Windows Defender ATP è un servizio di sicurezza che consente al personale delle operazioni di sicurezza (SecOps) di rilevare, investigare e rispondere a minacce avanzate e attività ostili. La settimana scorsa è stato rilasciato un post sul blog dal Team di ricerca ATP di Windows Defender che mostra come Windows Defender ATP aiuta il personale SecOps a scoprire e affrontare gli attacchi.
Nel blog, Microsoft afferma che mostrerebbe i suoi investimenti fatti per migliorare la strumentazione e il rilevamento delle tecniche in memoria in una serie in tre parti. La serie coprirebbe-
- Miglioramenti del rilevamento per l'iniezione di codice cross-process
- Escalation e manomissione del kernel
- Sfruttamento in memoria
Nel primo post, il loro obiettivo principale era acceso iniezione cross-process. Hanno illustrato come i miglioramenti che saranno disponibili nell'Aggiornamento dei creativi per Windows Defender ATP rileveranno un'ampia serie di attività di attacco. Ciò includerebbe tutto a partire dal malware delle merci che ha tentato di nascondersi dalla semplice vista ai sofisticati gruppi di attività che intraprendono attacchi mirati.
In che modo l'iniezione tra processi aiuta gli aggressori
Gli hacker stanno ancora riuscendo a sviluppare o acquistare exploit zero-day. Stanno mettendo maggiormente l'accento sull'evasione del rilevamento per proteggere i loro investimenti. Per fare questo, si basano principalmente su attacchi in memoria e escalation di privilegi del kernel. Ciò consente loro di evitare di toccare il disco e di rimanere estremamente furtivi.
Con gli attaccanti di iniezione Cross-process ottieni una maggiore visibilità nei processi normali. L'iniezione incrociata nasconde codice dannoso all'interno di processi benigni e questo li rende invisibili.
Secondo il post, Iniezione cross-process è un processo duplice:
- Un codice dannoso viene inserito in una pagina eseguibile nuova o esistente all'interno di un processo remoto.
- Il codice dannoso iniettato viene eseguito tramite il controllo del thread e del contesto di esecuzione
Come Windows Defender ATP rileva l'iniezione cross-process
Il post sul blog afferma che l'aggiornamento per i creativi per Windows Defender ATP è ben attrezzato per rilevare un'ampia gamma di iniezioni dannose. Ha strumentato chiamate di funzioni e modelli statistici costruiti per indirizzare lo stesso. Il team di ricerca ATP di Windows Defender ha testato i miglioramenti rispetto ai casi reali per determinare in che modo i miglioramenti avrebbero esposto efficacemente le attività ostili che alimentano l'iniezione tra processi. I casi reali citati nel post sono il malware di Commodity per il mining di criptovaluta, il RAT di Fynloski e l'attacco mirato di GOLD.
L'iniezione cross-process, come altre tecniche in-memory, può anche eludere l'antimalware e altre soluzioni di sicurezza che si concentrano sull'ispezione dei file su disco. Con Windows 10 Creators Update, l'ATP di Windows Defender verrà potenziato per fornire al personale SecOps funzionalità aggiuntive per scoprire attività dannose sfruttando l'iniezione cross-process.
Le tempistiche dettagliate degli eventi, così come altre informazioni contestuali, sono fornite anche da Windows Defender ATP che può essere utile al personale SecOps. Possono facilmente utilizzare queste informazioni per comprendere rapidamente la natura degli attacchi e intraprendere azioni di risposta immediata. È integrato nel nucleo di Windows 10 Enterprise. Maggiori informazioni sulle nuove funzionalità di Windows Defender ATP TechNet.
