Zero
Microsoft ha lavorato su una risposta ad alcune nuove e intelligenti tecniche utilizzate nel test di penetrazione kit per bypassare Windows Defender Advanced Threat Protection (ATP), la sua chiave di piattaforma di sicurezza per la protezione di Windows 10 in azienda.
Microsoft segnala il rilevamento di due istanze di fileless malware utilizzato per fornire informazioni di ladri di esecuzione in memoria senza un file eseguibile che viene scritto su disco.
Fileless malware è in aumento, grazie agli strumenti disponibili gratuitamente che può essere utilizzato per migliorare le difese, o lanciare un attacco.
Il malware di Microsoft macchiato si basa su tecniche di test di penetrazione kit Cecchino, che genera carichi in più formati Windows e può evitare il rilevamento da enterprise prodotti anti-malware.
Cecchino è stato rilasciato all’inizio di quest’anno da parte del regno UNITO di pen-testing ditta MDSec, che tecniche utilizzate da Google Project Zero ricercatore James Forshaw strumento DotNetToJScript per sviluppare il suo kit.
“Il Cecchino è una tecnica che permette a un utente malintenzionato di utilizzare uno script per eseguire un .NET binario direttamente dalla memoria, senza mai trovarsi sul disco”, spiega Andrea Lelli di Windows Defender team di Ricerca.
“Questa tecnica fornisce un quadro di riferimento che può consentire ad aggressori facilmente rigenerare stesso binario payload all’interno di uno script.”
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
In particolare, tiratore scelto, inoltre, contiene i moduli per sconfiggere AMSI, Microsoft interfaccia per prodotti anti-malware, tra cui Windows Defender, per ispezionare script offuscati — come JavaScript e VBScript — del tipo utilizzato per fornire il fileless malware che Microsoft dice che preso. Attaccanti potrebbero fornire questo malware ingannando bersaglio in esecuzione degli script.
Ma Lelli dice quando Cecchino è stato pubblicato, Microsoft ha davanti di attacchi che possono utilizzare il framework e “implementato un algoritmo di rilevamento basato sul runtime di attività, piuttosto che sulla script statico”, in particolare per rilevare minacce derivate da Cecchino.
“L’algoritmo di rilevamento sfrutta AMSI supporto per lo scripting di motori e obiettivi di un generico comportamento dannoso, un’impronta digitale del maligno fileless tecnica”, scrive Lelli.
“Motori di Script in grado di registrare le Api chiamato da uno script in fase di runtime. Questa API di logging è dinamico e, pertanto, non ostacolato da offuscamento: uno script può nascondere il suo codice, ma non può nascondere il suo comportamento. Il log può essere scansionato da antivirus soluzioni via AMSI quando alcuni pericolosi Api (ie, trigger) vengono richiamati.”
In questo caso, Windows Defender ATP combinato con AMSI ed è stato in grado di rilevare due campagne di malware nel mese di giugno che ha utilizzato un VBScript base Cecchino per fornire un “invisibile” .NET eseguibile payload.
Il payload download della chiave di decrittografia per sbloccare il core malware che viene eseguita in memoria e non è scritto su disco.
Microsoft ritiene che questo utilizzando l’attacco di malware vero e proprio è stato distribuito come parte di un test di penetrazione di esercizio rispetto ad un effettivo attacco mirato.
Microsoft afferma che il suo Windows Defender ATP rilevato due Cecchino campagne nel mese di giugno.
Immagine: Microsoft
Precedente e relativa copertura
Windows 10 sicurezza: Microsoft patch falla critica in Windows Defender
Solo la scansione di un file appositamente predisposto potrebbe portare a una totalmente compromessa macchina Windows.
Microsoft: Ecco perché Windows Defender AV non è posizionato più in alto nel nuovo antivirus test
Windows Defender sentieri antivirus di terze parti in test, ma Microsoft dice che si deve ancora usare rispetto ad altri prodotti.
Windows 10: Microsoft per aumentare Linux sicurezza delle app con Windows Defender firewall
Microsoft prepara il nuovo Windows 10 funzioni di sicurezza per garantire l’integrità del sistema in fase di avvio, e dopo di esso.
Windows malware: Come fermare il vostro file di essere stato erroneamente etichettato come malevolo da Windows Defender ATP
Microsoft dettagli alcuni dei modi Windows Defender ATP analisi di file e software.
Windows 10 buggy aggiornamenti forza di scegliere tra la sicurezza e la stabilità, dice il gruppo di utenti TechRepublic
Gli amministratori di sistema non sono soddisfatti con la qualità di Windows 10 aggiornamenti.
Windows sarà sbarazzarsi del vostro computer ingannevole detergenti CNET
Windows Defender sarà presto eliminare i programmi che ingannare l’utente a pagare per un servizio con messaggi allarmanti circa la salute del vostro computer.
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0