Windows 10 Creators Cập nhật các cải tiến bảo mật bao gồm các cải tiến trong Windows Defender Advanced Threat Protection. Những cải tiến này sẽ giữ cho người dùng được bảo vệ khỏi các mối đe dọa như Kovter và Dridex Trojans, nói Microsoft. Rõ ràng, Windows Defender ATP có thể phát hiện các kỹ thuật tiêm mã được liên kết với các mối đe dọa này, chẳng hạn như Xử lý Rỗng và Bom nguyên tử. Đã được sử dụng bởi nhiều mối đe dọa khác, những phương pháp này cho phép phần mềm độc hại lây nhiễm sang máy tính và tham gia vào các hoạt động đáng khinh khác nhau trong khi vẫn còn lén lút.
Xử lý Rỗng
Quá trình sinh sản một thể hiện mới của một quy trình hợp pháp và "làm rỗng nó ra" được gọi là Quy trình Rỗng. Về cơ bản, đây là kỹ thuật tiêm mã trong đó mã hợp pháp được thay thế bằng phần mềm độc hại. Các kỹ thuật tiêm khác chỉ đơn giản là thêm một tính năng độc hại vào quy trình hợp pháp, làm rỗng các kết quả trong quá trình xuất hiện hợp pháp nhưng chủ yếu là độc hại.
Quy trình Rỗng được sử dụng bởi Kovter
Microsoft giải quyết vấn đề rỗng là một trong những vấn đề lớn nhất, nó được sử dụng bởi Kovter và nhiều gia đình phần mềm độc hại khác. Kỹ thuật này đã được các gia đình phần mềm độc hại sử dụng trong các cuộc tấn công ít tập tin hơn, nơi phần mềm độc hại để lại dấu vết không đáng kể trên đĩa và các cửa hàng và chỉ thực thi mã từ bộ nhớ của máy tính.
Kovter, một gia đình gian lận nhấp chuột mà gần đây đã được quan sát để liên kết với các gia đình ransomware như Locky. Năm ngoái, vào tháng 11, Kovter, đã được tìm thấy chịu trách nhiệm về sự tăng đột biến lớn trong các phiên bản phần mềm độc hại mới.
Kovter được phân phối chủ yếu thông qua các email lừa đảo, nó ẩn hầu hết các thành phần độc hại của nó thông qua các khóa registry. Sau đó, Kovter sử dụng các ứng dụng gốc để thực thi mã và thực hiện việc tiêm. Nó đạt được sự kiên trì bằng cách thêm các phím tắt (các tệp.lnk) vào thư mục khởi động hoặc thêm các khóa mới vào sổ đăng ký.
Hai mục đăng ký được phần mềm độc hại thêm vào để tệp thành phần của nó được mở bằng chương trình hợp pháp mshta.exe. Các thành phần chiết xuất một tải trọng obfuscated từ một khóa registry thứ ba. Một kịch bản PowerShell được sử dụng để thực thi một kịch bản bổ sung để đưa shellcode vào một quá trình đích. Kovter sử dụng quy trình rỗng để đưa mã độc vào các quy trình hợp pháp thông qua shellcode này.
Bom nguyên tử
Atom Bombing là một kỹ thuật tiêm mã khác mà Microsoft tuyên bố chặn. Kỹ thuật này dựa vào phần mềm độc hại lưu trữ mã độc bên trong bảng nguyên tử. Các bảng này là các bảng bộ nhớ dùng chung, nơi tất cả các ứng dụng lưu trữ thông tin về các chuỗi, các đối tượng và các loại dữ liệu khác yêu cầu truy cập hàng ngày. Atom Bombing sử dụng các cuộc gọi thủ tục không đồng bộ (APC) để lấy mã và chèn nó vào bộ nhớ của quá trình đích.
Dridex sớm chấp nhận vụ đánh bom nguyên tử
Dridex là một trojan ngân hàng được phát hiện lần đầu tiên vào năm 2014 và là một trong những người đầu tiên sử dụng bom nguyên tử.
Dridex chủ yếu được phân phối qua email spam, nó chủ yếu được thiết kế để ăn cắp thông tin ngân hàng và thông tin nhạy cảm. Nó cũng vô hiệu hóa các sản phẩm bảo mật và cung cấp cho những kẻ tấn công truy cập từ xa vào các máy tính nạn nhân. Các mối đe dọa vẫn lén lút và bướng bỉnh thông qua việc tránh các cuộc gọi API phổ biến liên quan đến kỹ thuật tiêm mã.
Khi Dridex được thực hiện trên máy tính của nạn nhân, nó tìm kiếm một quá trình đích và đảm bảo user32.dll được nạp bởi quá trình này. Điều này là do nó cần DLL để truy cập các hàm bảng nguyên tử cần thiết. Sau đó, phần mềm độc hại ghi shellcode của nó vào bảng nguyên tử toàn cục, hơn nữa nó bổ sung thêm các lệnh NtQueueApcThread cho GlobalGetAtomNameW vào hàng đợi APC của chuỗi quy trình đích để buộc nó sao chép mã độc vào bộ nhớ.
John Lundgren, Nhóm nghiên cứu ATP của Windows Defender, nói,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft cuối cùng đã được giải quyết vấn đề tiêm mã, hy vọng cuối cùng sẽ nhìn thấy công ty thêm những phát triển này vào phiên bản miễn phí của Windows Defender.
