Windows Defender ATPでのプロセス中断とAtom爆発の保護MicrosoftはWindows 10で2つの形式のコード注入技術

Process Hollowing や Atom Bombing など、これらの脅威に関連するコードの挿入手法を検出できます。 プロセス中断

正当なプロセスの新たなインスタンスを生成し、それを「中空化する」プロセスは、コンピュータを感染させ、さまざまな卑劣な活動に巻き込ませることを可能にします。 Process Hollowingとして知られています。これは基本的に正当なコードがマルウェアのコードに置き換えられたコードインジェクション技術です。他の注入技術は、正当なプロセスに悪意のある機能を追加するだけであり、合法であるが主に悪意のあるプロセスに結びついてしまう。

Kovterが使用するプロセス中止

マイクロソフトはプロセスの空洞化を最大の課題の1つとして扱う。 Kovterやその他のマルウェアファミリーが使用しています。このテクニックは、マルウェアがファイルやディスクの攻撃を受けなくても、ディスクやストア上のフットプリントを無視して、コンピュータのメモリからのみコードを実行するマルウェアファミリーによって使用されています。

Kovterは最近ごく最近のクリック詐欺トロイの木馬ですLockyのようなransomwareファミリーと関連付けることが観察された。昨年の11月のKovterは、新しいマルウェアの亜種で大規模なスパイクが発生したことが判明しました。

Kovterは主にフィッシング詐欺メールで配信され、レジストリキーで大部分の悪意のあるコンポーネントを隠します。その後、Kovterはネイティブアプリケーションを使用してコードを実行し、注入を実行します。これは、スタートアップフォルダにショートカット（.lnkファイル）を追加するか、レジストリに新しいキーを追加することで永続化します。

mshta.exeによってコンポーネントファイルが開かれるようにマルウェアによって2つのレジストリエントリが追加されます。コンポーネントは、第3のレジストリキーから難読化されたペイロードを抽出します。 PowerShellスクリプトは、シェルコードをターゲットプロセスに挿入する追加のスクリプトを実行するために使用されます。 Kovterは、このシェルコードを使用して、不正なコードを正当なプロセスに注入するためにプロセスの空洞化を使用します。

Atom Bombing

Atom Bombingは、Microsoftがブロックしようとしている別のコード注入技術です。この手法は、アトムテーブル内に悪質なコードを格納しているマルウェアに依存しています。これらのテーブルは、すべてのアプリケーションが文字列、オブジェクト、および毎日のアクセスを必要とする他のタイプのデータに関する情報を格納する共有メモリテーブルです。 Atom Bombingは非同期プロシージャコール（APC）を使用してコードを取得し、それをターゲットプロセスのメモリに挿入します。

原子爆弾の早期採用者のディライテックス

Dridexは2014年に最初に発見された銀行トロージャンであり、

Dridexは主にスパム電子メールで配布されていますが、主に銀行の資格情報や機密情報を盗むように設計されています。また、セキュリティ製品を無効にし、攻撃者に犠牲PCへのリモートアクセスを提供します。

Dridexが被害者のコンピュータで実行されると、ターゲットプロセスが検索され、user32.dllがこのプロセスによってロードされることが保証されます。これは、必要なアトムテーブル関数にアクセスするためにDLLが必要なためです。その後、マルウェアはそのシェルコードをグローバルアトムテーブルに書き込み、さらにGlobalGetAtomNameWのNtQueueApcThreadコールをターゲットプロセススレッドのAPCキューに追加し、悪意のあるコードをメモリにコピーするように強制します。

Windows DefenderのATPリサーチチームJohn Lundgrenは、「KovterとDridexは、コードインジェクション技術を使用して検出を回避するために進化した著名なマルウェアファミリの例です。 Windows DefenderのATPは、SecOpsチームが攻撃を理解して迅速に対応するために使用できる詳細なイベントタイムラインやその他のコンテキスト情報も提供している」と付け加えた。 Windows Defender ATPの改良された機能により、被害者のマシンを隔離し、ネットワークの他の部分を保護することが可能になります。」マイクロソフトでは、コードインジェクションの問題に対処しています。ディフェンダー。