独家解密：浅谈 Windows10 安全体系的新变化 _生活知道

操作系统的安全性是微软关注的重点之一。新一代Windows的开发人员积极响应针对Windows平台的重要威胁，他们使用了以前只是应用于第三方安全解决方案中的众多安全技术。系统受到了更好的保护，让攻击者更难开展活动。
然而，在某些情况下，有操作系统提供的安全工具并不足够，开发人员只好折衷让第三方的安全工具作为补充。
因为Windows系统的普遍，Windows一直是形形色色的网络犯罪分子攻击的首选目标。每个Windows的版本都会有千千万万的黑客寻找新的赚钱机会。当然，Windows也是白帽子和违法分子作斗争的主战场，白帽子也在寻找Windows系统中的安全隐患。自然卡巴斯基实验室，以及木马挂钩的函数的hash值。
检测进程名和总合校验值来确定浏览器种类的函数
Kronos检查进程名称，将字符串转换为小写，计算其校验值，这样获得的hash值会和一张表对比，如果在这张表里找到，木马会挂钩浏览器进程的某个函数。
木马所监测的浏览器进程名称和校验值。
wininet.dll挂钩的函数如下。
Kronos使用splicing挂钩函数，在程序代码首添加一个无条件跳转指令，因为恶意代码是作为一个shellcode被加载而不是library，所以浏览器内置的安全策略不会阻止它。
InternetReadFile function hook in MicrosoftEdgeCP.exe
挂钩函数的处理程序
成功挂钩这些函数后木马可以向Web页面注入数据，它还可让Kronos来获取有关用户的信息，用户的凭据和银行帐户的余额，将用户重定向到钓鱼站点，或银行的合法页面，启用恶意软件找出用户的答复的机密问题，信用卡卡号，日期出生或电话号码。
对一个银行页面的注入
请注意，Kronos目前仅可以攻击32位Windows10的Edge，不过现在有能够在64位Windows10运行的银行木马。
在今年年初，一个Gozi银行木马的变种出现，它被设计来在64位Windows10上使用浏览器中间人攻击的手段来攻击Edge 。这个木马将自己的代码注入RuntimeBroker.exe，一旦启动浏览器，它的代码就会注入浏览器的进程。
用于检查进程名来注入的函数的一部分
在某些方面Gozi的这个变种和Kronos一样，它们都挂钩创建和发送HTTP请求的函数。然而，它却替换IAT Poniters，以及函数地址。
检查进程名为每个浏览器配置合适的hook的函数的一部分
HttpSendRequestW hook
在下一个测试中，我们尝试
Adwind是一个RAT。一个简单的Python脚本从网络摄像机中录下一段视频，以一个单独的窗口播放。即使Windows Defender在开启时，用户也会对应用程序使用摄像头录像一无所知，不会有任何提示。
用一个脚本开启网络摄像机录像。
Control of Drive-By Downloads
Windows用户面临的另一严峻的安全问题是漏洞利用程序的攻击，漏洞存在于各种程序中。我们测试了内置保护对于利用Adobe Flash Reader的CVE-2016-1019漏洞的反应（较新的漏洞）。
利用此漏洞的文件是使用ZLIB压缩算法的SWF文件。
flash漏洞利用攻击
这种形式下的文件被Windows Defender识别并隔离。
成功检测到打包的漏洞利用工具。
但是，如果该文件解压到原SWF，Windows Defender会忽略它。
此外，如果一个有漏洞的Adobe Flash Reader安装在系统中，且一个压缩文件（漏洞利用）从一个挂马网页下载到本地磁盘中从浏览器的context中执行（Drive-by attacks），可以发生感染，因为 Windows Defender并不包括本地下载控制组件。
成功下载一个漏洞利用工具，曾经检测过的。
此外，我们要提一个微软的组件，SmatScreen，基于信誉检测可以阻挡Drive-by攻击，但是有些情况，尤其是针对性较强的攻击，需要启发检测技术。
结论
如今，需要一个全面的方法来保护用户的系统，结合常规检测模块（基于签名的分析，行为分析等）和一些附加检测模块来检测网络犯罪分子的某些攻击手段。
我们简要地分析表明，在某些情况下，Windows10内置的保护不足以全面抵挡攻击。而在以前的Windows版本中，所有的攻击一般都由专用的安全产品解决。
对本号感兴趣的朋友可以请点击右上角的“关注”哦！
【独家解密：浅谈 Windows10 安全体系的新变化】以上就是朝夕生活（www.30zx.com）关于“独家解密：浅谈 Windows10 安全体系的新变化”的详细内容，希望对大家有所帮助！

独家解密：浅谈 Windows10 安全体系的新变化

猜你喜欢