Güvenlik

Microsoft`ta Proses Delik Açma ve Atom Bombası koruması Microsoft, Windows 10`daki güvenlik önlemlerini, bilinen iki çeşit kod enjeksiyon tekniğine karşı ekledi. Process Hollowing & Atom Bombing. Windows 10 Creators Update güvenlik geliştirmeleri, Windows Defender Advanced Threat Protection`daki geliştirmeleri içerir. Bu geliştirmeler, kullanıcıları Kovter ve Dridex Trojans gibi tehditlerden koruyacak, Microsoft diyor. Açıkça, Windows Defender ATP, İşlem Oyma ve Atom Bombası

gibi bu tehditlerle ilişkili kod enjeksiyon tekniklerini algılayabilir. Çok sayıda başka tehditler tarafından kullanıldığında, bu yöntemler kötü amaçlı yazılımların bilgisayarları etkilemesine ve gizli kalırken çeşitli aşağılayıcı faaliyetlere girmesine izin verir.

Süreç İçi Boşaltma

Meşru bir sürecin yeni bir örneğini oluşturma ve “onu boşaltma” süreci. İşlem Boşaltma olarak bilinir. Bu temel olarak meşru kodun kötü amaçlı yazılımın yerini aldığı bir kod enjeksiyon tekniğidir. Diğer enjeksiyon teknikleri meşru sürece kötü amaçlı bir özellik ekler, oyuk sonuçlar meşru görünen ancak esasen kötü niyetli olan bir süreç içinde sonuçlanır.

Kovter

tarafından kullanılan Proses Boşluğu> Microsoft, süreç içi boşluğu en büyük sorunlardan biri olarak ele alır. Kovter ve diğer çeşitli malware aileleri tarafından kullanılır. Bu teknik, kötü amaçlı yazılım aileleri tarafından, kötü amaçlı yazılımların disk üzerinde önemsiz ayak izleri bıraktığı ve kodları yalnızca bilgisayarın belleğinden depoladığı ve çalıştırdığı yerlerde kullanılır.

Kovter, çok yakın zaman önce sahtekarlık yapmış bir saldırgan Truva atları ailesi. Locky gibi fidye aileleriyle ilişki kurduğu gözlemlendi. Geçtiğimiz yıl, Kovter, yeni kötü amaçlı yazılım çeşitlerinde büyük bir artıştan sorumluydu.

Kovter esas olarak kimlik avı e-postaları yoluyla dağıtılıyor, zararlı bileşenlerinin çoğunu kayıt defteri anahtarlarıyla gizliyor. Sonra Kovter kodu yürütmek ve enjeksiyonu yapmak için yerel uygulamaları kullanır. Başlangıç ​​klasörüne kısayol (.lnk dosyaları) ekleyerek veya kayıt defterine yeni anahtarlar ekleyerek kalıcılık sağlar.

İki kayıt defteri girdisi, kötü amaçlı yazılım tarafından bileşen dosyasının meşru program mshta.exe tarafından açılmasını sağlayarak eklenir. Bileşen, üçüncü bir kayıt anahtarından gizlenmiş bir yükü ayıklar. Bir PowerShell betiği, kabuk kodunu bir hedef işlemine enjekte eden ek bir komut dosyasını yürütmek için kullanılır. Kovter, bu kabuk kodu aracılığıyla zararlı kodları meşru süreçlere enjekte etmek için süreç içi boşaltma kullanır.

Atom Bombası

Atom Bombası, Microsoft`un engellemeyi talep ettiği başka bir kod enjeksiyon tekniğidir. Bu teknik, kötü amaçlı kodun atom tablolarında saklanmasına neden olan kötü amaçlı yazılımlara dayanır. Bu tablolar, tüm uygulamaların bilgileri günlükler gerektiren dizeler, nesneler ve diğer veri türlerinde sakladığı paylaşılan bellek tablolarıdır. Atom Bombing, kodu almak ve hedef işlemin belleğine eklemek için asenkron prosedür çağrılarını (APC) kullanır.

Dridex, atom bombacılığının

erken uyarlayıcısını kullanır. Dridex, 2014 yılında ilk kez görülen bir bankacılık trojanıdır. Atom bombacılığının en erken evlat edinenlerden biri olmuştur.

Dridex çoğunlukla spam e-postalar yoluyla dağıtılmış, öncelikle banka kimlik bilgilerini ve hassas bilgileri çalmak üzere tasarlandı. Ayrıca güvenlik ürünlerini devre dışı bırakır ve saldırganlara kurban bilgisayarlarına uzaktan erişim sağlar. Tehdit, kod enjeksiyon teknikleriyle ilişkili yaygın API çağrılarından kaçınarak süreklilik arz eden ve engellenir.

Dridex, kurbanın bilgisayarında yürütüldüğünde, hedef bir süreç arar ve bu işlemin user32.dll tarafından yüklenmesini sağlar. Bunun nedeni, gerekli atom tablosu işlevlerine erişmek için DLl`ye ihtiyaç duymasıdır. Bunu takiben, kötü amaçlı yazılım, kabuk kodunu genel atom tablosuna yazar, daha sonra, zararlı kodun belleğe kopyalanmasını zorlamak için GlobalGetAtomNameW için NtQueueApcThread çağrılarını hedef işlemin APC kuyruğuna ekler.

Windows Defender ATP Araştırma Ekibi John Lundgren, “

“ Kovter ve Dridex, kod enjeksiyon tekniklerini kullanarak tespitten kaçınmak için evrimleşen önde gelen kötü amaçlı yazılım ailelerinin örnekleri. Kaçınılmaz olarak, süreç içi boşaltma, atom bombalama ve diğer gelişmiş teknikler mevcut ve yeni kötü amaçlı yazılım aileleri tarafından kullanılacak ”dedi.“ Windows Defender ATP, ayrıca, SecOps takımlarının saldırıları anlamak ve hızlı bir şekilde yanıt vermek için kullanabilecekleri ayrıntılı olay zaman çizelgeleri ve diğer bağlamsal bilgileri de sunuyor. Windows Defender ATp`deki geliştirilmiş işlevsellik, kurbanın makinasını izole etmesini ve ağın geri kalanını korumasını sağlıyor. ”