Обнаружение вредоносных межпроцессных инъекций с помощью ATP в Защитнике Windows

ATP в Защитнике Windows — это служба безопасности, которая позволяет персоналу службы безопасности (SecOps) обнаруживать, исследовать и реагировать на расширенные угрозы и враждебные действия. На прошлой неделе исследовательская группа ATP в Защитнике Windows опубликовала сообщение в блоге, в котором показано, как ATP в Защитнике Windows помогает персоналу SecOps обнаруживать и устранять атаки.

В своем блоге Microsoft сообщает, что продемонстрирует свои инвестиции, сделанные для улучшения инструментовки и обнаружения методов в памяти, в серии из трех частей. Сериал будет охватывать-

  1. Улучшения обнаружения для внедрения кода между процессами
  2. Эскалация ядра и вмешательство
  3. Эксплуатация в памяти

В первом посте их основное внимание было уделено межпроцессному внедрению. Они продемонстрировали, как улучшения, которые будут доступны в Creators Update для Windows Defender ATP, будут обнаруживать широкий набор атак. Это будет включать все, начиная от массового вредоносного ПО, которое пытается скрыться от глаз, до сложных групп действий, которые участвуют в целевых атаках.

ATP в Защитнике Windows обнаруживает межпроцессное внедрение

Как межпроцессное внедрение помогает злоумышленникам

Злоумышленникам все еще удается разрабатывать или покупать эксплойты нулевого дня. Они уделяют больше внимания уклонению от обнаружения, чтобы защитить свои инвестиции. Для этого они в основном полагаются на атаки в памяти и повышение привилегий ядра. Это позволяет им не прикасаться к диску и оставаться крайне незаметными.

Благодаря межпроцессному внедрению злоумышленники получают больше информации о обычных процессах. Межпроцессное внедрение скрывает вредоносный код внутри безопасных процессов, что делает их незаметными.

Согласно сообщению, межпроцессное внедрение — это двоякий процесс:

  1. Вредоносный код помещается на новую или существующую исполняемую страницу в удаленном процессе.
  2. Внедренный вредоносный код выполняется посредством управления потоком и контекстом выполнения.

Как ATP в Защитнике Windows обнаруживает межпроцессное внедрение

В сообщении блога говорится, что Creators Update для Windows Defender ATP хорошо оборудован для обнаружения широкого спектра вредоносных инъекций. Он оснастил вызовы функций инструментами и построил статистические модели для решения этих проблем. Исследовательская группа ATP в Защитнике Windows протестировала улучшения на реальных примерах, чтобы определить, как улучшения будут эффективно обнаруживать враждебные действия, которые приводят к межпроцессному внедрению. Реальные случаи, цитируемые в публикации, — это коммерческое вредоносное ПО для майнинга криптовалюты, Fynloski RAT и таргетированная атака GOLD.

Межпроцессное внедрение, как и другие методы в памяти, также может обойти защиту от вредоносных программ и другие решения безопасности, которые сосредоточены на проверке файлов на диске. Благодаря обновлению Windows 10 Creators Update, ATP в Защитнике Windows будет предоставлять персоналу SecOps дополнительные возможности для обнаружения вредоносных действий с использованием межпроцессного внедрения.

Подробные временные рамки событий, а также другая контекстная информация также предоставляется ATP в Защитнике Windows, что может быть полезно для персонала SecOps. Они могут легко использовать эту информацию, чтобы быстро понять природу атак и предпринять немедленные ответные действия. Он встроен в ядро ​​Windows 10 Корпоративная. Узнайте больше о новых возможностях ATP в Защитнике Windows на TechNet.

Защитник Windows ATP .

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *