Защитник Windows от Microsoft задерживает шпионаж
Microsoft объявила, что ее защита от угроз Windows Defender (ATP) достаточно хороша для обнаружения вредоносного ПО, созданного FinFisher. FinFisher, также известный как FinSpy, является законным программным обеспечением, созданным немецкой компанией FinFisher GmbH. Он продается только правительствам и используется различными правоохранительными органами для распространения вредоносного ПО, нацеленного на различные цели. Как и следовало ожидать, он гораздо более ориентирован, настроен и лучше написан, чем ваше типичное вредоносное ПО.
Microsoft пишет, что FinFisher использует множество полезных инструкций, код спагетти (код, не имеющий структуры), несколько виртуальных машин, многоуровневые уровни анти-отладочных и защитных мер и множество других трюков. Это код, преднамеренно разработанный, чтобы вы не могли понять, что он работает, и MS использовала его углубленное исследование FinFisher для разработки решений в Windows 10 ATP. Предоставленная запись представляет собой отличное исследование поведения вредоносного ПО от первой встречи до установки. Программное обеспечение также предназначено для обнаружения, когда оно выполняется в песочнице или виртуальной машине для анализа. Microsoft пишет:
Сначала загрузчик динамически перестраивает простую таблицу адресов импорта (IAT), разрешая весь API, необходимый из библиотек Kernel32 и NtDll. Затем он продолжает выполнение в порожденном новом потоке, который проверяет наличие дополнительных нежелательных модулей внутри своего собственного виртуального адресного пространства (например, модули, внедренные определенными решениями безопасности). Он в конечном итоге убивает все потоки, принадлежащие этим нежелательным модулям ...
[T] он загружает полный IAT, читая четыре импортированные библиотеки с диска (ntdll.dll, kernel32.dll, advapi32.dll и version.dll) и переназначая их в памяти. Этот метод использует отладки и точки останова программного обеспечения бесполезными. На этом этапе загрузчик может также вызывать определенный API с помощью собственных системных вызовов, что является еще одним способом обхода точек останова на API и решениях безопасности с помощью перехватчиков.
Остается увидеть, сможет ли FinFisher работать над работой, которую Microsoft сделала здесь. Вся проблема - пример того, как безопасность на ПК и IoT навсегда играет на черных шляпах. Для защиты недостатков безопасности или добавления критических возможностей обнаружения к современному программному обеспечению могут потребоваться недели или месяцы безопасности. Затем это движение команды Black снова, за исключением того, что нет прямого уведомления, когда они «закончат» ход. Мы еще не знаем, является ли решение Microsoft достаточно гибким, чтобы поймать эволюционные итерации, которые могут ускользнуть от его dragnet.
И, конечно же, этот уровень защиты доступен только для бизнеса и предприятий - ATP не запекается в обычные продукты Windows. Даже не ясно, как новый или обновленный FinFisher, сообщает о вредоносном ПО еще в 2015 году. Если продукт все еще быстро обновляется, может оказаться полезным текущая диссекция. Если нет, это может быть более академическим интересом, чем передовое руководство по современной практике.
Если бы вы сказали мне 10 лет назад, что приходят в 2018 году, Microsoft открыто обсудит, как его антивирусное программное обеспечение было достаточно хорошим, чтобы поймать вредоносное ПО, развернутое правоохранительными органами, я бы подумал, что вы шутите. Таковы времена, в которые мы живем.
Читать далее
Запуск Xbox Series X - крупнейший в истории Microsoft продукт, вызвавший всплеск трафика интернет-провайдеров
Microsoft утверждает, что Xbox Series X - это самый успешный дебют в истории, и особо призывает Xbox Series S привлечь новых игроков.
Microsoft: Bethesda Games "Either First или Better" для Xbox, не эксклюзивно
Тим Стюарт из Microsoft не думает, что компания попытается исключить игроков PS5 из будущих игр Bethesda. Компания хочет, чтобы Xbox был лучшим местом для ее игр, но не единственным.
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.
Apple: «Это дело Microsoft», чтобы запустить Windows на новых компьютерах Mac ARM
По заявлению Apple, вопрос о поддержке Windows на M1 полностью решается Microsoft.