网站首页
系统分类
最新win8系统
最新win7系统
推荐系统下载
设为首页 | 加入收藏
系统搜索:




Windows10:微软称,这就是我们如何回击无文件恶意软件
  • 收藏书签:
  • 作者:佚名
  • 时间:2018-09-30

 Windows10:微软称,这就是我们如何回击无文件恶意软件

微软一直致力于解决渗透测试工具中使用的一些聪明的新技术,以绕过Windows Defender高级威胁防护(ATP),后者是用于保护企业中Windows10的关键安全平台。
 
微软报告称,它已检测到两个无文件恶意软件实例,这些恶意软件用于提供在内存中运行的信息窃取程序,而不会将可执行文件写入磁盘。
 
由于免费提供的工具可用于改善防御或发动攻击,因此无文件恶意软件正在增加。
 
微软发现的恶意软件依赖于渗透测试工具包Sharpshooter的技术,该技术可生成多种Windows格式的有效负载,并可避免企业反恶意软件产品的检测。
 
Sharpshooter今年早些时候由英国笔测试公司MDSec发布,该公司采用Google Project Zero研究员James Forshaw的工具DotNetToJScript开发其套件的技术。
 
“神枪手技术允许攻击者使用脚本直接从内存中执行.NET二进制文件,而无需驻留在磁盘上,”Windows Defender研究团队的Andrea Lelli解释道。
 
“这种技术提供了一个框架,可以使攻击者轻松地在脚本中重新打包相同的二进制负载。”
 
值得注意的是,Sharpshooter还包含打败AMSI的模块,微软用于反恶意软件产品的界面,包括Windows Defender,用于检查用于提供微软称之为无文件恶意软件的混淆脚本(如JavaScript和VBScript)。抓住。攻击者可以通过欺骗目标来运行脚本来传播此恶意软件。
 
但Lelli表示,当Sharpshooter发布时,微软领先于可能使用该框架的攻击,并“实施了基于运行时活动而非静态脚本的检测算法”,专门用于检测Sharpshooter派生的威胁。
 
“检测算法利用脚本引擎中的AMSI支持,并针对一般的恶意行为,即恶意无文件技术的指纹,”Lelli写道。
 
“脚本引擎能够在运行时记录脚本调用的API。这种API记录是动态的,因此不会受到模糊处理的阻碍:脚本可以隐藏其代码,但不能隐藏其行为。然后可以扫描日志当调用某些危险的API(即触发器)时,通过AMSI的防病毒解决方案。“
 
在这种情况下,Windows Defender ATP与AMSI相结合,并且能够在6月检测到两个恶意软件活动,这些活动使用基于Sharpshooter的VBScript来提供“非常隐秘”的.NET可执行有效负载。
 
有效负载下载解密密钥以解锁在内存中执行但未写入磁盘的核心恶意软件。
 
微软认为,使用真实恶意软件的攻击是作为渗透测试练习的一部分而不是实际的针对性攻击。

《Windows10:微软称,这就是我们如何回击无文件恶意软件 》相关系统软件