Les améliorations de la sécurité de mise à jour de Windows 10 Créateurs comprennent des améliorations de la protection contre les menaces Windows Defender Advanced. Ces améliorations permettraient de protéger les utilisateurs des menaces telles que les chevaux de Troie Kovter et Dridex, ajoute Microsoft. Windows Defender ATP peut détecter les techniques d'injection de code associées à ces menaces, telles que: Processus creux et Bombardement d'atomes. Déjà utilisées par de nombreuses autres menaces, ces méthodes permettent aux logiciels malveillants d'infecter les ordinateurs et de se livrer à diverses activités ignobles tout en restant furtifs.
Processus creux
Le processus de création d'une nouvelle instance d'un processus légitime et de son «retrait» est connu sous le nom de Process Hollowing. Il s’agit essentiellement d’une technique d’injection de code dans laquelle le code Legitimate est remplacé par celui du malware. D'autres techniques d'injection ajoutent simplement une fonction malveillante au processus légitime, ce qui aboutit à un processus qui semble légitime mais qui est principalement malveillant.
Processus de noyage utilisé par Kovter
Les processus Microsoft étant l’un des problèmes les plus graves, il est utilisé par Kovter et diverses autres familles de programmes malveillants. Cette technique a été utilisée par des familles de logiciels malveillants dans des attaques sans fichier, dans lesquelles le logiciel malveillant laisse des empreintes négligeables sur le disque et stocke et exécute le code uniquement à partir de la mémoire de l'ordinateur.
Kovter, une famille de chevaux de Troie fraudeurs au clic qui, très récemment, s’est associée à des familles de ransomwares comme Locky. L'année dernière, en novembre, Kovter a été reconnu responsable d'une forte hausse du nombre de variantes de programmes malveillants.
Kovter est livré principalement par courrier électronique phishing, il cache la plupart de ses composants malveillants via des clés de registre. Kovter utilise ensuite des applications natives pour exécuter le code et effectuer l'injection. Il permet la persistance en ajoutant des raccourcis (fichiers.lnk) au dossier de démarrage ou en ajoutant de nouvelles clés au registre.
Le malware a ajouté deux entrées de registre pour que son fichier de composant soit ouvert par le programme légitime mshta.exe. Le composant extrait une charge utile obscurcie à partir d'une troisième clé de registre. Un script PowerShell est utilisé pour exécuter un script supplémentaire qui injecte un shellcode dans un processus cible. Kovter utilise ce processus pour injecter du code malveillant dans des processus légitimes via ce shellcode.
Bombardement d'atomes
Atom Bombing est une autre technique d'injection de code que Microsoft prétend bloquer. Cette technique repose sur un logiciel malveillant qui stocke du code malveillant dans des tables atomiques. Ces tables sont des tables de mémoire partagée dans lesquelles toutes les applications stockent les informations sur les chaînes, les objets et d'autres types de données nécessitant un accès quotidien. Atom Bombing utilise des appels de procédure asynchrone (APC) pour extraire le code et l'insérer dans la mémoire du processus cible.
Dridex, un des premiers à adopter le bombardement atomique
Dridex est un cheval de Troie bancaire qui a été repéré pour la première fois en 2014 et qui a été l’un des premiers à adopter le bombardement atomique.
Dridex est principalement distribué par courrier électronique indésirable. Il était principalement conçu pour voler des informations d'identification bancaires et des informations confidentielles. Il désactive également les produits de sécurité et fournit aux attaquants un accès à distance aux ordinateurs victimes. La menace reste clandestine et obstinée en évitant les appels API courants associés aux techniques d’injection de code.
Lorsque Dridex est exécuté sur l’ordinateur de la victime, il recherche un processus cible et s’assure que user32.dll est chargé par ce processus. En effet, la DLL est nécessaire pour accéder aux fonctions de la table des atomes requises. Ensuite, le logiciel malveillant écrit son shellcode dans la table atomique globale, puis ajoute les appels NtQueueApcThread pour GlobalGetAtomNameW à la file d'attente APC du processus cible afin de le forcer à copier le code malveillant en mémoire.
John Lundgren, l'équipe de recherche Windows Defender ATP, déclare:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft est enfin vu en train de résoudre les problèmes d'injection de code, et espère voir la société ajouter ces développements à la version gratuite de Windows Defender.
