Perlindungan Proses Hollowing & Bom Atom pada Windows Defender ATp

Windows 10 Creator Pembaruan peningkatan keamanan termasuk peningkatan dalam Windows Defender Advanced Threat Protection. Peningkatan ini akan membuat pengguna terlindung dari ancaman seperti Kovter dan Dridex Trojans, kata Microsoft. Secara eksplisit, Windows Defender ATP dapat mendeteksi teknik injeksi kode yang terkait dengan ancaman ini, seperti Proses Hollowing dan Atom Bombing . Sudah digunakan oleh berbagai ancaman lain, metode ini memungkinkan malware menginfeksi komputer dan terlibat dalam berbagai aktivitas tercela sambil tetap diam-diam.

Proses Hollowing

Proses pemijahan contoh baru dari proses yang sah dan "melipatgandakannya" dikenal sebagai Proses Hollowing. Ini pada dasarnya adalah teknik injeksi kode di mana kode yang Sah digantikan dengan yang ada pada malware. Teknik injeksi lain hanya menambahkan fitur jahat ke proses yang sah, melonggarkan hasil dalam proses yang tampak sah tetapi terutama berbahaya.

Proses Hollowing yang digunakan oleh Kovter

Alamat Microsoft memproses lekukan sebagai salah satu masalah terbesar, itu adalah digunakan oleh Kovter dan berbagai keluarga malware lainnya. Teknik ini telah digunakan oleh keluarga malware dalam serangan tanpa file, di mana malware meninggalkan jejak kaki yang diabaikan pada disk dan toko dan mengeksekusi kode hanya dari memori komputer.

Kovter, keluarga Trojan klik-penipuan yang baru-baru ini telah diamati untuk bergaul dengan keluarga ransomware seperti Locky. Tahun lalu, pada bulan November Kovter, ditemukan bertanggung jawab atas lonjakan besar dalam varian malware baru.

Kovter disampaikan terutama melalui email phising, ia menyembunyikan sebagian besar komponen jahatnya melalui kunci registri. Kemudian Kovter menggunakan aplikasi asli untuk mengeksekusi kode dan melakukan injeksi. Ini mencapai ketekunan dengan menambahkan pintasan (file.lnk) ke folder startup atau menambahkan kunci baru ke registri.

Dua entri registri ditambahkan oleh malware untuk membuka file komponennya oleh program mshta.exe yang sah. Komponen mengekstrak payload yang tidak jelas dari kunci registri ketiga. Skrip PowerShell digunakan untuk mengeksekusi skrip tambahan yang menyuntikkan shellcode ke dalam proses target. Kovter menggunakan proses pengosongan untuk menyuntikkan kode berbahaya ke dalam proses yang sah melalui shellcode ini.

Pengeboman Atom

Pengeboman Atom adalah teknik injeksi kode lain yang diklaim Microsoft untuk diblokir. Teknik ini bergantung pada malware yang menyimpan kode berbahaya di dalam tabel atom. Tabel-tabel ini adalah tabel memori bersama di mana semua aplikasi menyimpan informasi pada string, objek, dan jenis data lain yang memerlukan akses setiap hari. Atom Bombing menggunakan asynchronous procedure call (APC) untuk mengambil kode dan memasukkannya ke dalam memori proses target.

Dridex merupakan pengguna awal pengeboman atom

Dridex adalah trojan perbankan yang pertama kali ditemukan pada tahun 2014 dan telah menjadi salah satu pengguna awal pemboman atom.

Dridex sebagian besar didistribusikan melalui email spam, itu terutama dirancang untuk mencuri kredensial perbankan dan informasi sensitif. Ini juga menonaktifkan produk keamanan dan menyediakan penyerang dengan akses jarak jauh ke komputer korban. Ancaman tetap diam-diam dan keras kepala dengan menghindari panggilan API umum yang terkait dengan teknik injeksi kode.

Ketika Dridex dijalankan di komputer korban, ia mencari proses target dan memastikan user32.dll dimuat oleh proses ini. Ini karena membutuhkan DLL untuk mengakses fungsi tabel atom yang diperlukan. Setelah itu, malware menulis shellcode ke tabel atom global, lebih lanjut ia menambahkan NtQueueApcThread panggilan untuk GlobalGetAtomNameW ke antrian APC dari thread proses target untuk memaksa untuk menyalin kode jahat ke dalam memori.

John Lundgren, Tim Riset ATP Pembela Windows, mengatakan,

“Kovter dan Dridex adalah contoh keluarga malware terkemuka yang berevolusi untuk menghindari deteksi menggunakan teknik injeksi kode. Mau tidak mau, proses pelubangan, pengeboman atom, dan teknik lanjutan lainnya akan digunakan oleh keluarga malware yang ada dan yang baru, ”tambahnya“ Windows Defender ATP juga menyediakan jadwal kejadian dan informasi kontekstual lainnya yang dapat digunakan tim SecOps untuk memahami serangan dan merespon dengan cepat. Fungsionalitas yang ditingkatkan pada Windows Defender ATP memungkinkan mereka untuk mengisolasi mesin korban dan melindungi seluruh jaringan. ”

Microsoft akhirnya terlihat menangani masalah kode injeksi, berharap untuk akhirnya melihat perusahaan menambahkan perkembangan ini ke versi gratis Windows Bek.