Os aprimoramentos de segurança da Atualização do Windows 10 Creators incluem aprimoramentos na Proteção Avançada contra Ameaças do Windows Defender. Esses aprimoramentos manteriam os usuários protegidos contra ameaças como Trojans Kovter e Dridex, diz a Microsoft. Explicitamente, o Windows Defender ATP pode detectar técnicas de injeção de código associadas a essas ameaças, como Processo Hollowing e Atom Bombing. Já utilizado por inúmeras outras ameaças, esses métodos permitem que o malware infecte os computadores e se envolva em várias atividades desprezíveis, mantendo-se sigiloso.
Processo Hollowing
O processo de gerar uma nova instância de um processo legítimo e "esvaziá-lo" é conhecido como processo oco. Esta é basicamente uma técnica de injeção de código na qual o código legítimo é substituído pelo do malware. Outras técnicas de injeção simplesmente adicionam um recurso malicioso ao processo legítimo, esvaziando os resultados em um processo que parece legítimo, mas é principalmente malicioso.
Processo Hollowing usado por Kovter
O processo de endereços da Microsoft está se tornando um dos maiores problemas, sendo usado pela Kovter e por várias outras famílias de malware. Essa técnica tem sido usada por famílias de malware em ataques sem arquivos, em que o malware deixa pegadas desprezíveis no disco e armazena e executa o código apenas a partir da memória do computador.
Kovter, uma família de cavalos de Tróia de fraude de cliques que foi observada recentemente como associada a famílias de ransomware como Locky. No ano passado, em novembro, Kovter foi considerado responsável por um grande aumento nas novas variantes de malware.
O Kovter é entregue principalmente através de e-mails de phishing, ele esconde a maioria dos seus componentes maliciosos através de chaves de registro. Então Kovter usa aplicativos nativos para executar o código e executar a injeção. Ele atinge a persistência adicionando atalhos (arquivos.lnk) à pasta de inicialização ou adicionando novas chaves ao registro.
Duas entradas de registro são adicionadas pelo malware para que seu arquivo de componente seja aberto pelo programa legítimo mshta.exe. O componente extrai uma carga ofuscada de uma terceira chave de registro. Um script do PowerShell é usado para executar um script adicional que injeta o shellcode em um processo de destino. O Kovter usa processos vazios para injetar códigos maliciosos em processos legítimos através deste código shell.
Atom Bombing
Atom Bombing é outra técnica de injeção de código que a Microsoft alega bloquear. Essa técnica depende do malware que armazena códigos maliciosos dentro de tabelas atom. Essas tabelas são tabelas de memória compartilhada em que todos os aplicativos armazenam as informações sobre cadeias de caracteres, objetos e outros tipos de dados que exigem acesso diário. Atom Bombing usa chamadas de procedimento assíncrono (APC) para recuperar o código e inseri-lo na memória do processo de destino.
Dridex um dos primeiros a adotar o bombardeio atômico
O Dridex é um trojan bancário que foi descoberto pela primeira vez em 2014 e foi um dos primeiros a adotar o bombardeamento atômico.
O Dridex é distribuído principalmente por e-mails de spam e foi projetado principalmente para roubar credenciais bancárias e informações confidenciais. Também desativa produtos de segurança e fornece aos invasores acesso remoto aos computadores da vítima. A ameaça permanece sub-reptícia e obstinada, evitando chamadas de API comuns associadas a técnicas de injeção de código.
Quando o Dridex é executado no computador da vítima, ele procura um processo de destino e garante que o user32.dll seja carregado por esse processo. Isso ocorre porque ele precisa da DLL para acessar as funções de tabela de átomos necessárias. A seguir, o malware grava seu shellcode na tabela de átomos globais, além de adicionar chamadas NtQueueApcThread para GlobalGetAtomNameW à fila APC do encadeamento do processo de destino para forçá-lo a copiar o código mal-intencionado na memória.
John Lundgren, a equipe de pesquisa do Windows Defender ATP, diz:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
A Microsoft finalmente está vendo problemas de injeção de código, e espera ver a empresa adicionando esses desenvolvimentos à versão gratuita do Windows Defender.
