Cloud App Security integrates with Windows Defender ATP
Cuprins:
- Procesul de scufundare
- Atom Bombing este o altă tehnică de injectare a codului pe care Microsoft pretinde că o blochează. Această tehnică se bazează pe stocarea de malware în interiorul tabelelor atomice. Aceste tabele sunt tabele de memorie partajate în care toată aplicația stochează informațiile despre șiruri, obiecte și alte tipuri de date care necesită acces zilnic. Atom Bombing utilizează apelurile de procedură asincronă (APC) pentru a prelua codul și a le insera în memoria procesului țintă.
Windows 10 Creators Actualizările de securitate pentru actualizări includ îmbunătățirile în Protecția avansată a Windows Defender. Aceste îmbunătățiri ar păstra utilizatorii protejați de amenințări precum Kovter și Trojans Dridex, spune Microsoft. În mod explicit, Windows Defender ATP poate detecta tehnici de injectare a codului asociate cu aceste amenințări, cum ar fi Process Hollowing și Atom Bombing . Utilizat deja de numeroase alte amenințări, aceste metode permit malware-ului să infecteze computerele și să se implice în diverse activități despicabile, rămânând în același timp stealthy.
Procesul de scufundare
Procesul de reproducere a unei noi instanțe a unui proces legitim și " este cunoscut sub numele de Process Hollowing. Aceasta este în esență o tehnică de injectare a codului în care codul legitimat este înlocuit cu cel al malware-ului. Alte tehnici de injectare adaugă pur și simplu o caracteristică rău-intenționată procesului legitim, eliminând rezultatele într-un proces care pare legit, dar este în primul rând rău intenționat.
Microsoft scanează procesele ca fiind una dintre cele mai mari probleme folosit de Kovter și de alte familii de malware. Această tehnică a fost folosită de familiile malware în atacuri fără fișiere, în care malware-ul lasă amprente neglijabile pe disc și stochează și execută cod numai din memoria calculatorului.
Kovter, o familie de troieni care au fost recent observat că se asociază cu familii de rromi precum Locky. Anul trecut, în noiembrie, Kovter a fost găsit răspunzător pentru un vârf masiv de noi variante de malware.
Kovter este livrat în principal prin e-mailuri de phishing, ascunde majoritatea componentelor sale rău intenționate prin intermediul cheilor de registru. Apoi, Kovter folosește aplicații native pentru a executa codul și pentru a efectua injecția. Realizează persistența prin adăugarea de fișiere rapide (fișiere.lnk) în folderul de pornire sau prin adăugarea de noi chei la registru.
Două intrări de registry sunt adăugate de malware pentru a avea fișierul component deschis de programul legitim mshta.exe. Componenta extrage o încărcătură obușită dintr-o cheie terță de registry. Un script PowerShell este folosit pentru a executa un script suplimentar care injectează shell-ul într-un proces țintă. Kovter folosește procesul de golire pentru a injecta cod rău intenționat în procese legitime prin acest cod shell.
Atom Bombing
Atom Bombing este o altă tehnică de injectare a codului pe care Microsoft pretinde că o blochează. Această tehnică se bazează pe stocarea de malware în interiorul tabelelor atomice. Aceste tabele sunt tabele de memorie partajate în care toată aplicația stochează informațiile despre șiruri, obiecte și alte tipuri de date care necesită acces zilnic. Atom Bombing utilizează apelurile de procedură asincronă (APC) pentru a prelua codul și a le insera în memoria procesului țintă.
Dridex adoptor devreme al bombardamentului atomic
Dridex este un troian bancar care a fost reperat pentru prima dată în 2014 și a fost unul dintre cei mai vechi adoptori ai bombardamentului atomic.
Dridex este în mare parte distribuit prin e-mailuri spam, a fost conceput în primul rând pentru a fura acreditările bancare și informații sensibile. De asemenea, dezactivează produsele de securitate și oferă atacatorilor accesul de la distanță la calculatoarele victime. Amenințarea rămâne ireproșabilă și perseverentă prin evitarea apelurilor comune API asociate tehnicilor de injectare a codului.
Când Dridex este executat pe computerul victimei, acesta caută un proces țintă și asigură că user32.dll este încărcat de acest proces. Acest lucru se datorează faptului că are nevoie de DLL pentru a accesa funcțiile de tabele atomice necesare. În continuare, malware-ul scrie codul său shell la tabelul de atomi la nivel mondial, adăugând în plus apeluri NtQueueApcThread pentru GlobalGetAtomNameW în coada APC a firului țintă de proces pentru al forța să copieze codul malware în memorie.
John Lundgren, echipa de cercetare Windows Defender ATP, spune:
"Kovter și Dridex sunt exemple de familii proeminente de malware care au evoluat pentru a evita detectarea folosind tehnici de injectare a codului. În mod inevitabil, tehnicile de bombardament atomic și alte tehnici avansate vor fi folosite de familiile existente și noi de malware ", adaugă el." Windows Defender ATP oferă, de asemenea, detalii detaliate privind evenimentele și alte informații contextuale pe care echipele SecOps le pot folosi pentru a înțelege atacurile și pentru a răspunde rapid. Funcționalitatea îmbunătățită în Windows Defender ATP le permite să izoleze mașina victima și să protejeze restul rețelei. "
Microsoft este văzut în cele din urmă cu privire la problemele de injectare a codului, sperând să vedem în cele din urmă compania adăugând aceste dezvoltări la versiunea gratuită a Windows Defender.
> Multe companii din SUA nu reușesc să ia în serios protecția împotriva ciberneticii și nu sunt dispuse să cheltuiască bani pentru protecție suplimentară, potrivit unui studiu recent al resellerilor cu valoare adăugată (VAR) de către Asociația Industriei de Tehnologii de Calcul.
Cybersecurity a fost principala preocupare politică pentru VAR in sondajul din luna august de CompTIA, dar chiar in spatele securitatii a fost costul in crestere de ingrijire a sanatatii pentru angajatii VAR, CompTIA a spus. Nouazeci si sapte la suta din cei 109 respondenti au declarat ca cred ca afacerile din SUA nu sunt destul de sigure, in timp ce 96% dintre respondenti au spus ca sunt preocupati de cresterea costurilor de ingrijire a sanatatii
48% Dintre suedezii sunt împotriva legii viitoare, în comparație cu 32% în favoarea acesteia, scrie suedezul Svenska Dagbladet, care a comandat raportul. o corelare clară între vârstă, sex și opoziție; 74% dintre bărbații cu vârste cuprinse între 15 și 29 ani sunt împotriva legii. Cele mai puțin negative sunt persoanele de peste 65 de ani; în acest grup, 27% sunt împotriva legii.
Există o mișcare de rădăcini împotriva legii, în special pe Web. De exemplu, grupul Facebook Stoppa IPRED (Stop IPRED) a avut peste 81 000 de membri în momentul votării, potrivit fondatorilor săi.
Sfarsitul proceselor Intel Atom pentru netbook-ul
Procesoarele Intel Atom destinate netbook-urilor ar putea fi in ultima etapa, spunand ca producatorul de cipuri ar putea sa isi schimbe harta de produse, pe masura ce vanzarile de PC-uri si tabletele se vor imbunatati.