Windows Defender Disableantispyware Missing in Registry Enable/Disable/Create New
차례:
- 프로세스 중단
- Atom Bombing은 Microsoft가 차단한다고 주장하는 또 다른 코드 삽입 기술입니다. 이 기술은 악성 코드를 원자 테이블에 저장하는 맬웨어에 의존합니다. 이 테이블은 모든 응용 프로그램이 일별 액세스가 필요한 문자열, 객체 및 기타 유형의 데이터에 대한 정보를 저장하는 공유 메모리 테이블입니다. Atom Bombing은 비동기 프로 시저 호출 (APC)을 사용하여 코드를 검색하고이를 대상 프로세스의 메모리에 삽입합니다.
Windows 10 Creators 업데이트 보안 강화 기능에는 Windows Defender 고급 위협 요소 (Threat Protection) 개선 기능이 포함됩니다. 이러한 향상은 Kovter 및 Dridex 트로이 목마와 같은 위협으로부터 사용자를 보호합니다. Windows Defender ATP는 명시 적으로 Process Hollowing 및 Atom Bombing 과 같은 이러한 위협과 관련된 코드 삽입 기술을 검색 할 수 있습니다. 이미 수많은 다른 위협에 의해 사용되고있는이 방법은 악성 코드가 컴퓨터를 감염시키고 은밀한 상태로 유지하면서 다양한 비열한 활동에 참여할 수있게합니다.
프로세스 중단
합법적 프로세스의 새로운 인스턴스를 생성하고 "속이 빈" Process Hollowing으로 알려져 있습니다. 이것은 기본적으로 정당한 코드가 악성 코드의 코드로 대체되는 코드 삽입 기술입니다. 다른 주입 기술은 합법적 인 프로세스에 악의적 인 기능을 추가하기 만하면 합법적으로 보이지만 주로 악의적 인 프로세스로 귀결됩니다.
Kovter에서 사용되는 프로세스 중공
Microsoft는 프로세스 중공업을 가장 큰 문제 중 하나로 다루고 있습니다. Kovter 및 기타 다양한 맬웨어 변종 군이 사용합니다. 이 기술은 악성 프로그램이 파일이없는 공격에 사용되어 왔으며, 악성 코드가 디스크 및 저장소의 발자국을 무시하고 컴퓨터 메모리에서만 코드를 실행합니다.
Kovter는 매우 최근에 발생한 클릭 사기성 트로이 목마입니다. Locky와 같은 ransomware 패밀리와 연관되어있는 것으로 관찰되었습니다. 작년 11 월 Kovter는 새로운 맬웨어 변종에 대한 대규모 스파이크에 대한 책임을 발견했습니다. Kovter는 주로 피싱 전자 메일을 통해 제공되며 대부분 레지스트리 키를 통해 악성 구성 요소의 대부분을 숨 깁니다. 그런 다음 Kovter는 원시 응용 프로그램을 사용하여 코드를 실행하고 주입을 수행합니다. 시작 폴더에 바로 가기 (.lnk 파일)를 추가하거나 레지스트리에 새 키를 추가하여 지속성을 유지합니다.
맬웨어는 합법적 인 프로그램 mshta.exe에서 구성 요소 파일을 열도록 두 개의 레지스트리 항목을 추가합니다. 구성 요소는 세 번째 레지스트리 키에서 난독 화 된 페이로드를 추출합니다. PowerShell 스크립트는 대상 프로세스에 쉘 코드를 주입하는 추가 스크립트를 실행하는 데 사용됩니다. Kovter는이 쉘 코드를 통해 악성 코드를 합법적 인 프로세스에 주입하기 위해 프로세스 중공을 사용합니다.
Atom Bombing
Atom Bombing은 Microsoft가 차단한다고 주장하는 또 다른 코드 삽입 기술입니다. 이 기술은 악성 코드를 원자 테이블에 저장하는 맬웨어에 의존합니다. 이 테이블은 모든 응용 프로그램이 일별 액세스가 필요한 문자열, 객체 및 기타 유형의 데이터에 대한 정보를 저장하는 공유 메모리 테이블입니다. Atom Bombing은 비동기 프로 시저 호출 (APC)을 사용하여 코드를 검색하고이를 대상 프로세스의 메모리에 삽입합니다.
