Windows 10-skapere Oppdater sikkerhetsforbedringer inkluderer forbedringer i Windows Defender Advanced Threat Protection. Disse forbedringene ville holde brukerne beskyttet mot trusler som Kovter og Dridex Trojans, sier Microsoft. Vanskelig kan Windows Defender ATP oppdage kodeinjeksjonsteknikker som er forbundet med disse truslene, for eksempel Prosess Hollowing og Atombombing. Disse metodene er allerede brukt av mange andre trusler, og lar malware å infisere datamaskiner og engasjere seg i ulike foragtelige aktiviteter mens de forblir stygt.
Prosess Hollowing
Prosessen med å gyte en ny forekomst av en legitim prosess og "hule ut det" er kjent som Process Hollowing. Dette er i utgangspunktet en kodeinjeksjonsteknikk der den legitime koden er erstattet med skadelig programvare. Andre injeksjonsteknikker legger ganske enkelt en ondsinnet funksjon til den legitime prosessen, og hollowing resulterer i en prosess som virker legitim, men er primært skadelig.
Prosess Hollowing brukt av Kovter
Microsoft adresser prosess hollowing som en av de største problemene, den brukes av Kovter og diverse andre malware familier. Denne teknikken har blitt brukt av malwarefamilier i fil-mindre angrep, der malware går ubetydelig fotspor på disk og lagrer og kjører bare kode fra datamaskinens minne.
Kovter, en familie av klikkfusk trojanske som nylig har blitt observert å knytte seg til ransomware familier som Locky. I fjor ble det i november Kovter funnet ansvarlig for en enorm spike i nye malwarevarianter.
Kovter leveres hovedsakelig via phishing-e-post, den skjuler de fleste skadelige komponentene via registernøkler. Deretter bruker Kovter innfødte programmer for å utføre koden og utføre injeksjonen. Det oppnår utholdenhet ved å legge til snarveier (.lnk-filer) til oppstartsmappen eller legge til nye nøkler i registret.
To registeroppføringer legges til av malware for å få sin komponentfil åpnet av det legitime programmet mshta.exe. Komponenten trekker ut en obfuscated nyttelast fra en tredje registernøkkel. Et PowerShell-skript brukes til å utføre et ekstra skript som injiserer skjermkoden i en målprosess. Kovter bruker prosesshollowing til å injisere skadelig kode i legitime prosesser gjennom denne shellcode.
Atombombing
Atom Bombing er en annen kodeinjiseringsteknikk som Microsoft hevder å blokkere. Denne teknikken er avhengig av skadelig programvare som lagrer ondsinnet kode inne i atomtabeller. Disse tabellene er delte minnetabeller der alt program lagrer informasjonen på strenger, objekter og andre typer data som krever daglig tilgang. Atom Bombing bruker asynkrone proseduresamtaler (APC) for å hente koden og sette den inn i minnet av målprosessen.
Dridex en tidlig adopter av atombombingen
Dridex er en bank trojan som ble først oppdaget i 2014 og har vært en av de tidligste adopterne av atom bombing.
Dridex distribueres for det meste via spam e-post, det var primært utformet for å stjele banktilgang og sensitiv informasjon. Det deaktiverer også sikkerhetsprodukter og gir angriperne ekstern tilgang til offerdatamaskinene. Truselen forblir surreptitiv og obstinert gjennom å unngå felles API-anrop som er knyttet til kodeinjeksjonsteknikker.
Når Dridex blir utført på offerets datamaskin, ser det etter en målprosess og sikrer at user32.dll lastes av denne prosessen. Dette skyldes at den trenger DLL for å få tilgang til de nødvendige atombordfunksjonene. Deretter skriver malware sin shellcode til det globale atomtabellen, og legger videre til NtQueueApcThread-anrop for GlobalGetAtomNameW til APC-køen i målprosessgruppen for å tvinge den til å kopiere den skadelige koden til minnet.
John Lundgren, Windows Defender ATP Research Team, sier,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft er endelig sett på å ta opp kodeinjeksjonsproblemer, håper å se til slutt at selskapet legger til denne utviklingen i den gratis versjonen av Windows Defender.
