Microsoft се справя със зловреден софтуер без файлове, извлечен от скрипта на изследователя на Google Project Zero.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Microsoft работи върху отговор на някои хитри нови техники, използвани в комплекти за тестване на проникване за заобикаляне Windows Defender Advanced Threat Protection (ATP), неговата ключова платформа за сигурност за защита на Windows 10 в предприятие.
Microsoft съобщава, че има откри два случая на злонамерен софтуер без файлове използвани за доставяне на крадци на информация, които работят в паметта, без изпълним файл да бъде записан на диска.
Безфайловият злонамерен софтуер се увеличава, благодарение на свободно достъпни инструменти, които могат да се използват за подобряване на защитата или стартиране на атака.
Зловреден софтуер, забелязан от Microsoft, разчита на техники от комплекта за тестване на проникване Sharpshooter, който генерира полезни товари в множество Windows формати и може да избегне откриването от корпоративен анти-злонамерен софтуер продукти.
Sharpshooter беше издаден по-рано тази година от британската фирма за тестване на писалка MDSec, която използва техники от инструмента на изследователя на Google Project Zero Джеймс Форшоу DotNetToJScript да разработи своя комплект.
„Техниката Sharpshooter позволява на атакуващия да използва скрипт, за да изпълни .NET двоичен файл директно от памет, без изобщо да е необходимо да се намира на диска“, обяснява Андреа Лели от Windows Defender Research екип.
„Тази техника осигурява рамка, която може да позволи на нападателите лесно да преопаковат същия двоичен полезен товар в рамките на скрипт.“
ВИЖ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet) | Изтеглете доклада като PDF (TechRepublic)
По-специално, Sharpshooter също съдържа модули за победа над AMSI, интерфейс на Microsoft за продукти против злонамерен софтуер, включително Windows Defender, за проверка на обфусцирани скриптове – като като JavaScript и VBScript -- от типа, който беше използван за доставяне на безфайлов зловреден софтуер, който Microsoft твърди, че е уловен. Нападателите биха могли да доставят този злонамерен софтуер, като подмамят целта да изпълни скриптовете.
Но Лели казва, че когато Sharpshooter беше публикуван, Microsoft изпревари атаките, които може да използват рамката и „внедри алгоритъм за откриване въз основа на активност по време на изпълнение, а не на статичен скрипт", специално за откриване на заплахи, произтичащи от Снайпер.
„Алгоритъмът за откриване използва поддръжката на AMSI в скриптовите машини и е насочен към общо злонамерено поведение, пръстов отпечатък на злонамерената безфайлова техника“, пише Лели.
„Скриптовите машини имат способността да регистрират API, извикани от скрипт по време на изпълнение. Това регистриране на API е динамично и следователно не е възпрепятствано от обфускация: скриптът може да скрие кода си, но не може да скрие поведението си. След това регистрационният файл може да бъде сканиран от антивирусни решения чрез AMSI, когато се извикват определени опасни API (т.е. тригери).“
В този случай Windows Defender ATP се комбинира с AMSI и успя да открие две кампании за злонамерен софтуер през юни, който използва VBScript, базиран на Sharpshooter, за да достави "много скрит" .NET изпълним файл полезен товар.
Полезният товар изтегля ключа за дешифриране, за да отключи основния зловреден софтуер, който се изпълнява в паметта и не се записва на диск.
Microsoft вярва, че тази атака, използваща истински злонамерен софтуер, е била внедрена като част от упражнение за тестване на проникване, за разлика от действителна насочена атака.
Microsoft казва, че неговият Windows Defender ATP е открил две кампании на Sharpshooter през юни.
Предишно и свързано покритие
Сигурност на Windows 10: Microsoft коригира критичен пропуск в Windows Defender
Самото сканиране на специално създаден файл може да доведе до напълно компрометирана Windows машина.
Microsoft: Ето защо Windows Defender AV не е класиран по-високо в новите антивирусни тестове
Windows Defender следва антивирусна програма на трети страни в тестове, но Microsoft казва, че все пак трябва да я използвате пред други продукти.
Windows 10: Microsoft ще повиши сигурността на приложенията на Linux със защитната стена на Windows Defender
Microsoft подготвя нови функции за сигурност на Windows 10, за да гарантира целостта на системата по време на стартиране и след като работи.
Злонамерен софтуер на Windows: Как да спрете вашите файлове да бъдат погрешно маркирани като злонамерени от Windows Defender ATP
Microsoft описва някои от начините, по които Windows Defender ATP анализира файлове и софтуер.
Актуализациите с грешки на Windows 10 ви принуждават да избирате между сигурност и стабилност, казва потребителска група TechRepublic
Сисадмините не са доволни от качеството на актуализациите на Windows 10.
Windows ще избави компютъра ви от измамни почистващи средства CNET
Windows Defender скоро ще изтрие програми, които ви подвеждат да платите за услуга с тревожни съобщения за изправността на вашия компютър.