Our Miss Brooks: Boynton's Barbecue / Boynton's Parents / Rare Black Orchid
Sadržaj:
Windows 10 Creators Ažuriranje sigurnosnih poboljšanja uključuju poboljšanja u programu Windows Defender Advanced Threat Protection. Ta poboljšanja bi korisnicima zaštitila od prijetnji poput Kovtera i Dridex Trojans, kaže Microsoft. Eksplicitno, Windows Defender ATP može otkriti tehnike injektiranja koda povezane s tim prijetnjama, kao što su Procesna šupljina i Atom Bombacija . Već koriste brojne druge prijetnje, te metode omogućuju malware zaraziti računala i sudjelovati u raznim odvratnim aktivnostima, a ostali stealth.
Procesna šupljina
Proces mriještenja novu instancu legitimnog procesa i "istjerivanje" poznat je kao proces hvatanja. Ovo je u osnovi tehnika kodiranja koda u kojoj je pravni kôd zamijenjen zlonamjernim softverom. Ostale tehnike ubrizgavanja jednostavno dodaju zlonamjernu osobinu legitimnom postupku, čime se utječe na proces koji se čini legitimnim, ali prvenstveno je zlonamjeran.
Procesna šupljina koju koristi Kovter
Microsoft obrađuje proces hollowinga kao jedno od najvećih problema, to je koje koristi Kovter i razne druge zlonamjerne obitelji. Ova je tehnika koristila zlonamjerne obitelji u datotekama bez napada, gdje zlonamjerni program ostavlja zanemarive tragove na disku i pohranjuje i izvršava kod samo iz memorije računala.
Kovter, obitelj trojanskih klikovnih prijevara koji su nedavno bili promatrati se povezati s obitelji otkupnine poput Lockyja. Prošle godine, u studenom Kovter, pronađeno je odgovorno za masivnu šiljku u novim vararnim varijantama.
Kovter se isporučuje uglavnom putem e-pošte za krađu identiteta, skriva većinu zlonamjernih komponenti pomoću ključeva registra. Zatim Kovter koristi izvorne aplikacije za izvršavanje koda i izvršenje injekcije. Postiže postojanost dodavanjem prečaca (.lnk datoteka) u mapu za pokretanje ili dodavanjem novih ključeva u registar.
Malware je dodao dva registarska unosa kako bi otvorio njezinu komponentnu datoteku legitimnim programom mshta.exe. Komponenta ekstrahira zamagljen nosivost od trećeg ključa registra. Skriptu PowerShell koristi se za izvršavanje dodatne skripte koja injektira shellcode u ciljni proces.
Atom Bombacija
Atom Bombacija je još jedna tehnika za kodiranje koje Microsoft tvrdi da blokira. Ova se tehnika oslanja na zlonamjerni softver koji pohranjuje zlonamjerni kôd unutar atomske tablice. Te tablice dijele zajedničke memorijske tablice gdje svi programi pohranjuju informacije o žicama, objektima i drugim vrstama podataka koji zahtijevaju dnevni pristup.
Dridex je rani primalac atomskog bombaškog napada
Dridex je bankarski špijun koji je prvi put uočen u 2014. godini i je bio jedan od prvih usvojitelja atomskog bombardiranja.
Dridex se uglavnom distribuira putem neželjene e-pošte, prvenstveno je dizajniran da ukrade bankovne vjerodajnice i osjetljive informacije. On također onemogućuje sigurnosne proizvode i pruža napadačima daljinski pristup žrtvama računala. Prijetnja ostaje nepotrebna i tvrdoglav, izbjegavajući zajedničke API pozive povezane s tehnikama ubrizgavanja šifri.
Kada se Dridex izvede na žrtvinom računalu, traži ciljani proces i osigurava da se korisnik prati ovaj proces. To je zbog toga što DLL mora imati pristup potrebnim funkcijama tablice atoma. Slijedeći, zlonamjerni program piše svoj shellcode na globalni atomsku tablicu, nadalje dodaje NtQueueApcThread pozive za GlobalGetAtomNameW na red čekanja APC-a ciljnog procesa da bi je prisilio da kopira zlonamjerni kôd u memoriju.
John Lundgren, Windows Defender ATP istraživački tim, kaže: "Kovter i Dridex su primjeri istaknutih malware obitelji koje su se razvile kako bi izbjegle otkrivanje pomoću tehnika ubrizgavanja kodova. Postojeće i nove obitelji zlonamjernog softvera neizbježno će koristiti proces bacanja, atomskog bombardiranja i drugih naprednih tehnika ", dodao je. Windows Defender ATP također nudi detaljne vremenske okvire događaja i druge kontekstualne informacije koje SecOpsovi timovi mogu koristiti za razumijevanje napada i brzo reagiranje. Poboljšana funkcionalnost u sustavu Windows Defender ATP omogućuje im izoliranje stroja za žrtve i zaštitu ostatka mreže. "
Microsoft je konačno shvaćen u rješavanju problema s injektiranjem koda, nadajući se da će tvrtka napokon vidjeti da se ti razvoji dodaju besplatnoj verziji sustava Windows branitelj.
Zaštita igara: Zaštita zaporkom za igre u sustavu Windows
Pročitajte pregled i preuzmite Game Protector besplatno i lozinkom zaštitite svoje igre u Windowsima 10/8/7. Game Protector prikriva i štiti igre lozinkom.
Zaštita zaštite sustava Windows Defender na najvišu razinu u sustavu Windows 10
Konfigurirajte ove postavke pravila grupe ili promijenite vrijednosti registra kako biste dodatno povećali Windows Defender zaštita na najvišu razinu u sustavu Windows 10.
Zaštita, zaštita i zaštita lozinkom USB pogon s USB Safeguardom
USB Safeguard encypts podataka na vašem Removable Drive pogonu čini ga zaštićeno pisanjem.