CS50 Live, Episode 006
Table des matières:
Windows 10 Creators Les améliorations de sécurité mises à jour incluent des améliorations de la protection contre les menaces avancées de Windows Defender. Ces améliorations protégeront les utilisateurs des menaces telles que Kovter et Dridex Trojans, selon Microsoft. Explicitement, Windows Defender ATP peut détecter les techniques d`injection de code associées à ces menaces, telles que Process Hollowing et Atom Bombing . Déjà utilisées par de nombreuses autres menaces, ces méthodes permettent aux logiciels malveillants d`infecter les ordinateurs et de se livrer à diverses activités méprisables tout en restant furtifs.
Process Hollowing
Processus de création d`une nouvelle instance d`un processus légitime et "évidement" est connu comme Process Hollowing. Il s`agit essentiellement d`une technique d`injection de code dans laquelle le code légitime est remplacé par celui du logiciel malveillant. d`autres techniques d`injection ajoutent simplement une fonctionnalité malveillante au processus légitime, évidant les résultats dans un processus qui semble légitime mais qui est principalement malveillant.
Process Hollowing utilisé par Kovter
Microsoft considère l`évidement de processus comme l`un des plus gros problèmes. utilisé par Kovter et diverses autres familles de logiciels malveillants. Cette technique a été utilisée par les familles de logiciels malveillants dans les attaques sans fichier, où le malware laisse des empreintes négligeables sur le disque et stocke et exécute le code uniquement depuis la mémoire de l`ordinateur.
Kovter, une famille de chevaux de Troie observé à associer avec des familles ransomware comme Locky. l`année dernière, en novembre, Kovter a été reconnu responsable d`un pic massif de nouvelles variantes de logiciels malveillants.
Kovter est livré principalement par le biais d`e-mails de phishing, il cache la plupart de ses composants malveillants via des clés de registre. Ensuite, Kovter utilise des applications natives pour exécuter le code et effectuer l`injection. Il obtient la persistance en ajoutant des raccourcis (fichiers.lnk) au dossier de démarrage ou en ajoutant de nouvelles clés au registre.
Deux entrées de registre sont ajoutées par le logiciel malveillant pour que son fichier de composant soit ouvert par le programme légitime mshta.exe. Le composant extrait une charge utile obfusquée d`une troisième clé de registre. Un script PowerShell est utilisé pour exécuter un script supplémentaire qui injecte le shellcode dans un processus cible. Kovter utilise le creusement de processus pour injecter du code malveillant dans des processus légitimes grâce à ce shellcode
Atom Bombing
Atom Bombing est une autre technique d`injection de code que Microsoft prétend bloquer. Cette technique repose sur un logiciel malveillant stockant du code malveillant dans des tables atomiques. Ces tables sont des tables de mémoire partagée dans lesquelles toutes les applications stockent les informations sur les chaînes, les objets et d`autres types de données nécessitant un accès quotidien. Atom Bombing utilise des appels de procédure asynchrones (APC) pour récupérer le code et l`insérer dans la mémoire du processus cible.
Dridex, un des premiers utilisateurs du bombardement atomique
Dridex est un cheval de Troie bancaire découvert en 2014
Dridex est principalement distribué via des spams, il a été principalement conçu pour voler des informations bancaires et des informations sensibles. Il désactive également les produits de sécurité et fournit aux attaquants un accès à distance aux ordinateurs des victimes. La menace reste subreptice et obstinée en évitant les appels d`API communs associés aux techniques d`injection de code
Lorsque Dridex est exécuté sur l`ordinateur de la victime, il recherche un processus cible et s`assure que user32.dll est chargé par ce processus. c`est parce qu`il a besoin de la DLL pour accéder aux fonctions requises de la table atom. Par la suite, le malware écrit son shellcode dans la table atom globale, puis ajoute les appels NtQueueApcThread pour GlobalGetAtomNameW à la file d`attente APC du thread de processus cible pour le forcer à copier le code malveillant en mémoire.
John Lundgren, l`équipe de recherche Windows Defender ATP, dit,
"Kovter et Dridex sont des exemples de familles de logiciels malveillants qui ont évolué pour échapper à la détection en utilisant des techniques d`injection de code. Il ajoute que «Windows Defender ATP fournit également des chronologies d`événements détaillées et d`autres informations contextuelles que les équipes SecOps peuvent utiliser pour comprendre les attaques et y répondre rapidement. La fonctionnalité améliorée de Windows Defender ATP leur permet d`isoler la machine victime et de protéger le reste du réseau. "
Microsoft voit enfin des problèmes d`injection de code, espérant éventuellement voir l`entreprise ajouter ces développements à la version gratuite de Windows Défenseur.
Le PDG de RealNetworks, Rob Glaser, quitte le gouvernement fédéral tribunal à San Francisco mardi après avoir témoigné. Son entreprise est poursuivie par des sociétés cinématographiques qui prétendent que son logiciel RealDVD pourrait être utilisé pour contourner la protection contre la copie de DVD.Le PDG de RealNetworks Rob Glaser a pris position mardi dans la bataille juridique de son entreprise contre l'industrie cinématographique.
Le PDG de Real a fait valoir que RealDVD n'était "absolument pas" conçu pour faciliter la copie de masse généralisée des DVD. "Nous étions tous deux en train de concevoir notre produit et de commercialiser notre produit pour un usage légitime", a-t-il déclaré. "S'ils ne voulaient pas être des utilisateurs légitimes, il y avait tellement d'autres alternatives qu'ils pouvaient utiliser et notre produit serait un produit de qualité inférieure."
Selon les recommandations énoncées dans un rapport publié vendredi par la Federal Trade Commission (FTC) des États-Unis, les consommateurs comprendraient mieux comment leurs données sont recueillies et utilisées par les principaux acteurs de l'univers mobile. Le rapport de la FTC, basé sur une série d'ateliers sur la protection des renseignements personnels tenus l'année dernière par la commission, recommande les «meilleures pratiques» pour les fournisseurs de plateformes mobiles, les développeu
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]
Get a-squared Anti-Malware 4.5. a-squared Anti-Malware 4.5 offre une protection complète contre les chevaux de Troie, les virus, les espiogiciels, les adwares, les vers, les bots, les enregistreurs de frappe, les rootkits et les dialers Anti-Malware 4.5
