Windows Defender ATP là một dịch vụ bảo mật cho phép nhân viên hoạt động an ninh (SecOps) phát hiện, điều tra và phản hồi các mối đe dọa và hoạt động thù địch cao cấp. Tuần trước, một bài đăng trên blog đã được Nhóm nghiên cứu ATP của Windows Defender phát hành cho thấy cách Windows Defender ATP giúp nhân viên SecOps phát hiện và giải quyết các cuộc tấn công.
Trong blog, Microsoft nói rằng nó sẽ giới thiệu các khoản đầu tư của mình được thực hiện để tăng cường thiết bị và phát hiện các kỹ thuật trong bộ nhớ trong một loạt ba phần. Bộ truyện sẽ cover-
- Các cải tiến về phát hiện cho quá trình tiêm mã chéo
- Leo thang hạt nhân và giả mạo
- Khai thác trong bộ nhớ
Trong bài đầu tiên, trọng tâm chính của họ là tiêm quá trình chéo. Họ đã minh họa cách các cải tiến sẽ có sẵn trong Bản cập nhật dành cho người sáng tạo cho Windows Defender ATP sẽ phát hiện một loạt các hoạt động tấn công. Điều này sẽ bao gồm tất cả mọi thứ bắt nguồn từ phần mềm độc hại hàng hóa đã cố gắng ẩn từ chế độ xem đơn giản đến các nhóm hoạt động tinh vi tham gia vào các cuộc tấn công được nhắm mục tiêu.
Làm thế nào tiêm chéo quá trình giúp kẻ tấn công
Những kẻ tấn công vẫn đang quản lý để phát triển hoặc mua khai thác zero-day. Họ đang đặt trọng tâm hơn vào việc trốn tránh phát hiện để bảo vệ các khoản đầu tư của họ. Để làm điều này, họ dựa chủ yếu vào các cuộc tấn công trong bộ nhớ và leo thang đặc quyền hạt nhân. Điều này cho phép họ tránh chạm vào đĩa và vẫn vô cùng lén lút.
Với những kẻ tấn công tiêm xuyên qua quy trình có khả năng hiển thị nhiều hơn vào các quy trình bình thường. Cross-quá trình tiêm giấu mã độc hại bên trong quá trình lành tính và điều này làm cho họ tàng hình.
Theo bài đăng, Tiêm chéo là quy trình hai lần:
- Mã độc hại được đặt vào một trang thực thi mới hoặc hiện có trong một quy trình từ xa.
- Mã độc hại được tiêm được thực hiện thông qua việc kiểm soát luồng và ngữ cảnh thực thi
Cách Windows Defender ATP phát hiện quá trình tiêm chéo
Bài đăng trên blog nói rằng Bản cập nhật của người sáng tạo cho Windows Defender ATP được trang bị tốt để phát hiện một loạt các loại tiêm độc hại. Nó có các cuộc gọi chức năng cụ thể và các mô hình thống kê được xây dựng để xử lý giống nhau. Nhóm nghiên cứu ATP của Windows Defender đã thử nghiệm các cải tiến chống lại các trường hợp trong thế giới thực để xác định cách thức các cải tiến có hiệu quả sẽ phơi bày các hoạt động thù địch có quyền lực cho quá trình tiêm chéo. Các trường hợp trong thế giới thực được trích dẫn trong bài đăng là phần mềm độc hại hàng hóa cho khai thác tiền điện tử, Fynloski RAT và tấn công mục tiêu bởi GOLD.
Cross-process injection, giống như các kỹ thuật khác trong bộ nhớ, cũng có thể tránh được phần mềm độc hại và các giải pháp bảo mật khác tập trung vào việc kiểm tra các tập tin trên đĩa. Với bản cập nhật Windows 10 người sáng tạo, Windows Defender ATP sẽ được cung cấp để cung cấp cho nhân viên SecOps khả năng bổ sung để khám phá các hoạt động độc hại tận dụng quá trình tiêm chéo.
Các mốc thời gian sự kiện chi tiết, cũng như các thông tin ngữ cảnh khác, cũng được cung cấp bởi Windows Defender ATP có thể hữu ích cho nhân viên của SecOps. Họ có thể dễ dàng sử dụng thông tin này để nhanh chóng hiểu bản chất của các cuộc tấn công và thực hiện các hành động phản ứng ngay lập tức. Nó được xây dựng trong cốt lõi của Windows 10 Enterprise. Đọc thêm về các khả năng mới của Windows Defender ATP trên TechNet.
