विंडोज डिफेंडर एटीपी एक सुरक्षा सेवा है जो सुरक्षा संचालन (सेकॉप्स) कर्मियों को उन्नत खतरों और शत्रुतापूर्ण गतिविधि का पता लगाने, जांच करने और प्रतिक्रिया देने में सक्षम बनाती है। पिछले हफ्ते विंडोज डिफेंडर एटीपी रिसर्च टीम द्वारा एक ब्लॉग पोस्ट जारी किया गया था जो दिखाता है कि विंडोज डिफेंडर एटीपी कैसे सेकॉप्स कर्मियों को हमलों को उजागर करने और संबोधित करने में मदद करता है।
ब्लॉग में, माइक्रोसॉफ्ट का कहना है कि यह तीन-भाग श्रृंखला में इन-मेमोरी तकनीकों के उपकरण और पहचान को बढ़ाने के लिए किए गए अपने निवेश का प्रदर्शन करेगा। श्रृंखला में शामिल होगा-
- क्रॉस-प्रोसेस कोड इंजेक्शन के लिए डिटेक्शन सुधार
- कर्नेल वृद्धि और छेड़छाड़
- स्मृति में शोषण
पहली पोस्ट में, उनका मुख्य ध्यान चालू था पार प्रक्रिया इंजेक्शन । उन्होंने दिखाया है कि विंडोज डिफेंडर एटीपी के लिए क्रिएटर अपडेट में जो वृद्धि होगी, वह हमले की गतिविधियों का एक विस्तृत सेट पता लगाएगी। इसमें कमोडिटी मैलवेयर से शुरू होने वाली हर चीज शामिल होगी, जिसने लक्षित दृश्यों में संलग्न परिष्कृत गतिविधि समूहों को सादे दृश्य से छिपाने का प्रयास किया है।
क्रॉस-प्रोसेस इंजेक्शन कैसे हमलावरों की मदद करता है
हमलावर अभी भी शून्य-दिन के शोषण को विकसित या खरीदने के लिए प्रबंधन कर रहे हैं। वे अपने निवेश की रक्षा के लिए पहचान को दूर करने पर अधिक जोर दे रहे हैं। ऐसा करने के लिए, वे ज्यादातर मेमोरी हमलों और कर्नेल विशेषाधिकार वृद्धि पर भरोसा करते हैं। यह उन्हें डिस्क को छूने से बचने और बेहद चुस्त रहने के लिए अनुमति देता है।
क्रॉस-प्रोसेस इंजेक्शन हमलावरों के साथ सामान्य प्रक्रियाओं में अधिक दृश्यता प्राप्त होती है। क्रॉस-प्रोसेस इंजेक्शन सौम्य प्रक्रियाओं के अंदर दुर्भावनापूर्ण कोड छुपाता है और इससे उन्हें चुपचाप बन जाता है।
पद के मुताबिक, क्रॉस-प्रोसेस इंजेक्शन दो गुना प्रक्रिया है:
- रिमोट प्रक्रिया के भीतर एक दुर्भावनापूर्ण कोड को नए या मौजूदा निष्पादन योग्य पृष्ठ में रखा गया है।
- इंजेक्शन दुर्भावनापूर्ण कोड थ्रेड और निष्पादन संदर्भ के नियंत्रण के माध्यम से निष्पादित किया जाता है
विंडोज डिफेंडर एटीपी कैसे क्रॉस-प्रोसेस इंजेक्शन का पता लगाता है
ब्लॉग पोस्ट का कहना है कि विंडोज डिफेंडर एटीपी के लिए क्रिएटर अपडेट दुर्भावनापूर्ण इंजेक्शन की विस्तृत श्रृंखला का पता लगाने के लिए सुसज्जित है। इसने उपकरण फंक्शन कॉल किया है और इसे संबोधित करने के लिए सांख्यिकीय मॉडल बनाए हैं। विंडोज डिफेंडर एटीपी रिसर्च टीम ने यह निर्धारित करने के लिए वास्तविक दुनिया के मामलों के खिलाफ संवर्द्धन का परीक्षण किया कि कैसे वृद्धिएं पारस्परिक गतिविधियों को प्रभावी ढंग से उजागर करती हैं जो क्रॉस-प्रोसेस इंजेक्शन को पावर करती हैं। पोस्ट में उद्धृत असली दुनिया के मामलों में क्रिप्टोकुरेंसी खनन, फिनलोस्की आरएटी और गोल्ड द्वारा लक्षित हमले के लिए कमोडिटी मैलवेयर हैं।
अन्य इन-मेमोरी तकनीकों की तरह क्रॉस-प्रोसेस इंजेक्शन, एंटीमाइवेयर और अन्य सुरक्षा समाधानों से भी बच सकता है जो डिस्क पर फ़ाइलों का निरीक्षण करने पर ध्यान केंद्रित करते हैं। विंडोज 10 क्रिएटर अपडेट के साथ, विंडोज डिफेंडर एटीपी को क्रॉस-प्रोसेस इंजेक्शन का लाभ उठाने वाली दुर्भावनापूर्ण गतिविधियों को खोजने के लिए अतिरिक्त क्षमताओं वाले सेकॉप्स कर्मियों को प्रदान करने के लिए संचालित किया जाएगा।
विस्तृत घटना समयरेखा, साथ ही अन्य प्रासंगिक जानकारी, विंडोज डिफेंडर एटीपी द्वारा भी प्रदान की जाती है जो SecOps कर्मियों के लिए उपयोगी हो सकती है। वे आसानी से हमलों की प्रकृति को समझने और तुरंत प्रतिक्रिया कार्यों को लेने के लिए इस जानकारी का उपयोग कर सकते हैं। यह विंडोज 10 एंटरप्राइज़ के मूल में बनाया गया है। विंडोज डिफेंडर एटीपी की नई क्षमताओं के बारे में और पढ़ें TechNet.
