Windows 10 Creator Memperbarui peningkatan keamanan termasuk peningkatan dalam Windows Defender Advanced Threat Protection. Peningkatan ini akan membuat pengguna terlindung dari ancaman seperti Kovter dan Dridex Trojans, kata Microsoft. Secara eksplisit, Windows Defender ATP dapat mendeteksi teknik injeksi kode yang terkait dengan ancaman ini, seperti Proses Hollowing dan Pengeboman Atom. Sudah digunakan oleh berbagai ancaman lain, metode ini memungkinkan malware menginfeksi komputer dan terlibat dalam berbagai aktivitas tercela sementara tetap diam-diam.
Proses Hollowing
Proses pemijahan contoh baru dari proses yang sah dan "mengosongkan" dikenal sebagai Proses Hollowing. Ini pada dasarnya adalah teknik injeksi kode di mana kode yang Sah digantikan dengan yang ada pada malware. Teknik injeksi lain hanya menambahkan fitur jahat ke proses yang sah, pengosongan hasil dalam proses yang tampaknya sah tetapi terutama berbahaya.
Proses Hollowing digunakan oleh Kovter
Microsoft alamat proses lekukan sebagai salah satu masalah terbesar, itu digunakan oleh Kovter dan berbagai keluarga malware lainnya. Teknik ini telah digunakan oleh keluarga malware dalam serangan tanpa file, di mana malware meninggalkan jejak kaki yang diabaikan di disk dan toko dan mengeksekusi kode hanya dari memori komputer.
Kovter, keluarga Trojan pemalsuan klik yang baru-baru ini diamati berhubungan dengan keluarga ransomware seperti Locky. Tahun lalu, pada bulan November Kovter, ditemukan bertanggung jawab atas lonjakan besar dalam varian malware baru.
Kovter disampaikan terutama melalui email phishing, ia menyembunyikan sebagian besar komponen jahatnya melalui kunci registri. Kemudian Kovter menggunakan aplikasi asli untuk mengeksekusi kode dan melakukan injeksi. Ini mencapai ketekunan dengan menambahkan pintasan (file.lnk) ke folder startup atau menambahkan kunci baru ke registri.
Dua entri registri ditambahkan oleh malware untuk membuka file komponennya oleh program mshta.exe yang sah. Komponen mengekstrak payload yang tidak jelas dari kunci registri ketiga. Skrip PowerShell digunakan untuk mengeksekusi skrip tambahan yang menyuntikkan shellcode ke dalam proses target. Kovter menggunakan proses pengosongan untuk menyuntikkan kode berbahaya ke dalam proses yang sah melalui shellcode ini.
Pengeboman Atom
Atom Bombing adalah teknik injeksi kode lain yang diklaim Microsoft untuk diblokir. Teknik ini bergantung pada malware yang menyimpan kode berbahaya di dalam tabel atom. Tabel-tabel ini adalah tabel memori bersama di mana semua aplikasi menyimpan informasi pada string, objek, dan jenis data lain yang memerlukan akses setiap hari. Atom Bombing menggunakan prosedur panggilan asynchronous (APC) untuk mengambil kode dan memasukkannya ke dalam memori proses target.
Dridex merupakan pengguna awal pengeboman atom
Dridex adalah trojan perbankan yang pertama kali ditemukan pada tahun 2014 dan telah menjadi salah satu pengguna awal pengeboman atom.
Dridex sebagian besar didistribusikan melalui email spam, itu terutama dirancang untuk mencuri kredensial perbankan dan informasi sensitif. Ini juga menonaktifkan produk keamanan dan menyediakan penyerang dengan akses jarak jauh ke komputer korban. Ancaman tetap diam-diam dan keras kepala dengan menghindari panggilan API umum yang terkait dengan teknik injeksi kode.
Ketika Dridex dijalankan di komputer korban, ia mencari proses target dan memastikan user32.dll dimuat oleh proses ini. Ini karena membutuhkan DLL untuk mengakses fungsi tabel atom yang diperlukan. Setelah itu, malware menulis shellcode ke tabel atom global, lebih lanjut ia menambahkan NtQueueApcThread panggilan untuk GlobalGetAtomNameW ke antrian APC dari thread proses target untuk memaksa untuk menyalin kode jahat ke dalam memori.
John Lundgren, Tim Riset ATP Pembela Windows, berkata,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft akhirnya terlihat menangani masalah kode injeksi, berharap untuk akhirnya melihat perusahaan menambahkan perkembangan ini ke versi gratis Windows Defender.