Nul
Microsoft har arbejdet på et svar til nogle smarte nye teknikker, der anvendes i anal-test kits til at omgå Windows Defender Avanceret Trussel Beskyttelse (ATP), dens centrale sikkerhed platform for at beskytte Windows-10 i virksomheden.
Microsoft oplyser, at det har fundet to tilfælde af fileless malware, der anvendes til at levere oplysninger stealers, der kører i hukommelsen uden en eksekverbar fil, der er skrevet til disken.
Fileless malware er stigende, takket være frit tilgængelige værktøjer, der kan bruges til at forbedre forsvar, eller starte et angreb.
Den malware Microsoft spottet er baseret på teknikker fra anal-test kit Skarpskytte, som genererer nyttelast i flere Windows-formater og kan undgå detektering af anti-malware-produkter.
Skarpskytte blev udgivet tidligere dette år, som det forenede KONGERIGE pen-test firma MDSec, som er ansat teknikker fra Google Project Zero forsker James Forshaw redskab DotNetToJScript at udvikle sin kit.
“Sharpshooter teknik gør det muligt for en hacker at bruge et script til at udføre en .NET binære direkte fra hukommelsen, uden nogensinde at skulle opholde sig på den disk,” forklarer Andrea Lelli af Windows Defender Forskning team.
“Denne teknik giver en ramme, som kan gøre det muligt for fjernangribere at nemt at ompakke de samme binære nyttelast i et script.”
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Især Skarpskytte indeholder også moduler til at besejre AMSI, Microsofts grænseflade til anti-malware-produkter, herunder Windows Defender, til at inspicere uklar scripts — som JavaScript og VBScript-af den type, der blev brugt til at levere den fileless malware, som Microsoft siger, at det er fanget. Fjernangribere kunne levere denne malware, ved at narre et mål i at køre scripts.
Men Lelli siger, når Skarpskytte blev offentliggjort, at Microsoft fik forud for angreb, der kan bruge ramme og “gennemført en opdagelse algoritme baseret på runtime aktivitet snarere end på den statiske script”, specielt for at opdage trusler, der er afledt af en Skarpskytte.
“Den opdagelse algoritme udnytter AMSI støtte i scripting motorer og mål et generisk skadelig adfærd, et fingeraftryk af den skadelige fileless teknik,” skriver Lelli.
“Script motorer er i stand til at logge Api’ er kaldet af et script på runtime. Denne API skovhugst er dynamiske, og er derfor ikke hindres af formørkelse: et script kan skjule sin kode, men det kan ikke skjule sin adfærd. Log kan derefter blive scannet af antivirus-løsninger via AMSI, når visse farlige Api ‘ er (dvs udløser) er gældende.”
I dette tilfælde er Windows Defender ATP kombineret med AMSI og var i stand til at opdage to malware kampagner i juni, at der anvendes en VBScript, der er baseret på Skarpskytte til at levere en “snigende” .NET eksekverbare nyttelast.
Nyttelasten downloads dekryptering nøglen til at låse den centrale malware, der kører i hukommelsen, og er ikke skrevet til disk.
Microsoft mener, at dette angreb ved hjælp af real malware blev indsat som en del af en anal-test øvelse i modsætning til en egentlig målrettet angreb.
Microsoft siger, at Windows Defender ATP opdaget to Skarpskytte kampagner i juni.
Billede: Microsoft
Tidligere og relaterede dækning
Windows-10 sikkerhed: Microsoft lapper kritiske fejl i Windows Defender
Bare ved at scanne en specielt udformet fil kan føre til en helt kompromitteret Windows-maskine.
Microsoft: Her er hvorfor Windows Defender AV er ikke rangeret højere i nye antivirus-test
Windows Defender stier tredjeparts antivirus i tests, men Microsoft siger, at man skal stadig bruge det i forhold til andre produkter.
Windows-10: Microsoft for at forbedre Linux app sikkerhed med Windows Defender firewall
Microsoft preps nye Windows 10 sikkerhedsfunktioner for at sikre systemets integritet under start-op, og efter at det kører.
Windows malware: Hvordan man kan stoppe dine filer, der fejlagtigt markeret som skadelig af Windows Defender ATP
Microsoft beskriver nogle af de måder, hvorpå Windows Defender ATP analyser filer og software.
Windows 10 buggy opdateringer tvinge dig til at vælge mellem sikkerhed og stabilitet, siger brugergruppe TechRepublic
Systemadministratorer ikke er tilfreds med kvaliteten af Windows 10 opdateringer.
Windows vil slippe din computer af bedrageriske rengøringsmidler CNET
Windows Defender snart vil slette programmer at narre dig til at betale for en service med alarmerende budskaber om sundhed af din computer.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0