Androide

Protección de huecos y bombardeos de átomos en Windows Defender ATp

'Les explicaba que era una niña, pero no me entendían'

'Les explicaba que era una niña, pero no me entendían'

Tabla de contenido:

Anonim

Las mejoras de seguridad de las actualizaciones de Windows 10 Creators incluyen mejoras en la protección avanzada contra amenazas de Windows Defender. Estas mejoras mantendrían a los usuarios protegidos de amenazas como troyanos de Kovter y Dridex, dice Microsoft. De forma explícita, Windows Defender ATP puede detectar las técnicas de inyección de código asociadas con estas amenazas, como Proceso de vaciamiento y Ataque a átomo . Ya utilizados por numerosas otras amenazas, estos métodos permiten que el malware infecte las computadoras y participe en diversas actividades despreciables mientras permanece sigiloso.

Process Hollowing

El proceso de generar una nueva instancia de un proceso legítimo y "ahuecarlo" se conoce como Hueco de proceso. Esta es básicamente una técnica de inyección de código en la que el código legítimo se reemplaza con el del malware. Otras técnicas de inyección simplemente agregan una característica maliciosa al proceso legítimo, vaciando los resultados en un proceso que parece legítimo pero que es principalmente malicioso.

ProcessHollowing utilizado por Kovter

Microsoft trata el vaciamiento del proceso como uno de los mayores problemas, es utilizado por Kovter y varias otras familias de malware. Esta técnica ha sido utilizada por familias de malware en ataques sin archivos, donde el malware deja huellas insignificantes en el disco y las tiendas, y ejecuta código solo desde la memoria de la computadora.

Kovter, una familia de troyanos de fraude de clics que hace muy poco tiempo observado asociarse con familias ransomware como Locky. El año pasado, en noviembre, Kovter fue declarado responsable de un aumento masivo en nuevas variantes de malware.

Kovter se entrega principalmente a través de correos electrónicos de phishing, ya que oculta la mayoría de sus componentes maliciosos a través de claves de registro. Entonces Kovter usa aplicaciones nativas para ejecutar el código y realizar la inyección. Alcanza la persistencia agregando accesos directos (archivos.lnk) a la carpeta de inicio o agregando nuevas claves al registro.

El malware agrega dos entradas de registro para que su archivo componente sea abierto por el programa legítimo mshta.exe. El componente extrae una carga útil ofuscada de una tercera clave de registro. Un script de PowerShell se usa para ejecutar un script adicional que inyecta Shellcode en un proceso objetivo. Kovter utiliza el proceso de vaciamiento para inyectar código malicioso en procesos legítimos a través de este shellcode.

Atom Bombing

Atom Bombing es otra técnica de inyección de código que Microsoft afirma bloquear. Esta técnica se basa en malware que almacena código malicioso dentro de tablas de átomos. Estas tablas son tablas de memoria compartidas donde todas las aplicaciones almacenan la información en cadenas, objetos y otros tipos de datos que requieren acceso diario. Atom Bombing usa llamadas de procedimiento asincrónico (APC) para recuperar el código e insertarlo en la memoria del proceso objetivo.

Dridex uno de los primeros en adoptar el bombardeo atómico

Dridex es un troyano bancario que se detectó por primera vez en 2014 y ha sido uno de los primeros en adoptar bombardeo atómico.

Dridex se distribuye principalmente a través de correos electrónicos no deseados, fue diseñado principalmente para robar credenciales bancarias e información confidencial. También desactiva los productos de seguridad y proporciona a los atacantes acceso remoto a las computadoras de las víctimas. La amenaza sigue siendo subrepticia y obstinada al evitar las llamadas API comunes asociadas con las técnicas de inyección de código.

Cuando Dridex se ejecuta en la computadora de la víctima, busca un proceso objetivo y garantiza que user32.dll se carga con este proceso. Esto se debe a que necesita la DLL para acceder a las funciones requeridas de la tabla atom. A continuación, el malware escribe su shellcode en la tabla global atom, además agrega NtQueueApcThread llamadas para GlobalGetAtomNameW a la cola APC de la cadena de proceso objetivo para obligarlo a copiar el código malicioso en la memoria.

John Lundgren, el Equipo de Investigación ATP de Windows Defender, dice:

"Kovter y Dridex son ejemplos de familias prominentes de malware que evolucionaron para evadir la detección mediante el uso de técnicas de inyección de código. Inevitablemente, las familias de malware existentes y nuevas utilizarán huecos de proceso, bombardeo de átomos y otras técnicas avanzadas ", agrega." Windows Defender ATP también proporciona un calendario detallado de eventos y otra información contextual que los equipos de SecOps pueden usar para comprender los ataques y responder rápidamente. La funcionalidad mejorada en Windows Defender ATP les permite aislar la máquina de la víctima y proteger el resto de la red. "

Microsoft finalmente ve abordar los problemas de inyección de código, la esperanza de eventualmente ver a la compañía agregar estos desarrollos a la versión gratuita de Windows Defensor.