Detección de inyecciones maliciosas de procesos cruzados con Windows Defender ATP

Windows Defender ATP es un servicio de seguridad que permite al personal de operaciones de seguridad (SecOps) detectar, investigar y responder a amenazas avanzadas y actividades hostiles. La semana pasada, el equipo de investigación de Windows Defender ATP publicó una entrada en el blog que muestra cómo Windows Defender ATP ayuda al personal de SecOps a descubrir y abordar los ataques.

En el blog, Microsoft dice que mostraría sus inversiones realizadas para mejorar la instrumentación y la detección de técnicas en memoria en una serie de tres partes. La serie cubriría-

  1. Mejoras en la detección para la inyección de código de procesos cruzados
  2. Escalada y manipulación del núcleo
  3. Explotación en memoria

En el primer post, se centraron principalmente en la inyección de procesos cruzados . Han ilustrado cómo las mejoras que estarán disponibles en Creators Update for Windows Defender ATP detectarían un amplio conjunto de actividades de ataque. Esto incluiría todo, desde el malware básico que ha intentado esconderse de la vista de todos hasta los grupos de actividad sofisticados que participan en ataques dirigidos.

Detección de inyecciones maliciosas de procesos cruzados con Windows Defender ATP 1

Cómo la inyección de procesos cruzados ayuda a los atacantes

Los atacantes todavía se las arreglan para desarrollar o comprar exploits de día cero. Están poniendo más énfasis en evadir la detección para proteger sus inversiones. Para ello, dependen principalmente de los ataques en memoria y de la escalada de privilegios del núcleo. Esto les permite evitar tocar el disco y seguir siendo extremadamente sigilosos.

Con Cross-process los atacantes de inyección obtienen más visibilidad de los procesos normales. La inyección de procesos cruzados oculta el código malicioso dentro de los procesos benignos y esto los hace sigilosos.

Según el post, La inyección de procesos cruzados es un proceso doble:

  1. Un código malicioso se coloca en una página ejecutable nueva o existente dentro de un proceso remoto.
  2. El código malicioso inyectado se ejecuta mediante el control de la rosca y el contexto de ejecución

Cómo Windows Defender ATP detecta la inyección de procesos cruzados

La entrada del blog dice que Creators Update for Windows Defender ATP está bien equipado para detectar una amplia gama de inyecciones maliciosas. Ha instrumentado llamadas de función y construido modelos estadísticos para abordarlas. El equipo de investigación de Windows Defender ATP probó las mejoras frente a casos reales para determinar cómo las mejoras expondrían eficazmente las actividades hostiles que impulsan la inyección de procesos cruzados. Los casos del mundo real citados en el post son el malware de Commodity para la minería de criptocurrency, Fynloski RAT y Targeted attack by GOLD.

La inyección de procesos cruzados, al igual que otras técnicas en memoria, también puede eludir el antimalware y otras soluciones de seguridad que se centran en la inspección de archivos en disco. Con Windows 10 Creators Update, Windows Defender ATP tendrá la capacidad de proporcionar al personal de SecOps capacidades adicionales para descubrir actividades maliciosas aprovechando la inyección entre procesos.

Windows Defender ATP también proporciona calendarios detallados de eventos, así como otra información contextual, que puede ser útil para el personal de SecOps. Pueden utilizar fácilmente esta información para comprender rápidamente la naturaleza de los ataques y tomar medidas de respuesta inmediata. Está integrado en el núcleo de Windows 10 Enterprise. Más información sobre las nuevas capacidades de Windows Defender ATP en TechNet .

Contenido Relacionado

Deja un comentario