Защитник Windows ATP – это служба безопасности, которая позволяет персоналу по обеспечению безопасности (SecOps) обнаруживать, расследовать и реагировать на сложные угрозы и враждебные действия. На прошлой неделе исследовательская группа Защитника Windows ATP выпустила сообщение в блоге, в котором рассказывается, как Защитник Windows ATP помогает сотрудникам службы безопасности обнаруживать атаки и устранять их.
В своем блоге Microsoft сообщает, что продемонстрирует свои инвестиции в улучшение инструментов и обнаружение методов в памяти в серии из трех частей. Серия будет охватывать
- Улучшения обнаружения для межпроцессного внедрения кода
- Эскалация ядра и фальсификация
- Эксплуатация в памяти
В первом посте основное внимание было уделено межпроцессному внедрению . Они продемонстрировали, как усовершенствования, которые будут доступны в обновлении Creators для Защитника Windows ATP, будут определять широкий набор действий атаки. Это будет включать в себя все, начиная от обычного вредоносного ПО, которое пытается скрыться от простого зрения, до сложных групп действий, которые участвуют в целевых атаках.
Как межпроцессное внедрение помогает злоумышленникам
Злоумышленникам по-прежнему удается разрабатывать или приобретать эксплойты нулевого дня. Они уделяют больше внимания уклонению от обнаружения, чтобы защитить свои инвестиции. Для этого они в основном полагаются на атаки в памяти и повышение привилегий ядра. Это позволяет им не касаться диска и оставаться крайне скрытным.
Благодаря межпроцессному внедрению злоумышленники получают больше информации о нормальных процессах. Межпроцессное внедрение скрывает вредоносный код внутри безопасных процессов, и это делает их скрытными.
Согласно сообщению, межпроцессное внедрение – это двойной процесс:
- Вредоносный код помещается на новую или существующую исполняемую страницу в удаленном процессе.
- Внедренный вредоносный код выполняется через управление потоком и контекстом выполнения.
Как Защитник Windows ATP обнаруживает межпроцессное внедрение
В сообщении блога говорится, что обновление Creators для Windows Defender ATP хорошо оборудовано для обнаружения широкого спектра вредоносных инъекций. Он инструментировал вызовы функций и строил статистические модели для решения той же проблемы. Исследовательская группа Защитника Windows ATP проверила усовершенствования в реальных случаях, чтобы определить, как эти усовершенствования могут эффективно выявить враждебные действия, которые обеспечивают межпроцессное внедрение. В настоящем сообщении приводятся примеры реальных вредоносных программ Commodity для майнинга криптовалюты, Fynloski RAT и Targeted attack by GOLD.
Межпроцессное внедрение, как и другие методы в оперативной памяти, может также избежать защиты от вредоносных программ и других решений безопасности, которые сосредоточены на проверке файлов на диске. Благодаря обновлению Windows 10 Creators для обновления Windows Defender ATP будет предоставляться сотрудникам SecOps дополнительные возможности для обнаружения вредоносных действий, использующих межпроцессное внедрение.
Защитник Windows ATP предоставляет подробные графики событий, а также другую контекстную информацию, которая может быть полезна для персонала SecOps. Они могут легко использовать эту информацию, чтобы быстро понять природу атак и предпринять немедленные ответные действия. Он встроен в ядро Windows 10 Enterprise. Узнайте больше о новых возможностях Защитника Windows ATP в разделе TechNet .