à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
สารบัญ:
- กระบวนการทำกระบวนการวางไข่ของกระบวนการใหม่ที่ถูกต้องตามกฎหมายและ "กลวงออก" เรียกว่า Process Hollowing นี่เป็นเพียงเทคนิคการฉีดรหัสซึ่งรหัสถูกต้องตามกฎหมายจะถูกแทนที่ด้วยมัลแวร์ เทคนิคการฉีดอื่น ๆ เพียงแค่เพิ่มคุณลักษณะที่เป็นอันตรายลงในกระบวนการที่ถูกต้องและส่งผลให้เกิดกระบวนการที่ดูเหมือนถูกต้องตามกฎหมาย แต่ส่วนใหญ่เป็นอันตราย
- Atom Bombing เป็นเทคนิคการฉีดรหัสที่ Microsoft เรียกร้องให้บล็อก เทคนิคนี้อาศัยมัลแวร์ที่เก็บรหัสที่เป็นอันตรายภายในตารางอะตอม ตารางเหล่านี้เป็นตารางหน่วยความจำที่ใช้ร่วมกันซึ่งแอพพลิเคชันทั้งหมดเก็บข้อมูลเกี่ยวกับสตริงวัตถุและข้อมูลประเภทอื่น ๆ ซึ่งจำเป็นต้องมีการเข้าถึงรายวัน Atom Bombing ใช้การเรียกขั้นตอนแบบอะซิงโครนัส (APC) เพื่อเรียกค้นรหัสและแทรกเข้าไปในหน่วยความจำของกระบวนการเป้าหมาย Dridex เป็นผู้ที่ใช้ Early atomer ในการระเบิดของอะตอม
Windows 10 Creators ปรับปรุงการปรับปรุงด้านการรักษาความปลอดภัยรวมถึงการปรับปรุงใน Windows Defender Advanced Threat Protection การปรับปรุงเหล่านี้จะทำให้ผู้ใช้สามารถป้องกันภัยคุกคามเช่น Kovter และ Dridex Trojans ได้กล่าวโดย Microsoft อย่างชัดเจน Windows Defender ATP สามารถตรวจจับเทคนิคการฉีดรหัสที่เกี่ยวข้องกับภัยคุกคามเหล่านี้เช่น Process Hollowing และ Atom Bombภัยคุกคามอื่น ๆ อีกหลายวิธีช่วยให้มัลแวร์สามารถติดเชื้อคอมพิวเตอร์และมีส่วนร่วมในกิจกรรมต่างๆที่น่ารังเกียจในขณะที่ยังคงหลงเหลืออยู่กระบวนการ
กระบวนการทำกระบวนการวางไข่ของกระบวนการใหม่ที่ถูกต้องตามกฎหมายและ "กลวงออก" เรียกว่า Process Hollowing นี่เป็นเพียงเทคนิคการฉีดรหัสซึ่งรหัสถูกต้องตามกฎหมายจะถูกแทนที่ด้วยมัลแวร์ เทคนิคการฉีดอื่น ๆ เพียงแค่เพิ่มคุณลักษณะที่เป็นอันตรายลงในกระบวนการที่ถูกต้องและส่งผลให้เกิดกระบวนการที่ดูเหมือนถูกต้องตามกฎหมาย แต่ส่วนใหญ่เป็นอันตราย
กระบวนการ Hollowing ที่ใช้โดย Kovter
ไมโครซอฟท์แอดเดรสกระบวนการ hollowing เป็นหนึ่งในประเด็นที่ใหญ่ที่สุดก็คือ ใช้โดย Kovter และครอบครัวมัลแวร์อื่น ๆ เทคนิคนี้ถูกใช้โดยครอบครัวมัลแวร์ในการโจมตีโดยไม่ใช้ไฟล์ซึ่งมัลแวร์จะทิ้งรอยเท้าไม่สำคัญไว้ในดิสก์และจัดเก็บและประมวลผลโค้ดจากหน่วยความจำของคอมพิวเตอร์เท่านั้น
Kovter ซึ่งเป็นตระกูลโทรจันที่คลิกการฉ้อโกงที่เพิ่งได้รับเมื่อเร็ว ๆ นี้ สังเกตเห็นการเชื่อมโยงกับครอบครัว ransomware เช่น Locky ปีที่แล้วในเดือนพฤศจิกายน Kovter พบว่ามีความหลากหลายของตัวแปรมัลแวร์ใหม่ ๆ
Kovter ถูกส่งผ่านอีเมลฟิชชิ่งส่วนใหญ่จะซ่อนส่วนประกอบที่เป็นอันตรายที่สุดผ่านทางคีย์รีจิสทรี จากนั้น Kovter จะใช้แอพพลิเคชั่นพื้นเมืองเพื่อรันโค้ดและทำการฉีดยา โดยการเพิ่มทางลัด (.lnk files) ลงในโฟลเดอร์เริ่มต้นหรือเพิ่มคีย์ใหม่ลงในรีจิสทรี
