Microsoft Defender ATP Training Series Part 1: On boarding and basic policies (new endpoint portal)
Índice:
Os aprimoramentos de segurança do Windows 10 Creators Update incluem aprimoramentos na Proteção Avançada contra Ameaças do Windows Defender. Esses aprimoramentos manteriam os usuários protegidos contra ameaças como Trojans Kovter e Dridex, diz a Microsoft. Explicitamente, o ATP do Windows Defender pode detectar técnicas de injeção de código associadas a essas ameaças, como Process Hollowing e Atom Bombing . Já utilizado por inúmeras outras ameaças, esses métodos permitem que o malware infecte os computadores e se envolva em várias atividades desprezíveis enquanto permanece oculto.
Process Hollowing
O processo de gerar uma nova instância de um processo legítimo e "esvaziar o sistema" é conhecido como processo oco. Esta é basicamente uma técnica de injeção de código na qual o código legítimo é substituído pelo do malware. Outras técnicas de injeção simplesmente adicionam um recurso malicioso ao processo legítimo, ocasionando resultados em um processo que parece legítimo, mas é essencialmente malicioso.
Process Hollowing usado por Kovter
O processo de endereços da Microsoft está se tornando um dos maiores problemas. usado por Kovter e várias outras famílias de malware. Essa técnica tem sido usada por famílias de malware em ataques sem arquivos, onde o malware deixa pegadas desprezíveis no disco e armazena e executa código apenas a partir da memória do computador.
Kovter, uma família de cavalos de Tróia que recentemente foram observado para se associar com famílias de ransomware como Locky. No ano passado, em novembro, Kovter foi considerado responsável por um grande aumento nas novas variantes de malware.
O Kovter é entregue principalmente através de e-mails de phishing, que oculta a maioria de seus componentes maliciosos através de chaves de registro. Então Kovter usa aplicativos nativos para executar o código e executar a injeção. Ele obtém persistência adicionando atalhos (arquivos.lnk) à pasta de inicialização ou adicionando novas chaves ao registro.
Duas entradas de registro são adicionadas pelo malware para que seu arquivo de componente seja aberto pelo programa legítimo mshta.exe. O componente extrai uma carga ofuscada de uma terceira chave de registro. Um script do PowerShell é usado para executar um script adicional que injeta o shellcode em um processo de destino. O Kovter usa processos vazios para injetar código malicioso em processos legítimos através deste código de shell
Atom Bombing
Atom Bombing é outra técnica de injeção de código que a Microsoft alega bloquear. Essa técnica depende do malware que armazena códigos maliciosos dentro de tabelas atom. Essas tabelas são tabelas de memória compartilhada em que todos os aplicativos armazenam as informações sobre cadeias de caracteres, objetos e outros tipos de dados que exigem acesso diário. Atom Bombing usa chamadas de procedimento assíncrono (APC) para recuperar o código e inseri-lo na memória do processo de destino
Dridex, um dos primeiros a adotar o
Dridex é um trojan bancário que foi visto pela primeira vez em 2014 e tem sido um dos primeiros a adotar o bombardeamento atômico.
O Dridex é distribuído principalmente por e-mails de spam, foi projetado principalmente para roubar credenciais bancárias e informações confidenciais. Também desativa produtos de segurança e fornece aos invasores acesso remoto aos computadores da vítima. A ameaça permanece sub-reptícia e obstinada evitando chamadas de API comuns associadas a técnicas de injeção de código.
Quando o Dridex é executado no computador da vítima, ele procura um processo de destino e garante que user32.dll seja carregado por esse processo. Isso ocorre porque ele precisa da DLL para acessar as funções de tabela de átomos necessárias. A seguir, o malware grava seu shellcode na tabela de átomos globais, além de adicionar chamadas NtQueueApcThread para GlobalGetAtomNameW à fila APC do encadeamento do processo de destino para forçá-lo a copiar o código mal-intencionado na memória.
John Lundgren, a equipe de pesquisa ATP do Windows Defender, diz,
“Kovter e Dridex são exemplos de proeminentes famílias de malware que evoluíram para escapar da detecção usando técnicas de injeção de código. Inevitavelmente, processos de vazamento, bombardeamento atômico e outras técnicas avançadas serão usados por famílias de malware existentes e novas ”, acrescenta.“ O Windows Defender ATP também fornece cronogramas detalhados de eventos e outras informações contextuais que as equipes SecOps podem usar para entender ataques e responder rapidamente. A funcionalidade aprimorada do ATP do Windows Defender permite que eles isolem a máquina vítima e protejam o restante da rede. ”
A Microsoft finalmente está vendo problemas de injeção de código, esperamos ver a empresa adicionando esses desenvolvimentos à versão gratuita do Windows Defensor
O processo vem em resposta para o processo da Intel no mês passado no mesmo tribunal, pedindo a um juiz para declarar que a Nvidia não está licenciada para produzir chipsets compatíveis com tais chips. A Intel disse que um acordo de licenciamento existente cobre apenas chips antigos, enquanto a Nvidia disse que o contrato assinado entre 2004 e Nehalem inclui chips Nehalem e chips futuros da Intel.
Os chips Nehalem da Intel integram controladores de memória dentro do chip, o que ajuda a CPU a se comunicar mais rapidamente . A Nvidia fabrica chipsets, que são dispositivos que ajudam os processadores a se comunicarem com componentes como controladores de rede e armazenamento.
Da EC levar adiante processo antimonopólio Apesar da decisão da Microsoft sobre a Microsoft rejeitar o caso antitruste contra a Microsoft apesar da decisão de tirar o IE do Windows 7 na Europa A Comissão Européia prosseguirá com seu processo antitruste contra a Microsoft, independentemente do anúncio na quinta-feira de que a gigante do software está retirando seu navegador, o Internet Explorer (IE), da próxima encarnação de seu sistema operacional, o Windows 7, na Europa. A Comissão acusou a Mic
"No nível de ambos fabricantes de computadores e vendas a retalho, a comunicação de objecções da Comissão (SO) sugere que os consumidores devem ter uma escolha genuína de browsers. Dado que mais de 95 por cento dos consumidores adquirem o Windows pré-instalado em um PC, é particularmente importante garantir a escolha do consumidor através do canal do fabricante do computador ", disse o comunicado. Eliminar o IE do Windows" pode ser positivo " Segundo o comunicado, isso permitiria aos fabricantes
Reclamantes no processo antitruste da União Européia contra o Google disse na segunda-feira que as soluções propostas pela empresa poderiam ser Pior do que a situação atual. O acordo proposto pelo Google sobre um processo antitruste da União Européia equivale a continuar com a discriminação contra outras empresas de busca, mas colocando uma etiqueta de advertência na prática, disse um grupo da indústria. rotular seus próprios serviços internos para indicar aos usuários que eles não são
As soluções propostas são essencialmente "rotulagem mais" e poderiam piorar as coisas, disse David Wood, advogado do ICOMP, que representa alguns dos queixosos no caso antitruste.