Защитник Windows от Microsoft задерживает шпионаж

Защитник Windows от Microsoft задерживает шпионаж

Microsoft объявила, что ее защита от угроз Windows Defender (ATP) достаточно хороша для обнаружения вредоносного ПО, созданного FinFisher. FinFisher, также известный как FinSpy, является законным программным обеспечением, созданным немецкой компанией FinFisher GmbH. Он продается только правительствам и используется различными правоохранительными органами для распространения вредоносного ПО, нацеленного на различные цели. Как и следовало ожидать, он гораздо более ориентирован, настроен и лучше написан, чем ваше типичное вредоносное ПО.

Microsoft пишет, что FinFisher использует множество полезных инструкций, код спагетти (код, не имеющий структуры), несколько виртуальных машин, многоуровневые уровни анти-отладочных и защитных мер и множество других трюков. Это код, преднамеренно разработанный, чтобы вы не могли понять, что он работает, и MS использовала его углубленное исследование FinFisher для разработки решений в Windows 10 ATP. Предоставленная запись представляет собой отличное исследование поведения вредоносного ПО от первой встречи до установки. Программное обеспечение также предназначено для обнаружения, когда оно выполняется в песочнице или виртуальной машине для анализа. Microsoft пишет:

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.
Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ...

[T] он загружает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в памяти. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Остается увидеть, сможет ли FinFisher работать над работой, которую Microsoft сделала здесь. Вся проблема - пример того, как безопасность на ПК и IoT навсегда играет на черных шляпах. Для защиты недостатков безопасности или добавления критических возможностей обнаружения к современному программному обеспечению могут потребоваться недели или месяцы безопасности. Затем это движение команды Black снова, за исключением того, что нет прямого уведомления, когда они «закончат» ход. Мы еще не знаем, является ли решение Microsoft достаточно гибким, чтобы поймать эволюционные итерации, которые могут ускользнуть от его dragnet.

И, конечно же, этот уровень защиты доступен только для бизнеса и предприятий - ATP не запекается в обычные продукты Windows. Даже не ясно, как новый или обновленный FinFisher, сообщает о вредоносном ПО еще в 2015 году. Если продукт все еще быстро обновляется, может оказаться полезным текущая диссекция. Если нет, это может быть более академическим интересом, чем передовое руководство по современной практике.

Если бы вы сказали мне 10 лет назад, что приходят в 2018 году, Microsoft открыто обсудит, как его антивирусное программное обеспечение было достаточно хорошим, чтобы поймать вредоносное ПО, развернутое правоохранительными органами, я бы подумал, что вы шутите. Таковы времена, в которые мы живем.

Читать далее

Microsoft объявляет о новых инструментах конфиденциальности данных для Windows 10
Microsoft объявляет о новых инструментах конфиденциальности данных для Windows 10

Вскоре вы сможете увидеть диагностические данные, собираемые Microsoft из Windows, и то, что она делает с ним.

Экстренное обновление Windows удаляет патч для исправления ошибок в Intel
Экстренное обновление Windows удаляет патч для исправления ошибок в Intel

Корпорация Майкрософт выпустила редкий патч вне цикла для систем Windows, который удаляет патч Intel Spectre. Это должно быть неловко для Intel.

Microsoft планировала убить Windows 10 S в предстоящей версии Split
Microsoft планировала убить Windows 10 S в предстоящей версии Split

Microsoft могла бы взглянуть на обновление своих версий Windows, что позволило бы исключить 10 S как свою собственную ОС, отбросив ее на другую в других версиях.

NYPD отключился от Windows Phone, переключился на Apple
NYPD отключился от Windows Phone, переключился на Apple

NYPD переходит от Windows Phone к iOS, ссылаясь на превосходные характеристики безопасности, скорости и устройства Apple.