มีการเพิ่มไฟล์รีจิสทรีสองรายการโดยมัลแวร์เพื่อเปิดไฟล์ mshta.exe ที่ถูกต้องตามกฎหมาย คอมโพเนนต์จะดึงข้อมูลน้ำหนักที่ถูกทำให้งงออกมาจากคีย์รีจิสทรีที่สาม สคริปต์ PowerShell ใช้ในการรันสคริปต์เพิ่มเติมที่จะนำเปลือกเข้าไปในกระบวนการเป้าหมาย Kovter ใช้กระบวนการ hollowing เพื่อใส่รหัสที่เป็นอันตรายลงในกระบวนการที่ถูกต้องตามหลักเชลล์นี้
Atom Bombing
Atom Bombing เป็นเทคนิคการฉีดรหัสที่ Microsoft เรียกร้องให้บล็อก เทคนิคนี้อาศัยมัลแวร์ที่เก็บรหัสที่เป็นอันตรายภายในตารางอะตอม ตารางเหล่านี้เป็นตารางหน่วยความจำที่ใช้ร่วมกันซึ่งแอพพลิเคชันทั้งหมดเก็บข้อมูลเกี่ยวกับสตริงวัตถุและข้อมูลประเภทอื่น ๆ ซึ่งจำเป็นต้องมีการเข้าถึงรายวัน Atom Bombing ใช้การเรียกขั้นตอนแบบอะซิงโครนัส (APC) เพื่อเรียกค้นรหัสและแทรกเข้าไปในหน่วยความจำของกระบวนการเป้าหมาย Dridex เป็นผู้ที่ใช้ Early atomer ในการระเบิดของอะตอม
Dridex เป็น Trojan โทรจันที่ตรวจพบครั้งแรกในปี 2014 และ เป็นหนึ่งในผู้ที่ใช้งานการทิ้งระเบิดปรมาณูเป็นครั้งแรก
Dridex มีการแจกจ่ายส่วนใหญ่ผ่านทางอีเมลขยะซึ่งออกแบบมาเพื่อขโมยข้อมูลประจำตัวของธนาคารและข้อมูลที่ละเอียดอ่อน นอกจากนี้ยังปิดใช้งานผลิตภัณฑ์รักษาความปลอดภัยและช่วยให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์เครื่องอื่นได้จากระยะไกล ภัยคุกคามยังคงแอบแฝงและดื้อรั้นโดยหลีกเลี่ยงการเรียก API ทั่วไปที่เกี่ยวข้องกับเทคนิคการฉีดรหัส
เมื่อ Dridex ถูกเรียกใช้บนคอมพิวเตอร์ของเหยื่อระบบจะค้นหากระบวนการเป้าหมายและทำให้มั่นใจได้ว่า user32.dll ถูกโหลดโดยกระบวนการนี้ เนื่องจากต้องมี DLL เพื่อเข้าถึงฟังก์ชันตารางอะตอมที่ต้องการ ต่อไปนี้มัลแวร์เขียน shellcode ของตนไปยังตารางอะตอมทั่วโลกต่อไปจะเพิ่ม NtQueueApcThread เรียก GlobalGetAtomNameW ไปยังคิว APC ของด้ายกระบวนการเป้าหมายเพื่อบังคับให้คัดลอกโค้ดที่เป็นอันตรายลงในหน่วยความจำ
John Lundgren, ทีมวิจัย Windows Defender ATP กล่าวว่า
"Kovter และ Dridex เป็นตัวอย่างของกลุ่มมัลแวร์ที่โดดเด่นซึ่งพัฒนาขึ้นเพื่อหลบเลี่ยงการตรวจจับโดยใช้เทคนิคการฉีดรหัส เขากล่าวเสริมอีกว่า "Windows Defender ATP ยังมีระยะเวลาของเหตุการณ์ที่ละเอียดและข้อมูลตามบริบทอื่น ๆ ที่ทีม SecOps สามารถใช้เพื่อทำความเข้าใจการโจมตีได้อย่างรวดเร็วและตอบสนองได้อย่างรวดเร็ว ฟังก์ชันการทำงานที่ดีขึ้นใน Windows Defender ATP ช่วยให้สามารถแยกเครื่องเหยื่อและปกป้องส่วนที่เหลือของเครือข่ายได้ "
Microsoft เห็นปัญหาการฉีดวัคซีนในที่สุดแล้วหวังว่า บริษัท จะสามารถเพิ่มการพัฒนาเหล่านี้ไปยัง Windows รุ่นฟรี Defender.
