Windows Defender ATP est un service de sécurité qui permet au personnel des opérations de sécurité (SecOps) de détecter, d’enquêter et de réagir aux menaces avancées et aux activités hostiles. L’équipe de recherche Windows Defender ATP a publié un article sur le blog la semaine dernière, qui montre comment Windows Defender ATP aide le personnel de SecOps à détecter les attaques et à y remédier.
Dans le blog, Microsoft indique qu'il présentera ses investissements dans l'amélioration de l'instrumentation et de la détection des techniques en mémoire dans une série en trois parties. La série couvrirait
- Améliorations de la détection pour l'injection de code entre processus
- Escalade et altération du noyau
- Exploitation en mémoire
Dans le premier post, leur objectif principal était de injection inter-processus. Ils ont montré comment les améliorations qui seront disponibles dans la mise à jour de Creators pour Windows Defender ATP permettraient de détecter un large éventail d'activités d'attaque. Cela inclut tout ce qui va des malwares courants qui ont tenté de se cacher des groupes d’activités sophistiqués qui se livrent à des attaques ciblées.
Comment l'injection croisée aide les assaillants
Les pirates parviennent toujours à développer ou à acheter des exploits du jour zéro. Ils mettent davantage l'accent sur l'évitement de la détection afin de protéger leurs investissements. Pour ce faire, ils s’appuient principalement sur les attaques en mémoire et l’élévation des privilèges du noyau. Cela leur permet d’éviter de toucher le disque et de rester extrêmement furtif.
Avec l'injection multi-processus, les attaquants ont plus de visibilité sur les processus normaux. L'injection entre processus masque des codes malveillants dans des processus bénins, ce qui les rend furtifs.
Selon le post, Injection transversale est un processus en deux temps:
- Un code malveillant est placé dans une page exécutable nouvelle ou existante au sein d'un processus distant.
- Le code malveillant injecté est exécuté via le contrôle du thread et le contexte d'exécution
Comment Windows Defender ATP détecte l'injection entre processus
L'article de blog indique que la mise à jour des créateurs pour Windows Defender ATP est bien équipée pour détecter un large éventail d'injections malveillantes. Il a instrumenté des appels de fonctions et construit des modèles statistiques pour traiter les mêmes. L'équipe de recherche Windows Defender ATP a testé les améliorations sur des cas réels afin de déterminer dans quelle mesure ces améliorations exposeraient efficacement les activités hostiles propulsant l'injection entre processus. Les cas réels cités dans ce message sont les logiciels malveillants Commodity pour l'extraction de crypto-devises, Fynloski RAT et l'attaque ciblée par GOLD.
L'injection entre processus, à l'instar d'autres techniques en mémoire, peut également échapper à l'antimalware et aux autres solutions de sécurité centrées sur l'inspection de fichiers sur disque. Avec la mise à jour de Windows 10 Creators, Windows Defender ATP offrira au personnel de SecOps des fonctionnalités supplémentaires lui permettant de détecter les activités malveillantes exploitant l’injection entre processus.
Windows Defender ATP fournit également des calendriers détaillés des événements, ainsi que d'autres informations contextuelles. Ces informations peuvent être utiles au personnel de SecOps. Ils peuvent facilement utiliser ces informations pour comprendre rapidement la nature des attaques et prendre des mesures immédiates. Il est intégré au cœur de Windows 10 Entreprise. En savoir plus sur les nouvelles fonctionnalités de Windows Defender ATP sur TechNet.