विंडोज 10 निर्माता अद्यतन सुरक्षा संवर्धन में विंडोज डिफेंडर उन्नत धमकी संरक्षण में सुधार शामिल हैं। माइक्रोसॉफ्ट का कहना है कि ये एन्हांसमेंट उपयोगकर्ताओं को कोवर और ड्रैडेक्स ट्रोजन जैसे खतरों से सुरक्षित रखेंगे। स्पष्ट रूप से, विंडोज डिफेंडर एटीपी इन खतरों से जुड़े कोड इंजेक्शन तकनीकों का पता लगा सकता है, जैसे कि प्रक्रिया खोखले तथा एटम बमबारी । कई अन्य खतरों से पहले से ही उपयोग किया जाता है, ये विधियां मैलवेयर को कंप्यूटर को संक्रमित करने और चुपके रहने के दौरान विभिन्न घृणास्पद गतिविधियों में संलग्न होने की अनुमति देती हैं।
प्रक्रिया खोखले
एक वैध प्रक्रिया के एक नए उदाहरण को उत्पन्न करने की प्रक्रिया और "इसे खोखला" प्रक्रिया प्रक्रिया खोखले के रूप में जाना जाता है। यह मूल रूप से एक कोड इंजेक्शन तकनीक है जिसमें वैध कोड को मैलवेयर के साथ प्रतिस्थापित किया जाता है। अन्य इंजेक्शन तकनीकें वैध प्रक्रिया में एक दुर्भावनापूर्ण सुविधा जोड़ती हैं, जो प्रक्रिया में परिणाम खो देती है जो वैध दिखाई देती है लेकिन मुख्य रूप से दुर्भावनापूर्ण होती है।
कोवर द्वारा उपयोग की जाने वाली प्रक्रिया खोखले
माइक्रोसॉफ्ट ने सबसे बड़े मुद्दों में से एक के रूप में खोखले प्रक्रिया को संबोधित किया है, इसका उपयोग कोवर और कई अन्य मैलवेयर परिवारों द्वारा किया जाता है। इस तकनीक का उपयोग मैलवेयर परिवारों द्वारा फ़ाइल-कम हमलों में किया गया है, जहां मैलवेयर डिस्क और स्टोर्स पर नगण्य पैरों के निशान छोड़ देता है और केवल कंप्यूटर की स्मृति से कोड निष्पादित करता है।
कोवटर, क्लिक-धोखाधड़ी ट्रोजन का एक परिवार जिसे हाल ही में लॉकी जैसे रंसोमवेयर परिवारों के साथ जोड़ने के लिए देखा गया है। पिछले साल, नवंबर कोवटर में, नए मैलवेयर रूपों में भारी वृद्धि के लिए उत्तरदायी पाया गया था।
कोवटर मुख्य रूप से फ़िशिंग ईमेल के माध्यम से वितरित किया जाता है, यह रजिस्ट्री कुंजी के माध्यम से इसके अधिकांश दुर्भावनापूर्ण घटकों को छुपाता है। फिर कोडर कोड निष्पादित करने और इंजेक्शन करने के लिए मूल अनुप्रयोगों का उपयोग करता है। यह स्टार्टअप फ़ोल्डर में शॉर्टकट (.lnk फ़ाइलें) जोड़कर या रजिस्ट्री में नई कुंजी जोड़कर दृढ़ता प्राप्त करता है।
मैलवेयर द्वारा वैध रजिस्ट्री mshta.exe द्वारा खोला गया घटक फ़ाइल रखने के लिए दो रजिस्ट्री प्रविष्टियां जोड़े जाती हैं। घटक किसी तीसरे रजिस्ट्री कुंजी से एक obfuscated पेलोड निकालता है। एक PowerShell स्क्रिप्ट का उपयोग एक अतिरिक्त स्क्रिप्ट निष्पादित करने के लिए किया जाता है जो लक्ष्य प्रक्रिया में शेलकोड इंजेक्ट करता है। कोवटर इस शेलकोड के माध्यम से वैध प्रक्रियाओं में दुर्भावनापूर्ण कोड को इंजेक्ट करने के लिए प्रक्रिया खोखले का उपयोग करता है।
एटम बमबारी
एटम बमबारी एक और कोड इंजेक्शन तकनीक है जिसे माइक्रोसॉफ्ट ब्लॉक करने का दावा करता है। यह तकनीक परमाणु तालिकाओं के अंदर दुर्भावनापूर्ण कोड संग्रहीत मैलवेयर पर निर्भर करती है। इन तालिकाओं को मेमोरी टेबल साझा किया जाता है जहां सभी एप्लिकेशन स्ट्रिंग्स, ऑब्जेक्ट्स और अन्य प्रकार के डेटा पर जानकारी संग्रहीत करते हैं जिन्हें दैनिक पहुंच की आवश्यकता होती है। एटम बमबारी कोड को पुनर्प्राप्त करने और लक्ष्य प्रक्रिया की स्मृति में डालने के लिए एसिंक्रोनस प्रक्रिया कॉल (एपीसी) का उपयोग करता है।
Dridex परमाणु बमबारी के एक प्रारंभिक गोद लेनेवाला
ड्रैडेक्स एक बैंकिंग ट्रोजन है जिसे पहली बार 2014 में देखा गया था और परमाणु बमबारी के सबसे पुराने गोद लेने वालों में से एक रहा है।
ड्रैडेक्स ज्यादातर स्पैम ईमेल के माध्यम से वितरित किया जाता है, इसे मुख्य रूप से बैंकिंग प्रमाण-पत्र और संवेदनशील जानकारी चोरी करने के लिए डिज़ाइन किया गया था। यह सुरक्षा उत्पादों को भी अक्षम करता है और हमलावरों को पीड़ित कंप्यूटरों तक दूरस्थ पहुंच प्रदान करता है। कोड इंजेक्शन तकनीकों से जुड़े सामान्य एपीआई कॉल से बचने के माध्यम से खतरा अव्यवस्थित और बाधा बना रहता है।
जब पीड़ित के कंप्यूटर पर ड्रैडेक्स को निष्पादित किया जाता है, तो यह एक लक्ष्य प्रक्रिया की तलाश करता है और यह सुनिश्चित करता है कि user32.dll इस प्रक्रिया से लोड हो। ऐसा इसलिए है क्योंकि आवश्यक परमाणु तालिका कार्यों तक पहुंचने के लिए इसे डीएलएल की आवश्यकता है। इसके बाद, मैलवेयर वैश्विक परमाणु तालिका में अपना शेलकोड लिखता है, इसके बाद यह ग्लोबल गेटएटॉमनाम के लिए एनटीक्यूयूएपीसीटीड कॉल को लक्ष्य प्रक्रिया थ्रेड की एपीसी कतार में जोड़ता है ताकि दुर्भावनापूर्ण कोड को स्मृति में कॉपी किया जा सके।
विंडोज डिफेंडर एटीपी रिसर्च टीम जॉन लंदन, कहते हैं,
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
अंततः माइक्रोसॉफ्ट को कोड इंजेक्शन मुद्दों को संबोधित करने में देखा जाता है, अंततः कंपनी को इन डेवलपमेंट को विंडोज डिफेंडर के मुफ्त संस्करण में जोड़ने की उम्मीद है।