Noll
Microsoft har arbetat på ett svar till några smarta nya tekniker som används i anal-test kit för att kringgå Windows Defender Avancerat Skydd mot Hot (ATP), nyckel säkerhet plattform för att skydda Windows-10 i företaget.
Microsoft rapporterar att det har upptäckts två fall av fileless skadlig kod som används för att leverera information stjäla som körs i minnet utan en körbar fil skrivs till disk.
Fileless skadlig kod är på uppgång, tack vare fritt tillgängliga verktyg som kan användas för att förbättra försvar eller angrepp.
Den Microsoft malware upptäckt bygger på teknik från anal-test kit Sharpshooter, som genererar nyttolaster i flera Windows-format och kan undvika upptäckt av företag anti-malware produkter.
Sharpshooter släpptes tidigare i år av BRITTISKA pen-test fast MDSec, som anställd tekniker från Google Project Zero-forskaren James Forshaw verktyg DotNetToJScript att utveckla sitt kit.
“Sharpshooter teknik gör det möjligt för en angripare att använda ett skript för att köra en .NET binära direkt från minnet utan att någonsin behöva för att bo på disk”, förklarar Andrea Lelli av Windows Defender forskargrupp.
“Den här tekniken ger ett ramverk som kan göra det möjligt för angripare utifrån att enkelt paketera samma binära nyttolast i ett skript.”
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Framför allt, Sharpshooter innehåller även moduler för att besegra AMSI, Microsofts gränssnitt för anti-malware produkter, inklusive Windows Defender, för att inspektera döljs av skript — till exempel JavaScript och VBScript-av den typ som användes för att leverera fileless skadlig programvara som Microsoft säger att det är fångad. Angripare kan leverera denna malware genom att lura ett mål i att köra de de skript.
Men Lelli säger när Sharpshooter publicerades, Microsoft fick inför attacker som kan använda ramverket och har “genomfört en upptäckt algoritm baserad på runtime aktivitet snarare än på den statiska script”, särskilt för att upptäcka hot som härrör av Sharpshooter.
“Upptäckt algoritm som utnyttjar AMSI stöd för skript-motorer och mål en generisk skadligt beteende, ett fingeravtryck av den skadliga fileless teknik”, skriver Lelli.
“- Skript som motorer har möjlighet att logga Api kallas av ett skript vid körning. Detta API loggning är dynamiska och är därför inte hindras av mörkläggning: ett skript kan dölja sin kod, men det kan inte dölja sitt beteende. Loggen kan sedan skannas av ett antivirus-lösningar via AMSI när vissa farliga Api: er (dvs, triggers) åberopas.”
I det här fallet, Windows Defender ATP i kombination med AMSI och kunde identifiera två malware kampanjer i juni som används för en VBScript baserat på Sharpshooter att leverera en “mycket smygande” .NET körbara nyttolast.
Nyttolasten nedladdningar dekrypteringsnyckeln för att låsa upp kärnan skadlig kod som körs i minnet och inte skrivs till disken.
Microsoft anser att denna attack med hjälp av verkliga malware sattes in som en del av en anal-testning övning i motsats till en faktisk riktad attack.
Microsoft meddelar att Windows Defender ATP upptäcktes för två Sharpshooter kampanjer i juni.
Bild: Microsoft
Tidigare och relaterade täckning
Windows 10 säkerhet: Microsoft patchar av kritisk fel i Windows Defender
Bara skanning av en specialskriven-fil kan leda till en helt äventyras Windows-maskin.
Microsoft: Här är varför Windows Defender – inte rankas högre i new antivirus tester
Windows Defender spår tredje part antivirus i tester, men Microsoft säger att du bör ändå använda den om andra produkter.
Windows 10: Microsoft för att öka Linux app säkerhet med Windows Defender brandvägg
Microsoft preps nya Windows 10 säkerhetsfunktioner för att säkerställa systemets integritet under uppstart och efter att den är igång.
Windows malware: Hur att stoppa dina filer är felaktigt märkt som skadliga av Windows Defender ATP
Microsoft detaljer några av de sätt som Windows Defender ATP analyser filer och programvara.
Windows 10 buggy uppdateringar tvinga dig att välja mellan trygghet och stabilitet, säger användargrupp TechRepublic
Systemadministratörer inte är nöjd med kvaliteten på Windows-10 uppdateringar.
Windows kommer att bli din dator av bedrägliga städare CNET
Windows Defender kommer snart ta bort program för att lura dig till att betala för en tjänst med alarmerande budskap om hälsa på din dator.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0