Zu den Sicherheitsverbesserungen des Windows 10 Creators Update gehören Verbesserungen in Windows Defender Advanced Threat Protection. Diese Verbesserungen würden die Benutzer vor Bedrohungen wie Kovter- und Dridex-Trojanern schützen, sagt Microsoft. Explizit kann Windows Defender ATP Code-Injection-Techniken erkennen, die mit diesen Bedrohungen verbunden sind, wie z Aushöhlen verarbeiten und Atombombenangriff. Diese Methoden, die bereits von zahlreichen anderen Bedrohungen verwendet werden, ermöglichen es Malware, die Computer zu infizieren und sich an verschiedenen verabscheuungswürdigen Aktivitäten zu beteiligen, während sie heimlich bleiben.

Aushöhlen verarbeiten

Der Prozess, eine neue Instanz eines legitimen Prozesses zu erzeugen und ihn „auszuhöhlen“, wird als Process Hollowing bezeichnet. Dies ist im Grunde eine Code-Injection-Technik, bei der der legitime Code durch den der Malware ersetzt wird. Andere Injektionstechniken fügen dem legitimen Prozess einfach ein bösartiges Merkmal hinzu, wobei das Aushöhlen zu einem Prozess führt, der legitim erscheint, aber in erster Linie bösartig ist.

Prozess Aushöhlen verwendet von Kovter

Microsoft spricht Process Hollowing als eines der größten Probleme an, es wird von Kovter und verschiedenen anderen Malware-Familien verwendet. Diese Technik wurde von Malware-Familien bei dateilosen Angriffen verwendet, bei denen die Malware vernachlässigbare Spuren auf der Festplatte hinterlässt und Code nur aus dem Speicher des Computers speichert und ausführt.

Kovter, eine Familie von Klick-Betrugs-Trojanern, bei denen vor kurzem beobachtet wurde, dass sie mit Ransomware-Familien wie Locky in Verbindung gebracht werden. Letztes Jahr, im November, wurde Kovter für einen massiven Anstieg neuer Malware-Varianten verantwortlich gemacht.

Kovter wird hauptsächlich über Phishing-E-Mails verbreitet, es verbirgt die meisten seiner bösartigen Komponenten über Registrierungsschlüssel. Dann verwendet Kovter native Anwendungen, um den Code auszuführen und die Injektion durchzuführen. Es erreicht Persistenz, indem es Verknüpfungen (.lnk-Dateien) zum Startordner hinzufügt oder neue Schlüssel zur Registrierung hinzufügt.

Zwei Registrierungseinträge werden von der Malware hinzugefügt, damit ihre Komponentendatei vom legitimen Programm mshta.exe geöffnet wird. Die Komponente extrahiert eine verschleierte Nutzlast aus einem dritten Registrierungsschlüssel. Ein PowerShell-Skript wird verwendet, um ein zusätzliches Skript auszuführen, das Shellcode in einen Zielprozess einfügt. Kovter verwendet Process Hollowing, um über diesen Shellcode bösartigen Code in legitime Prozesse einzuschleusen.

Atombombenangriff

Atom Bombing ist eine weitere Code-Injection-Technik, die Microsoft angeblich blockiert. Diese Technik beruht auf Malware, die bösartigen Code in Atom-Tabellen speichert. Diese Tabellen sind gemeinsam genutzte Speichertabellen, in denen alle Anwendungen die Informationen zu Zeichenfolgen, Objekten und anderen Datentypen speichern, auf die täglich zugegriffen werden muss. Atom Bombing verwendet asynchrone Prozeduraufrufe (APC), um den Code abzurufen und in den Speicher des Zielprozesses einzufügen.

Dridex ein Early Adopter des Atombombenabwurfs

Dridex ist ein Banking-Trojaner, der erstmals 2014 entdeckt wurde und einer der ersten Anwender von Atombombenangriffen war.

Dridex wird hauptsächlich über Spam-E-Mails verbreitet, es wurde hauptsächlich entwickelt, um Bankdaten und vertrauliche Informationen zu stehlen. Es deaktiviert auch Sicherheitsprodukte und verschafft den Angreifern Fernzugriff auf die Computer des Opfers. Die Bedrohung bleibt heimlich und hartnäckig, indem gängige API-Aufrufe im Zusammenhang mit Code-Injection-Techniken vermieden werden.

Wenn Dridex auf dem Computer des Opfers ausgeführt wird, sucht es nach einem Zielprozess und stellt sicher, dass user32.dll von diesem Prozess geladen wird. Dies liegt daran, dass die DLL benötigt wird, um auf die erforderlichen Atom-Tabellenfunktionen zuzugreifen. Anschließend schreibt die Malware ihren Shellcode in die globale Atom-Tabelle, außerdem fügt sie NtQueueApcThread-Aufrufe für GlobalGetAtomNameW zur APC-Warteschlange des Zielprozess-Threads hinzu, um ihn zu zwingen, den schädlichen Code in den Speicher zu kopieren.

John Lundgren, das Windows Defender ATP-Forschungsteam, sagt,

„Kovter und Dridex sind Beispiele für prominente Malware-Familien, die sich entwickelt haben, um der Erkennung mithilfe von Code-Injection-Techniken zu entgehen. Process Hollowing, Atom Bombing und andere fortschrittliche Techniken werden zwangsläufig von bestehenden und neuen Malware-Familien verwendet“, fügt er hinzu. Die verbesserte Funktionalität in Windows Defender ATP ermöglicht es ihnen, den Opfercomputer zu isolieren und den Rest des Netzwerks zu schützen.“

Microsoft wird endlich gesehen, wie es Probleme mit der Code-Injektion angeht, und hofft, dass das Unternehmen diese Entwicklungen schließlich zur kostenlosen Version von Windows Defender hinzufügt.

Ist Microsoft Defender und ATP dasselbe?

Microsoft Defender ATP wurde ursprünglich als Windows Defender ATP eingeführt. 2019 wurde das Produkt in Microsoft Defender ATP umbenannt. Auf der Ignite 2020 haben wir die Microsoft Defender for Cloud XDR-Suite vorgestellt. Die Microsoft Defender für Endpoint-Komponente wurde in Microsoft Defender für Endpoint umbenannt.

Was ist mit dem erweiterten Bedrohungsschutz von Microsoft passiert?

Office 365 Advanced Threat Protection wurde in Microsoft Defender for Office 365 umbenannt. Das Engagement von Microsoft, den bestmöglichen Schutz vor Angriffen auf Office 365 zu bieten, bleibt jedoch unverändert.