حماية عملية التفجير & Atom Bombing في Windows Defender ATp

التحسينات الأمنية تحديث Windows 10 Creators تتضمن التحسينات في الحماية المتقدمة من التهديدات في Windows Defender. هذه التحسينات سوف تحمي المستخدمين من التهديدات مثل Kovter و Dridex Trojans ، حسب مايكروسوفت. بشكل صريح ، يمكن لـ Windows Defender ATP اكتشاف تقنيات حقن التعليمات البرمجية المرتبطة بهذه التهديدات ، مثل عملية التجويف و تفجير Atom . تستخدم هذه الطرق بالفعل من قبل العديد من التهديدات الأخرى ، والتي تسمح للبرامج الخبيثة بإصابة أجهزة الكمبيوتر والانخراط في مختلف الأنشطة الدنيئة في حين تبقى خفية.

عملية التجويف

عملية إنتاج مثيل جديد من عملية شرعية و "تفريغها" يُعرف باسم عملية التجريف. هذا هو في الأساس تقنية حقن الكود التي يتم فيها استبدال الشفرة القانونية بالبرامج الضارة. تقنيات الحقن الأخرى ببساطة تضيف ميزة خبيثة إلى العملية الشرعية ، وتؤدي إلى نتائج مفرغة في عملية تبدو مشروعة ولكنها خبيثة في المقام الأول.

عملية التجويف المستخدمة من قبل Kovter

معالجة Microsoft لمعالجة التفريغ كواحدة من أكبر المشكلات ، تستخدمها Kovter ومختلف العائلات الضارة الأخرى. تم استخدام هذه التقنية من قِبل عائلات البرامج الضارة في هجمات أقل في الملفات ، حيث تترك البرامج الضارة آثارًا لا تذكر على القرص والمحلات وتنفّذ الكود فقط من ذاكرة الكمبيوتر.

Kovter ، وهي مجموعة من أحصنة طروادة لجرد النقر التي تم تنفيذها مؤخرًا لوحظ لربط مع الأسر رانسومواري مثل لوك. في العام الماضي ، في نوفمبر / تشرين الثاني ، وجد Kovter مسؤولاً عن الارتفاع الكبير في المتغيرات الجديدة للبرامج الضارة.

يتم تسليم Kovter بشكل رئيسي من خلال رسائل البريد الإلكتروني الاحتيالية ، فإنه يخفي معظم مكوناته الضارة عبر مفاتيح التسجيل. ثم يستخدم Kovter التطبيقات الأصلية لتنفيذ الشفرة وأداء الحقن. ويحقق المثابرة عن طريق إضافة اختصارات (ملفات.lnk) إلى مجلد بدء التشغيل أو إضافة مفاتيح جديدة إلى السجل.

تتم إضافة إدخالي التسجيل بواسطة البرنامج الضار ليتم فتح ملف مكونه بواسطة mshta.exe البرنامج الشرعي. يستخرج المكون حمولة مشفرة من مفتاح تسجيل ثالث. يتم استخدام البرنامج النصي PowerShell لتنفيذ برنامج نصي إضافي الذي يقوم بإدخال shellcode في عملية هدف. يستخدم Kovter عملية التفريغ لإدخال الشفرات الضارة في العمليات الشرعية من خلال هذا shellcode.

Atom Bombing

Atom Bombing هي تقنية أخرى للحقن الشفري تدعي Microsoft أنها تمنعها. تعتمد هذه التقنية على البرامج الضارة التي تُخزن الشفرات الضارة داخل الجداول الذرية. هذه الجداول هي جداول الذاكرة المشتركة حيث يقوم كل التطبيقات بتخزين المعلومات على السلاسل والكائنات وأنواع البيانات الأخرى التي تتطلب الوصول اليومي. يستخدم Atom Bombing استدعاءات الإجراءات غير المتزامنة (APC) لاسترداد التعليمة البرمجية وإدراجه في ذاكرة العملية المستهدفة.

Dridex هو من أوائل المتابعين لقصف الذرة

Dridex هو حصان طروادة مصرفي تم رصده لأول مرة في عام 2014 و وقد كان واحدا من أبكر متبني للقصف الذري.

يتم توزيع دريديكس في الغالب عبر رسائل البريد الإلكتروني غير المرغوبة ، وقد تم تصميمه في المقام الأول لسرقة أوراق الاعتماد المصرفية والمعلومات الحساسة. كما يعطل المنتجات الأمنية ويوفر للمهاجمين إمكانية الوصول عن بعد إلى أجهزة الكمبيوتر الضحية. ويبقى التهديد سريًا ويتعايش من خلال تجنب مكالمات API المشتركة المرتبطة بتقنيات حقن الكود.

عند تنفيذ دريديكس على كمبيوتر الضحية ، فإنه يبحث عن عملية مستهدفة ويضمن تحميل user32.dll من خلال هذه العملية. هذا لأنه يحتاج DLL للوصول إلى وظائف الجدول المطلوب الجدول. بعد ذلك ، تقوم البرامج الضارة بكتابة shellcode الخاص بها إلى جدول atom العالمي ، كما أنها تضيف مكالمات NtQueueApcThread لـ GlobalGetAtomNameW إلى قائمة انتظار APC لملف مؤشر الترابط المستهدف لإجبارها على نسخ الشفرة الضارة في الذاكرة.

يقول جون لوندغرين ، فريق أبحاث Windows Defender ATP ،

إن Kovter و Dridex هما مثالان على عائلات خبيثة بارزة تطورت لتفادي الكشف باستخدام تقنيات حقن الكود. حتمًا ، سيتم استخدام عملية التفريغ والقذف الذري وغير ذلك من التقنيات المتقدمة من قِبل عائلات البرامج الضارة الموجودة والجديدة ، "يضيف" يوفر Windows Defender ATP أيضًا جداول زمنية مفصلة للأحداث ومعلومات سياقية أخرى يمكن أن يستخدمها فرق SecOps لفهم الهجمات والاستجابة بسرعة. تمكّن الوظائف المحسّنة في Windows Defender ATP من عزل الجهاز الضحية وحماية باقي الشبكة. "

ترى Microsoft أخيراً مشكلة معالجة مشاكل التعليمات البرمجية ، نأمل أن ترى الشركة في نهاية المطاف إضافة هذه التطورات إلى الإصدار المجاني من Windows المدافع.