" Windows Defender" ATP yra apsaugos tarnyba, leidžianti saugumo operacijoms (SecOps) personalui aptikti, ištirti ir reaguoti į pažangias grėsmes ir priešišką veiklą. Praėjusią savaitę "Windows Defender ATP Research Team" išleido tinklaraščio įrašą, kuriame parodyta, kaip "Windows Defender ATP" padeda "SecOps" personalui atskleisti ir spręsti išpuolius.
Dienorašte "Microsoft" teigia, kad ji demonstruos savo investicijas, skirtas trijų dalių serijai padidinti įrenginius ir aptikti atminties metodus. Ši serija apims-
- Kintamo proceso kodo įvedimo aptikimo patobulinimai
- Branduolio eskalavimas ir klastojimas
- Išnaudojimas atmintyje
Pirmajame poste pagrindinis dėmesys buvo skiriamas kryžminė injekcija. Jie parodė, kaip patobulinimai, kurie bus "Windows Defender ATP" kūrėjų naujinime, bus aptikti platų atakų veiksmų rinkinį. Tai apimtų viską, pradedant nuo žaliavinės prekės, kuri bandė paslėpti nuo paprasto vaizdo iki sudėtingų veiklos grupių, užsiimančių tiksliniais išpuoliais.
Kaip kryžminis injekcija padeda užpuolikams
Užpuolikai vis dar sugeba kurti ar įsigyti nulinės dienos išnaudojimus. Jie skiria daugiau dėmesio tam, kad išvengtų aptikimo, kad apsaugotų savo investicijas. Norėdami tai padaryti, jie dažniausiai remiasi išpuoliais atmintyje ir branduolio privilegija eskalacija. Tai leidžia jiems išvengti neliesti disko ir likti itin slaptu.
Su kryžminio proceso injekcijos užpuolikai mato įprastus procesus. Kryžminio proceso injekcija slepia piktybišką kodą geriamuosiuose procesuose, todėl tai yra slapta.
Pasak jo, Kryžminė injekcija yra dvilypis procesas:
- Kenkėjiškas kodas įtraukiamas į naują arba esamą vykdomąjį puslapį nuotolinio proceso metu.
- Įleidžiamas kenksmingas kodas yra vykdomas valdant sriegis ir vykdymo kontekstas
Kaip "Windows Defender ATP" nustato kryžminį injekciją
Dienoraščio įraše sakoma, kad "Windows Defender ATP" kūrėjų atnaujinimas yra gerai pasirengęs aptikti daugybės piktybiškų injekcijų. Ji turi funkcinius skambučius ir sukūrė statistinius modelius, skirtus tiems patiems spręsti. "Windows Defender ATP Research Team" išbandė patobulinimus, susijusius su realiais atvejais, norėdama išsiaiškinti, kaip patobulinimai galėtų veiksmingai atskleisti priešišką veiklą, galintį vykdyti skirtingų procesų injekcijas. Realiose situacijose nurodytos bylos yra prekės kenkėjiška programa, skirta kriptotvorių kalnavimui, "Fynloski RAT" ir tiksliniam "Gold" atakoms.
Kryžminio proceso injekcija, kaip ir kiti atminties metodai, taip pat gali išvengti antimalware ir kitų saugumo sprendimų, kurie orientuojasi į failų tikrinimą diske. Naudodami "Windows 10" kūrėjų atnaujinimą, "Windows Defender ATP" varstoma, kad "SecOps" darbuotojai suteiktų papildomų galimybių atrasti kenkėjišką veiklą, naudojančią kryžminį injekciją.
Išsamius įvykių terminus ir kitą kontekstinę informaciją taip pat teikia "Windows Defender ATP", kuri gali būti naudinga "SecOps" personalui. Jie gali lengvai naudotis šia informacija, kad greitai suprastų išpuolių pobūdį ir imtųsi reagavimo veiksmų. Jis yra įmontuotas į "Windows 10 Enterprise" pagrindą. Sužinokite daugiau apie naujas "Windows Defender ATP" galimybes TechNet.
