Windows Defender ATP ist ein Sicherheitsdienst, der es dem Sicherheitspersonal (SecOps) ermöglicht, fortgeschrittene Bedrohungen und feindselige Aktivitäten zu erkennen, zu untersuchen und darauf zu reagieren. Letzte Woche wurde vom Windows Defender ATP-Forschungsteam ein Blogbeitrag veröffentlicht, der zeigt, wie Windows Defender ATP SecOps-Mitarbeitern hilft, die Angriffe aufzudecken und zu bekämpfen.
Microsoft kündigt an, seine Investitionen zur Verbesserung der Instrumentierung und Erkennung von In-Memory-Techniken in einer dreiteiligen Serie vorzustellen. Die Serie würde abdecken –
- Erkennungsverbesserungen für prozessübergreifende Codeinjektion
- Kernel-Eskalation und -Manipulation
- In-Memory-Ausbeutung
Im ersten Beitrag lag ihr Hauptaugenmerk auf prozessübergreifende Injektion. Sie haben gezeigt, wie die Verbesserungen, die im Creators Update für Windows Defender ATP verfügbar sein werden, eine breite Palette von Angriffsaktivitäten erkennen würden. Dies würde alles umfassen, angefangen von Standard-Malware, die versucht hat, sich vor der Öffentlichkeit zu verstecken, bis hin zu hochentwickelten Aktivitätsgruppen, die gezielte Angriffe durchführen.
Wie Cross-Process Injection Angreifern hilft
Angreifer schaffen es immer noch, Zero-Day-Exploits zu entwickeln oder zu kaufen. Sie legen mehr Wert darauf, der Erkennung zu entgehen, um ihre Investitionen zu schützen. Dazu verlassen sie sich hauptsächlich auf In-Memory-Angriffe und die Eskalation von Kernel-Privilegien. Dadurch können sie vermeiden, die Festplatte zu berühren, und bleiben extrem unauffällig.
Mit prozessübergreifender Injektion erhalten Angreifer mehr Einblick in die normalen Prozesse. Die prozessübergreifende Injektion verbirgt bösartigen Code in gutartigen Prozessen und macht sie dadurch heimlich.
Laut dem Beitrag, Prozessübergreifende Injektion ist ein zweifacher Prozess:
- Ein bösartiger Code wird in eine neue oder vorhandene ausführbare Seite innerhalb eines Remoteprozesses eingefügt.
- Der eingeschleuste bösartige Code wird durch die Steuerung des Threads und des Ausführungskontexts ausgeführt
So erkennt Windows Defender ATP prozessübergreifende Injektionen
Der Blogbeitrag besagt, dass das Creators Update für Windows Defender ATP gut gerüstet ist, um eine breite Palette bösartiger Injektionen zu erkennen. Es hat Funktionsaufrufe instrumentiert und statistische Modelle zur Adressierung derselben erstellt. Das Windows Defender ATP-Forschungsteam hat die Verbesserungen anhand realer Fälle getestet, um festzustellen, wie die Verbesserungen effektiv feindliche Aktivitäten aufdecken würden, die die prozessübergreifende Injektion ermöglichen. Die in dem Beitrag zitierten realen Fälle sind Commodity-Malware für das Mining von Kryptowährungen, Fynloski RAT und gezielte Angriffe von GOLD.
Die prozessübergreifende Injektion kann, wie andere In-Memory-Techniken auch, Antimalware und andere Sicherheitslösungen umgehen, die sich auf die Überprüfung von Dateien auf der Festplatte konzentrieren. Mit dem Windows 10 Creators Update wird Windows Defender ATP so ausgestattet, dass es SecOps-Mitarbeitern zusätzliche Funktionen zur Verfügung stellt, um böswillige Aktivitäten zu erkennen, die prozessübergreifende Injektionen nutzen.
Detaillierte Ereigniszeitpläne sowie andere kontextbezogene Informationen werden auch von Windows Defender ATP bereitgestellt, die für das SecOps-Personal nützlich sein können. Sie können diese Informationen leicht verwenden, um die Art von Angriffen schnell zu verstehen und sofortige Gegenmaßnahmen zu ergreifen. Es ist in den Kern von Windows 11/10 Enterprise integriert.