Преступников обнаружили с помощью службы ATP в Защитнике Windows

Опубликовано 02 февраля 2017, 15:42

Когда в декабре 2016 года немецкий промышленный конгломерат сообщил, что в начале года подвергся атаке, оказалось, что за взломом данных стояла профессиональная преступная группа, занимающаяся промышленным шпионажем. По данным немецкой прессы, атака осуществлялась на базе внедряемого файла из семейства Winnti, который обеспечивал злоумышленникам постоянный доступ к сети конгломерата с февраля 2016 года.

Под катом мы рассмотрим внедренный вредоносный файл Winnti в том виде, в котором он использовался двумя известными преступными группами BARIUM и LEAD. Мы посмотрим, как они внедряли файл в различные системы, а также узнаем, с помощью каких методов исследователи Microsoft его отслеживали.

Чтобы показать способы борьбы с этой и подобными угрозами, мы рассмотрим, как служба Advanced Threat Protection (ATP) в Защитнике Windows помечает деятельность, связанную с BARIUM, LEAD и другими известными преступными группами, и предоставляет для них расширенную аналитику угроз. Мы проследим за процессом установки внедряемого файла Winnti и изучим, как служба ATP в Защитнике Windows фиксирует используемые в это время методы и средства, предоставляя наглядную контекстную информацию для исследования реальной атаки и принятия ответных мер. Затем мы обсудим, как централизованное реагирование в рамках улучшенной службы ATP в Защитнике Windows, доступной в обновлении Windows 10 Creators Update, позволяет быстро остановить угрозы. В частности, служба блокирует коммуникации в целях управления и контроля, запрещает внедренным файлам устанавливать дополнительные компоненты и распространять угрозу на другие компьютеры внутри сети.