I miglioramenti della sicurezza di Windows 10 Creators Update includono miglioramenti in Windows Defender Advanced Threat Protection. Questi miglioramenti terrebbero gli utenti protetti da minacce come i Trojan Kovter e Dridex, afferma Microsoft. Esplicitamente, l'ATP di Windows Defender è in grado di rilevare le tecniche di iniezione del codice associate a tali minacce, ad esempio Process Hollowing e Atom Bombing. Già utilizzati da numerose altre minacce, questi metodi consentono al malware di infettare i computer e intraprendere varie attività spregevoli rimanendo invisibili.
Process Hollowing
Il processo di generazione di una nuova istanza di un processo legittimo e "svuotarlo" è noto come Process Hollowing. Questa è fondamentalmente una tecnica di iniezione di codice in cui il codice legittimo viene sostituito con quello del malware. Altre tecniche di iniezione aggiungono semplicemente una funzionalità dannosa al processo legittimo, con risultati vuoti in un processo apparentemente legittimo ma principalmente malevolo.
Process Hollowing utilizzato da Kovter
Gli indirizzi Microsoft elaborano lo svuotamento come uno dei maggiori problemi, vengono utilizzati da Kovter e da altre famiglie di malware. Questa tecnica è stata utilizzata dalle famiglie di malware negli attacchi senza file, in cui il malware lascia impronte trascurabili su disco e memorizza ed esegue il codice solo dalla memoria del computer.
Kovter, una famiglia di Trojan click-fraud che è stata osservata molto recentemente per associarsi a famiglie di ransomware come Locky. L'anno scorso, a novembre, Kovter è stato ritenuto responsabile di un massiccio aumento delle nuove varianti di malware.
Kovter viene fornito principalmente tramite e-mail di phishing, nasconde la maggior parte dei suoi componenti maligni tramite le chiavi di registro. Quindi Kovter utilizza applicazioni native per eseguire il codice ed eseguire l'iniezione. Ottiene la persistenza aggiungendo scorciatoie (file.lnk) alla cartella di avvio o aggiungendo nuove chiavi al registro.
Due voci di registro vengono aggiunte dal malware per avere il suo file componente aperto dal programma legittimo mshta.exe. Il componente estrae un carico utile offuscato da una terza chiave di registro. Uno script PowerShell viene utilizzato per eseguire uno script aggiuntivo che inietta lo shellcode in un processo di destinazione. Kovter utilizza il processo di svuotamento per immettere codice dannoso in processi legittimi attraverso questo shellcode.
Atom Bombing
Atom Bombing è un'altra tecnica di iniezione di codice che Microsoft afferma di bloccare. Questa tecnica si basa sul malware che memorizza il codice dannoso all'interno delle tabelle atom. Queste tabelle sono tabelle di memoria condivise in cui tutte le applicazioni memorizzano le informazioni su stringhe, oggetti e altri tipi di dati che richiedono l'accesso giornaliero. Atom Bombing utilizza le chiamate a procedure asincrone (APC) per recuperare il codice e inserirlo nella memoria del processo di destinazione.
Dridex uno dei primi ad adottare l'attentato atomico
Dridex è un trojan bancario che è stato avvistato per la prima volta nel 2014 ed è stato uno dei primi ad adottare il bombardamento atomico.
Dridex è principalmente distribuito tramite e-mail di spam, è stato progettato principalmente per rubare credenziali bancarie e informazioni sensibili. Disabilita anche i prodotti di sicurezza e fornisce agli aggressori l'accesso remoto ai computer delle vittime. La minaccia rimane surrettizia e ostinata evitando le chiamate API comuni associate alle tecniche di iniezione del codice.
Quando Dridex viene eseguito sul computer della vittima, cerca un processo di destinazione e assicura che user32.dll venga caricato da questo processo. Questo perché ha bisogno della DLL per accedere alle funzioni della tabella atom richiesta. Di seguito, il malware scrive il suo shellcode sulla tabella atom globale, inoltre aggiunge NtQueueApcThread chiamate per GlobalGetAtomNameW alla coda APC del thread del processo di destinazione per costringerlo a copiare il codice dannoso in memoria.
John Lundgren, il team di ricerca ATP di Windows Defender, afferma:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Alla fine, Microsoft ha risolto i problemi di iniezione del codice, sperando di vedere finalmente la compagnia che aggiunge questi sviluppi alla versione gratuita di Windows Defender.
