Windows Defender ATP adalah layanan keamanan yang memungkinkan petugas operasi keamanan (SecOps) untuk mendeteksi, menyelidiki, dan menanggapi ancaman canggih dan aktivitas yang tidak bersahabat. Minggu lalu sebuah posting blog dirilis oleh Tim Penelitian ATP Windows Defender yang menunjukkan bagaimana Windows Defender ATP membantu petugas SecOps mengungkap dan mengatasi serangan.
Di blog, Microsoft mengatakan akan menampilkan investasi yang dibuat untuk meningkatkan instrumentasi dan deteksi teknik in-memory dalam seri tiga bagian. Serial ini akan menutupi-
- Perbaikan deteksi untuk injeksi kode lintas-proses
- Eskalasi dan gangguan Kernel
- Eksploitasi dalam memori
Di pos pertama, fokus utama mereka adalah pada injeksi lintas-proses. Mereka telah mengilustrasikan bagaimana peningkatan yang akan tersedia dalam Pembaruan Kreator untuk Windows Defender ATP akan mendeteksi serangkaian besar aktivitas serangan. Ini akan mencakup semuanya mulai dari malware komoditas yang telah berusaha untuk bersembunyi dari pandangan biasa ke grup aktivitas canggih yang terlibat dalam serangan yang ditargetkan.
Bagaimana injeksi lintas-proses membantu penyerang
Penyerang masih mengelola untuk mengembangkan atau membeli eksploitasi zero-day. Mereka lebih menekankan pada menghindari deteksi untuk melindungi investasi mereka. Untuk melakukan ini, mereka sangat bergantung pada serangan di memori dan eskalasi hak istimewa kernel. Ini memungkinkan mereka untuk menghindari menyentuh disk dan tetap sangat tersembunyi.
Dengan penyerang injeksi cross-process mendapatkan lebih banyak visibilitas ke dalam proses normal. Injeksi lintas-proses menyembunyikan kode berbahaya di dalam proses jinak dan ini membuatnya sembunyi-sembunyi.
Menurut pos itu, Injeksi lintas-proses adalah proses dua kali lipat:
- Kode berbahaya ditempatkan ke halaman eksekusi yang baru atau yang ada dalam proses jarak jauh.
- Kode berbahaya yang disuntikkan dijalankan melalui kontrol benang dan konteks eksekusi
Cara Windows Defender ATP mendeteksi injeksi lintas-proses
Posting blog mengatakan bahwa Pembaruan Kreator untuk Windows Defender ATP dilengkapi dengan baik untuk mendeteksi berbagai suntikan berbahaya. Ini telah melakukan pemanggilan fungsi instrumen dan membangun model statistik untuk menangani hal yang sama. Tim Riset ATP Peneliti Windows menguji peningkatan terhadap kasus-kasus dunia nyata untuk menentukan bagaimana peningkatan akan secara efektif mengekspos aktivitas-aktivitas yang bermusuhan yang memberdayakan injeksi lintas-proses. Kasus dunia nyata yang dikutip dalam posting adalah malware Komoditas untuk penambangan cryptocurrency, Fynloski RAT, dan serangan Target oleh EMAS.
Injeksi lintas-proses, seperti teknik in-memory lainnya, juga dapat menghindari antimalware dan solusi keamanan lainnya yang fokus pada pemeriksaan file pada disk. Dengan Windows 10 Creators Update, Windows Defender ATP akan didukung untuk menyediakan personel SecOps dengan kemampuan tambahan untuk menemukan aktivitas berbahaya memanfaatkan injeksi lintas-proses.
Jadwal acara terperinci, serta informasi kontekstual lainnya, juga disediakan oleh Windows Defender ATP yang dapat berguna bagi personel SecOps. Mereka dapat dengan mudah menggunakan informasi ini untuk dengan cepat memahami sifat serangan dan mengambil tindakan tanggap darurat. Ini dibangun ke dalam inti Windows 10 Enterprise. Baca selengkapnya tentang kemampuan baru Windows Defender ATP TechNet.
