ATP do Windows Defender é um serviço de segurança que permite ao pessoal de operações de segurança (SecOps) detectar, investigar e responder a ameaças avançadas e atividades hostis. Na semana passada, uma postagem de blog foi lançada pela equipe de pesquisa ATP do Windows Defender, que mostra como o Windows Defender ATP ajuda o pessoal da SecOps a descobrir e lidar com os ataques.
No blog, a Microsoft diz que iria mostrar seus investimentos feitos para melhorar a instrumentação e detecção de técnicas em memória em uma série de três partes. A série cobriria
- Melhorias na detecção de injeção de código entre processos
- Escalonamento e adulteração do kernel
- Exploração na memória
No primeiro post, seu foco principal estava em injeção de processo cruzado. Eles ilustraram como os aprimoramentos que estarão disponíveis na Atualização dos criadores para o ATP do Windows Defender detectariam um amplo conjunto de atividades de ataque. Isso incluiria tudo, desde malwares que tentaram se esconder da vista dos grupos de atividades sofisticadas que se envolvem em ataques direcionados.
Como a injeção entre processos ajuda os atacantes
Atacantes ainda estão conseguindo desenvolver ou comprar explorações de dia zero. Eles estão colocando mais ênfase em evitar a detecção para proteger seus investimentos. Para fazer isso, eles dependem principalmente de ataques na memória e escalonamento de privilégios do kernel. Isso permite que eles evitem tocar no disco e permaneçam extremamente furtivos.
Com os invasores de injeção de processo cruzado, você obtém mais visibilidade dos processos normais. A injeção de processo cruzado oculta códigos maliciosos dentro de processos benignos e isso os torna furtivos.
De acordo com o post, Injeção de processo cruzado é um processo duplo:
- Um código malicioso é colocado em uma página executável nova ou existente em um processo remoto.
- O código malicioso injetado é executado através do controle do contexto de execução e segmento
Como o Windows Defender ATP detecta injeção de processo cruzado
A postagem no blog diz que a Atualização dos criadores para o ATP do Windows Defender está bem equipada para detectar uma ampla gama de injeções mal-intencionadas. Tem chamadas de função instrumentadas e construiu modelos estatísticos para endereçar os mesmos. A equipe de pesquisa do ATP do Windows Defender testou os aprimoramentos em casos do mundo real para determinar como os aprimoramentos expõem efetivamente as atividades hostis que acionam a injeção entre processos. Os casos do mundo real citados no post são malware Commodity para mineração de criptomoedas, Fynloski RAT e ataque direcionado por GOLD.
A injeção de processo cruzado, como outras técnicas na memória, também pode evitar o antimalware e outras soluções de segurança que se concentram em inspecionar arquivos no disco. Com o Windows 10 Creators Update, o Windows Defender ATP será desenvolvido para fornecer ao pessoal da SecOps recursos adicionais para descobrir atividades maliciosas, aproveitando a injeção entre processos.
Cronogramas de eventos detalhados, bem como outras informações contextuais, também são fornecidos pelo Windows Defender ATP, que podem ser úteis para o pessoal da SecOps. Eles podem facilmente usar essas informações para entender rapidamente a natureza dos ataques e tomar ações de resposta imediata. Está integrado no núcleo do Windows 10 Enterprise. Leia mais sobre os novos recursos do ATP do Windows Defender on TechNet.
