vanlig visning til de sofistikerte aktivitetsgruppene som engasjerer seg i målrettede angrep.
Hvordan kryss-prosess injeksjon hjelper angriperne
Attackere klarer fortsatt å utvikle eller kjøpe nulldagseffekter. De legger større vekt på å unngå deteksjon for å beskytte sine investeringer. For å gjøre dette, stole de hovedsakelig på hukommelsesangrep og kjerne privilegier eskalering. Dette gjør at de kan unngå å berøre disken og forbli ekstremt lunken.
Med kryssprosess injeksjonsangrepere får mer synlighet i de normale prosessene. Kryssprosess injeksjon skjuler ondsinnet kode innenfor godartede prosesser, og dette gjør dem lunefull.
Ifølge innlegget, Kryssprosess injeksjon er en todelt prosess:
- En ondsinnet kode er plassert i en ny eller eksisterende kjørbar side i en ekstern prosess.
- Den injiserte skadelige koden utføres gjennom kontroll av tråden og utførelseskonteksten
Hvordan Windows Defender ATP oppdager kryssprosessinjeksjon
Bloggposten sier at Creators Update for Windows Defender ATP er godt rustet til å oppdage et bredt spekter av ondsinnede injeksjoner. Den har instrumenterte funksjonssamtaler og bygget statistiske modeller for å adressere det samme. Windows Defender ATP Research Team testet forbedringene mot real-world-tilfeller for å avgjøre hvordan forbedringene effektivt ville avsløre fiendtlige aktiviteter som gir kryssprosessinjeksjon. De ekte tilfellene som er oppgitt i posten, er Commodity malware for cryptocurrency mining, Fynloski RAT og Targeted attack av GOLD.
Kryssprosessinjeksjon, som andre i minneteknikker, kan også unngås antimalware og andre sikkerhetsløsninger som fokuserer på inspeksjon av filer på disk. Med Windows 10 Creators Update, vil Windows Defender ATP bli drevet for å gi SecOps-personell med ytterligere muligheter for å oppdage skadelige aktiviteter som utnytter kryssprosessinjeksjon.
Detaljert hendelse tidslinjer, samt annen kontekstuell informasjon, er også gitt av Windows Defender ATP som kan være nyttig for SecOps personell. De kan enkelt bruke denne informasjonen til å raskt forstå arten av angrep og ta umiddelbare responshandlinger. Den er innebygd i kjernen av Windows 10 Enterprise. Les mer om nye muligheter for Windows Defender ATP på TechNet.