원자 폭탄을 조기에 채택한 사람
Dridex는 2014 년에 처음 발견 된 은행 트로이이며 는 원자 폭탄을 가장 초기에 도입 한 사람 중 하나입니다.
Dridex는 주로 스팸 전자 메일을 통해 배포되며 주로 은행 정보와 중요한 정보를 훔치기 위해 설계되었습니다. 또한 보안 제품을 사용하지 못하게하고 공격자에게 희생 대상 컴퓨터에 대한 원격 액세스를 제공합니다. 이 위협은 코드 삽입 기술과 관련된 일반적인 API 호출을 피함으로써 비밀리에 남아 있습니다.
피해자의 컴퓨터에서 Dridex가 실행될 때 대상 프로세스를 찾아이 프로세스에 의해 user32.dll이로드되는지 확인합니다. 필요한 원자 테이블 함수에 액세스하려면 DLL이 필요하기 때문입니다. 다음으로 맬웨어는 셸 코드를 전역 원자 테이블에 기록하고 대상 프로세스 스레드의 APC 큐에 GlobalGetAtomNameW에 대한 NtQueueApcThread 호출을 추가하여 악의적 인 코드를 메모리로 강제 복사합니다.
Windows Defender ATP 연구 팀의 John Lundgren은 다음과 같이 말합니다. "Kovter와 Dridex는 코드 삽입 기술을 사용하여 탐지를 피하기 위해 진화 한 유명한 멀웨어 군의 사례입니다. 불가피하게도 프로세스 중공업, 원자 폭탄 공격 및 기타 고급 기술은 기존 및 새로운 맬웨어 변종 군인이 사용하게 될 것입니다. "라고 말하면서"Windows Defender ATP는 SecOps 팀이 공격을 이해하고 신속하게 대응할 수있는 자세한 이벤트 일정 및 기타 상황 정보를 제공합니다. Windows Defender ATP의 향상된 기능으로 인해 희생 된 컴퓨터를 격리하고 나머지 네트워크를 보호 할 수 있습니다. "
Microsoft는 마침내 코드 삽입 문제를 해결하는 것으로 보아 결국 Windows의 무료 버전 수비수.
Windows 10 Fall Creators 업데이트의 Windows Defender ATP 새로운 기능 Windows 9 Fallcreators 업데이트의 Windows Defender ATP는 다음과 같은 몇 가지 새로운 기능을 제공합니다. Exploit Guard, Windows 보안 스택에서 유리창의 단일 창 등
의심 할 여지없이 이들은 디지털 영역에서 가장 무서운 시대입니다. WannaCry와 같은 ransomware가 미국 국민 건강 시스템을 기반으로 미국의 건강 시스템을 해커들에게 먹이감을 줄 것이고, 귀중한 개인 데이터의 보안을 손상시키는 조직의 끊임없는 소식에 대해 불안감이 고조되고 있습니다.
Windows 7은 Vista 보안 계통을 기반으로하며 감사, 효율적인 사용자 계정 컨트롤, AppLocker, BitLocker 및 BitLocker와 같은 향상된 보안 기능을 제공합니다. To Go Windows 7은 Windows Vista의 강력한 보안 계통을 기반으로하며 현재까지 Windows Vista를 Windows 클라이언트 중 가장 안전한 버전으로 만든 개발 프로세스 및 기술을 유지 및 구축합니다.
커널 패치 보호, 서비스 강화, 데이터 실행 방지, 주소 공간 레이아웃 무작위 화 및 필수 무결성 수준과 같은 기본적인 보안 기능이 맬웨어 및 공격에 대한 향상된 보호 기능을 지속적으로 제공합니다. * Windows 7은 보안 기초 위에 구축됩니다. Windows 7을 사용하여 감사 및 UAC 환경을 향상시킬 수 있습니다.
프로세스 탐색기를 사용하여 작업 관리자 프로세스 분석
프로세스 탐색기를 사용하여 작업 관리자 프로세스 분석