Camus เคยร่วมงานกับ CEO ของ EADS ซึ่งเป็น บริษัท ด้านอวกาศของยุโรป ปัจจุบันเขาเป็นกรรมการผู้จัดการของ Evercore Partners ซึ่งเป็นที่ปรึกษาของสหรัฐฯและยังเป็น CEO ของ Lagardere ซึ่งเป็น บริษัท สื่อฝรั่งเศส เขาจะยังคงอยู่ในบทบาทดังกล่าวหลังจากที่เขากลายเป็นประธาน Alcatel และจะอยู่ที่ New York Verwaayen เป็น CEO ของ BT ในสหราชอาณาจักรจนถึงเดือนมิถุนายนและเขาจะดำรงตำแหน่งในปารีสในบทบาท Alcatel- Lucent CEO หนังสือพิมพ์รายดังกล่าว Alcatel-Lucent ซึ่งพยายามหาทางการเงินกำลังค้นหาผู้บริหารระดับสูงคนใหม่ตั
2 ปี การควบกิจการของ Alcatel และ Lucent ไม่ได้ราบรื่น Tchuruk และ Russo รายงานว่ายังไม่ได้รับพร้อมในช่วงเวลานั้นและวัฒนธรรมของทั้งสอง บริษัท ยังไม่ได้รับการพอดีง่าย
Smartbooks มีลักษณะคล้ายกับ netbooks รวมทั้งคีย์บอร์ดคับแคบและหน้าจอขนาดเล็ก ไม่มีผู้จัดจำหน่ายพีซีรายใหญ่รายใดเล่าถึงความสนใจในเรื่องของสมาร์ทบุ๊คแม้ว่าผู้ผลิตรายเล็ก ๆ จะผลักดันพวกเขาเป็นทางเลือกให้แก่เน็ตบุ๊คซึ่งส่วนใหญ่มาจากชิป Atom ของ Intel และมาพร้อมกับระบบปฏิบัติการ Windows ของ Microsoft ผู้จำหน่ายจำนวนมากรวมทั้ง Qualcomm และ Freescale กำลังจัดหาชิป Arm สำหรับ Smartbook ที่สามารถวางตลาดภายในสิ้นปีนี้
Smartbooks กับ Arms Arm มีข้อได้เปรียบเหนือกว่าชิป x86 เช่น Atom เช่นการใช้พลังงานต่ำและอายุการใช้งานแบตเตอรี่นานขึ้น , Finch กล่าวว่า ชิปยังมีพลังมากขึ้นตามการเติบโตของแอพพลิเคชั่นบนสมาร์ทโฟน "เขากล่าว" ฉันคิดว่ามันเป็นเรื่องธรรมดาและเหมาะสมที่เราจะเริ่มมองพวกเขาขณะที่พวกเขาเริ่มปรับตัวประมวลผลของพวกเขาขึ้น "Finch กล่าว
ปิดไดรฟ์ดิสก์ออกจาก PlayStation Portable ของ Sony และเพิ่ม gamepad สไลด์โชว์ที่ได้รับการออกแบบโดย Mylo และคุณจะได้รับ PSP Go ที่เล็กลงเบาและมีราคาแพงกว่า โซนี่ได้เลื่อนระดับราคาของแพลตฟอร์มมาจาก $ 170 ถึง $ 250 เป็นค่าใช้จ่าย 5/6 ของ PlayStation 3 หรือ Xbox 360 Elite ซึ่งเป็นหุ่นยนต์เกมที่สามารถโปรแกรมแก้ไขได้หรือรับประทานอาหารค่ำที่ร้าน Fat Fat Dump ของ Heston Blumenthal ในการแลกเปลี่ยนคุณจะได้รับ nips และ tucks ในน้ำหนักและขนาดอินเทอร์เฟซจับริบหรี่ retooled บลูทู ธ และหน่วยความจำแฟลชภายใน 16 ก
Nintendo ได้ลดลง DS ของสองครั้งตั้งแต่เปิดตัวดังนั้น turnabout การแข่งขันคือ fair play PSP Go ของ Sony เป็นรูปแบบการเปลี่ยนแปลงที่สี่ของแพลตฟอร์มโดยลดน้ำหนักลงเหลือ 5.6 ออนซ์น้ำหนักเบากว่า PSP Slim ถึง 16 เปอร์เซ็นต์และน้ำหนักเบากว่า PSP-1000 ถึง 43% นอกจากนี้ยังมีขนาดเล็กกว่า PSP Slim ถึง 35 เปอร์เซ็นต์บรรจุข้อมูลทุกอย่างที่รุ่นเก่ายกเว้นไดรฟ์ UMD ในพื้นที่น้อยกว่า 3 แห่งและรวมถึงหน้าจอไวด์สกรีนขนาด 480 x 272 พิกเซล ด้านพลิกกลับ: พิกเซล LCD ใช้พื้นที่น้อยลงเนื่องจาก Sony ย่อขนาดเส้นทแยงมุมจาก 4