Windows Defender中的过程空心和原子轰炸保护ATp

Windows 10 Creators Update安全增强功能包括Windows Defender Advanced Threat Protection的改进。微软表示，这些增强功能将保护用户免受Kovter和Dridex木马等威胁的侵害。显然，Windows Defender ATP可以检测与这些威胁相关的代码注入技术，例如 进程空心 和 原子轰击。这些方法已经被许多其他威胁所使用，这些方法允许恶意软件感染计算机并从事各种卑鄙的活动，同时保持隐身。

进程挖空

产生合法进程的新实例并“挖空”被称为Process Hollowing。这基本上是一种代码注入技术，其中合法代码被替换为恶意软件代码。其他注入技术只是将恶意功能添加到合法进程中，将空洞结果看作合法但主要是恶意的进程。

Kovter使用的进程挖空

Microsoft将进程挖空视为最大的问题之一，它是由Kovter和各种其他恶意软件家族使用。这种技术已被恶意软件家族用于无文件攻击，其中恶意软件在磁盘上留下的痕迹可以忽略不计，并且仅从计算机内存中存储和执行代码。

Kovter是一个最近一直在使用的点击欺诈木马家族观察到与勒索等勒索软件家庭联系在一起。去年11月，Kovter被认定对新的恶意软件变种产生了巨大的影响。

Kovter主要通过网络钓鱼邮件提供，它通过注册表键隐藏大部分恶意组件。然后Kovter使用本地应用程序执行代码并执行注入。它通过将快捷方式（.lnk文件）添加到启动文件夹或将新密钥添加到注册表中来实现持久性。

恶意软件添加了两个注册表项，通过合法程序mshta.exe打开其组件文件。该组件从第三个注册表项中提取混淆的有效内容。 PowerShell脚本用于执行额外的脚本，将shellcode注入到目标进程中。 Kovter使用进程挖空将恶意代码注入到合法进程中。

Atom Bombing

Atom轰炸是微软声称阻止的另一种代码注入技术。这种技术依赖于在原子表中存储恶意代码的恶意软件。这些表是共享内存表，其中所有应用程序都存储有关字符串，对象以及需要每日访问的其他类型数据的信息。原子弹爆炸使用异步程序调用（APC）来检索代码并将其插入到目标进程的内存中。

Dridex是原子轰炸的早期采用者

Dridex是2014年首次发现的银行木马，已经成为最早采用原子弹轰炸的人之一。

Dridex大多是通过垃圾邮件发布的，主要是为了窃取银行证书和敏感信息。它还禁用安全产品，并为攻击者提供远程访问受害者计算机的权限。通过避免与代码注入技术相关的常见API调用，威胁仍然是秘密和顽固的。

当Dridex在受害者的计算机上执行时，它会查找目标进程并确保user32.dll被此进程加载。这是因为它需要DLL来访问所需的原子表函数。接下来，恶意软件将其shellcode写入全局原子表，并进一步将NtQueueApcThread对GlobalGetAtomNameW的调用添加到目标进程线程的APC队列中，以强制它将恶意代码复制到内存中。

Windows Defender ATP研究团队的John Lundgren说，“Kovter和Dridex是突出的恶意软件家族的例子，它们演变为使用代码注入技术逃避检测。不可避免的是，现有的和新的恶意软件家族都会使用流程挖空，原子轰炸和其他先进技术，“他补充道，”Windows Defender ATP还提供了SecOps团队可以用来理解攻击并快速响应的详细事件时间表和其他上下文信息。 Windows Defender ATP的改进功能使他们能够隔离受害机器并保护网络的其他部分。“

微软终于看到了代码注入问题，希望最终看到该公司将这些开发添加到Windows的免费版本中后卫。