Защитник Windows от Microsoft задерживает шпионаж

Защитник Windows от Microsoft задерживает шпионаж

Microsoft объявила, что ее защита от угроз Windows Defender (ATP) достаточно хороша для обнаружения вредоносного ПО, созданного FinFisher. FinFisher, также известный как FinSpy, является законным программным обеспечением, созданным немецкой компанией FinFisher GmbH. Он продается только правительствам и используется различными правоохранительными органами для распространения вредоносного ПО, нацеленного на различные цели. Как и следовало ожидать, он гораздо более ориентирован, настроен и лучше написан, чем ваше типичное вредоносное ПО.

Microsoft пишет, что FinFisher использует множество полезных инструкций, код спагетти (код, не имеющий структуры), несколько виртуальных машин, многоуровневые уровни анти-отладочных и защитных мер и множество других трюков. Это код, преднамеренно разработанный, чтобы вы не могли понять, что он работает, и MS использовала его углубленное исследование FinFisher для разработки решений в Windows 10 ATP. Предоставленная запись представляет собой отличное исследование поведения вредоносного ПО от первой встречи до установки. Программное обеспечение также предназначено для обнаружения, когда оно выполняется в песочнице или виртуальной машине для анализа. Microsoft пишет:

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.
Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ...

[T] он загружает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в памяти. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Остается увидеть, сможет ли FinFisher работать над работой, которую Microsoft сделала здесь. Вся проблема - пример того, как безопасность на ПК и IoT навсегда играет на черных шляпах. Для защиты недостатков безопасности или добавления критических возможностей обнаружения к современному программному обеспечению могут потребоваться недели или месяцы безопасности. Затем это движение команды Black снова, за исключением того, что нет прямого уведомления, когда они «закончат» ход. Мы еще не знаем, является ли решение Microsoft достаточно гибким, чтобы поймать эволюционные итерации, которые могут ускользнуть от его dragnet.

И, конечно же, этот уровень защиты доступен только для бизнеса и предприятий - ATP не запекается в обычные продукты Windows. Даже не ясно, как новый или обновленный FinFisher, сообщает о вредоносном ПО еще в 2015 году. Если продукт все еще быстро обновляется, может оказаться полезным текущая диссекция. Если нет, это может быть более академическим интересом, чем передовое руководство по современной практике.

Если бы вы сказали мне 10 лет назад, что приходят в 2018 году, Microsoft открыто обсудит, как его антивирусное программное обеспечение было достаточно хорошим, чтобы поймать вредоносное ПО, развернутое правоохранительными органами, я бы подумал, что вы шутите. Таковы времена, в которые мы живем.