Защитник Windows от Microsoft задерживает шпионаж

Защитник Windows от Microsoft задерживает шпионаж

Microsoft объявила, что ее защита от угроз Windows Defender (ATP) достаточно хороша для обнаружения вредоносного ПО, созданного FinFisher. FinFisher, также известный как FinSpy, является законным программным обеспечением, созданным немецкой компанией FinFisher GmbH. Он продается только правительствам и используется различными правоохранительными органами для распространения вредоносного ПО, нацеленного на различные цели. Как и следовало ожидать, он гораздо более ориентирован, настроен и лучше написан, чем ваше типичное вредоносное ПО.

Microsoft пишет, что FinFisher использует множество полезных инструкций, код спагетти (код, не имеющий структуры), несколько виртуальных машин, многоуровневые уровни анти-отладочных и защитных мер и множество других трюков. Это код, преднамеренно разработанный, чтобы вы не могли понять, что он работает, и MS использовала его углубленное исследование FinFisher для разработки решений в Windows 10 ATP. Предоставленная запись представляет собой отличное исследование поведения вредоносного ПО от первой встречи до установки. Программное обеспечение также предназначено для обнаружения, когда оно выполняется в песочнице или виртуальной машине для анализа. Microsoft пишет:

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.
Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ... [T] he loader создает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в Память. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ...

[T] он загружает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в памяти. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.

Остается увидеть, сможет ли FinFisher работать над работой, которую Microsoft сделала здесь. Вся проблема - пример того, как безопасность на ПК и IoT навсегда играет на черных шляпах. Для защиты недостатков безопасности или добавления критических возможностей обнаружения к современному программному обеспечению могут потребоваться недели или месяцы безопасности. Затем это движение команды Black снова, за исключением того, что нет прямого уведомления, когда они «закончат» ход. Мы еще не знаем, является ли решение Microsoft достаточно гибким, чтобы поймать эволюционные итерации, которые могут ускользнуть от его dragnet.

И, конечно же, этот уровень защиты доступен только для бизнеса и предприятий - ATP не запекается в обычные продукты Windows. Даже не ясно, как новый или обновленный FinFisher, сообщает о вредоносном ПО еще в 2015 году. Если продукт все еще быстро обновляется, может оказаться полезным текущая диссекция. Если нет, это может быть более академическим интересом, чем передовое руководство по современной практике.

Если бы вы сказали мне 10 лет назад, что приходят в 2018 году, Microsoft открыто обсудит, как его антивирусное программное обеспечение было достаточно хорошим, чтобы поймать вредоносное ПО, развернутое правоохранительными органами, я бы подумал, что вы шутите. Таковы времена, в которые мы живем.

Читать далее

Apple: «Это дело Microsoft», чтобы запустить Windows на новых компьютерах Mac ARM
Apple: «Это дело Microsoft», чтобы запустить Windows на новых компьютерах Mac ARM

По заявлению Apple, вопрос о поддержке Windows на M1 полностью решается Microsoft.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Как Windows использует несколько ядер ЦП?
Как Windows использует несколько ядер ЦП?

В наши дни мы воспринимаем многоядерность как должное, но как вообще процессор и операционная система взаимодействуют друг с другом?

Microsoft добавляет 64-битную эмуляцию x86 в Windows на ARM
Microsoft добавляет 64-битную эмуляцию x86 в Windows на ARM

Microsoft объявила сегодня о прибытии ожидаемой поддержки 64-битной эмуляции x86 в Windows на устройствах ARM при условии, что вы используете сборку 21277. Чтобы протестировать сборку, вам необходимо участвовать в программе Microsoft Windows Insider.