The Great Gildersleeve: Leroy's School Play / Tom Sawyer Raft / Fiscal Report Due
Inhaltsverzeichnis:
Windows 10 Creators Update-Sicherheitsverbesserungen beinhalten Verbesserungen in Windows Defender Advanced Threat Protection. Diese Verbesserungen würden die Benutzer vor Bedrohungen wie Kovter und Dridex-Trojanern schützen, sagt Microsoft. Explizit kann Windows Defender ATP Code-Injection-Techniken erkennen, die diesen Bedrohungen zugeordnet sind, z. B. Process Hollowing und Atom Bombing . Diese Methoden, die bereits von zahlreichen anderen Bedrohungen verwendet werden, ermöglichen es Malware, die Computer zu infizieren und verschiedene verachtenswerte Aktivitäten auszuführen, während sie weiterhin heimlich bleiben.
Process Hollowing
Der Prozess, eine neue Instanz eines legitimen Prozesses hervorzubringen und auszuhöhlen ist bekannt als Process Hollowing. Dies ist im Grunde eine Code-Injektionstechnik, bei der der Legitime Code durch den der Malware ersetzt wird. Andere Injektionstechniken fügen dem legitimen Prozess einfach eine bösartige Funktion hinzu, die Aushöhlung führt zu einem Prozess, der legitim erscheint, aber in erster Linie bösartig ist.
Process Hollowing von Kovter
Microsoft adressiert Prozessaushöhlungen als eines der größten Probleme verwendet von Kovter und verschiedenen anderen Malware-Familien. Diese Technik wurde von Malware-Familien bei dateilosen Angriffen eingesetzt, bei denen die Malware kaum Fußspuren auf der Festplatte hinterlässt und Code nur aus dem Speicher des Computers speichert und ausführt.
Kovter, eine Familie von Click-Fraud-Trojanern beobachtet, mit Ransomware-Familien wie Locky zu assoziieren. Letztes Jahr, im November, wurde Kovter für einen massiven Anstieg neuer Malware-Varianten verantwortlich gemacht.
Kovter wird hauptsächlich über Phishing-E-Mails ausgeliefert, die meisten seiner schädlichen Komponenten werden über Registrierungsschlüssel versteckt. Dann verwendet Kovter native Anwendungen, um den Code auszuführen und die Injektion durchzuführen. Es erreicht Persistenz durch Hinzufügen von Verknüpfungen (.lnk-Dateien) zum Startordner oder Hinzufügen neuer Schlüssel zur Registrierung.
Zwei Registrierungseinträge werden von der Malware hinzugefügt, damit ihre Komponentendatei vom legitimen Programm mshta.exe geöffnet wird. Die Komponente extrahiert eine verschleierte Nutzlast aus einem dritten Registrierungsschlüssel. Ein PowerShell-Skript wird verwendet, um ein zusätzliches Skript auszuführen, das Shellcode in einen Zielprozess einfügt. Kovter nutzt Process-Hollowing, um bösartigen Code über diesen Shellcode in legitime Prozesse zu injizieren.
Atom Bombing
Atom Bombing ist eine weitere Code-Injektionstechnik, die Microsoft angeblich blockiert. Diese Technik beruht auf Malware, die bösartigen Code in Atomtabellen speichert. Bei diesen Tabellen handelt es sich um gemeinsam genutzte Speichertabellen, in denen alle Anwendungen Informationen zu Strings, Objekten und anderen Datentypen speichern, für die täglich Zugriff erforderlich ist. Atom Bombardierung verwendet asynchrone Prozeduraufrufe (APC), um den Code abzurufen und ihn in den Speicher des Zielprozesses einzufügen.
Dridex ist ein früher Anwender des Atombombenabwurfs
Dridex ist ein Bank-Trojaner, der 2014 zum ersten Mal entdeckt wurde war einer der ersten Befürworter des Atombombenabwurfs.
Dridex wird hauptsächlich über Spam-E-Mails verbreitet. Es wurde in erster Linie entwickelt, um Bankdaten und vertrauliche Informationen zu stehlen. Es deaktiviert auch Sicherheitsprodukte und bietet den Angreifern Remotezugriff auf die Opfercomputer. Die Bedrohung bleibt schleichend und hartnäckig, indem häufige API-Aufrufe vermieden werden, die mit Code-Injektionstechniken verbunden sind.
Wenn Dridex auf dem Computer des Opfers ausgeführt wird, sucht es nach einem Zielprozess und stellt sicher, dass user32.dll von diesem Prozess geladen wird. Dies liegt daran, dass die DLL für den Zugriff auf die erforderlichen Atom-Tabellenfunktionen benötigt wird. Anschließend schreibt die Malware ihren Shellcode in die globale Atomtabelle und fügt außerdem NtQueueApcThread-Aufrufe für GlobalGetAtomNameW der APC-Warteschlange des Zielprozess-Threads hinzu, um den schädlichen Code in den Speicher zu kopieren.
Laut John Lundgren, dem ATP-Forschungsteam von Windows Defender,
"Kovter und Dridex sind Beispiele für prominente Malware-Familien, die entwickelt wurden, um der Erkennung mithilfe von Codeinjektionstechniken zu entgehen. Zwangsläufig werden Prozesshöhlungen, Atombombenabwürfe und andere fortschrittliche Techniken von bestehenden und neuen Malware-Familien verwendet ", fügt er hinzu. Windows Defender ATP bietet außerdem detaillierte Ereigniszeitachsen und andere kontextbezogene Informationen, die SecOps-Teams verwenden können, um Angriffe zu verstehen und schnell zu reagieren. Die verbesserte Funktionalität von Windows Defender ATP ermöglicht es ihnen, die Opfermaschine zu isolieren und den Rest des Netzwerks zu schützen. "
Endlich sieht Microsoft Probleme mit der Code-Einspeisung, hofft, dass das Unternehmen diese Entwicklungen der kostenlosen Version von Windows hinzufügen wird Verteidiger.
Block auf First Sight-Schutz in Windows Defender unter Windows 10
Block auf First Sight ist eine Funktion von Windows Defender Cloud Protection, die Erkennung hilft neue Malware. Aktivieren oder Deaktivieren Sie dies über Einstellungen & GPEDIT.
E-Mail Bombardierung und Möglichkeiten zum Schutz
E-Mail-Bombardierung ist eine Cyber-Attacke, bei der sehr viele E-Mails an dieselbe E-Mail-ID gesendet werden System. Prävention und Schutz werden ebenfalls diskutiert.
Windows Defender ATP neue Funktionen in Windows 10 Herbst Schöpfer Update
Windows Defender ATP in Windows 10 Herbst Schöpfer Update bekommt mehrere neue Funktionen wie Exploit Guard, Einzelansicht des Glases über den Windows-Sicherheits-Stack usw.