شناسایی حملات پاور‌‌شل توسط ویندوز 10

شناسایی حملات پاور‌‌شل توسط ویندوز 10
تاریخ انتشار : ۲۹ شهريور ۱۳۹۶

مایکروسافت می‌گوید ویندوز 10 می‌تواند فعالیت‌های مشکوک پاورشل، تزریق کد و اسناد مخرب را شناسایی کند، از جمله حملاتی که یک فرایند به وب سرور متصل می‌شود و شروع به راه اندازی یک برنامه مخرب می‌کند.

به گزارش گرداب، مایکروسافت می‌گوید: با استفاده از سنسورهای پایه‌ای که با ویندوز 10 ساخته شده‌اند، همراه با تکنولوژی‌های یادگیری ماشین، مدافع ویندوز ATP، متکی به جریان عمومی وقایع رفتاری، برای بهبود تشخیص است.

به گفته مایکروسافت: یک فرایند رفتاری، نه تنها توسط اقدامات خود تعریف می‌شود بلکه همچنین با عملکرد فرآیندهای مرتبط نیز تعریف می‌شود. زمانی که بدافزار در میان است بسیاری از اقدامات مرتبط با اجرای فرآیند، معمولا توسط فرایندهای دیگر (تزریق شده توسط کد مخرب) صورت می‌گیرد بنابراین مدافع ویندوز شامل درخت‌های فرآیند رفتاری است که قادر به تجزیه و تحلیل فعالیت‌ها و رفتارهای یک فرآیند و نسل های آن است که به ایجاد روند پردازش یا تزریق حافظه مرتبط است.

استفاده از یادگیری ماشینی« بطورکلی به مدافع ویندوز کمک می‌کند تا تمام انواع روش‌های حمله‌ی پیشرفته را شناسایی کند» و همان تکنولوژی‌ها همچنین در شناسایی حملات دربردارنده نسخه‌های پاور شل، تزریق کد و اسناد پلی‌مورفیک که کد مغرض را به جریان می‌اندازند موثر هستند؛ شرکت در یک پست وبلاگ این را توضیح می ‌دهد.

سنسورهای پایه‌ای ویندوز 10 همراه با تکنولوژی‌های یادگیری ماشین مدافع ویندوز ATP متکی به فرآیند رفتاری، برای بهبود تشخیص است.

یکی از استفاده‌های مخرب پاورشل در بردارنده‌ی انجام وظایف، بدون معرفی در واحدهای شناسایی ویندوز و مدافع ویندوز است. مایکروسافت ادعا می‌کند که با توانمندسازی یادگیری ماشینی ای‌تی‌پی می‌تواند رفتارهای مشکوک پاورشل، شامل آنهایی که در حملات فیشینگ مورد استفاده قرار گرفته را شناسایی کند.

 اکنون شرکت مایکروسافت می‌گوید اسنادی با ماکروهای مخرب که پاورشل را به جریان می‌اندازند و توضیح می‌دهد این روش حمله را براساس سیگنال‌های در دسترس، تنها در زمان اجرای حمله شناسایی می‌کند.

مایکروسافت خاطر نشان کرد: به روز رسانی جدید، ای‌تی‌پی مدافع ویندوز را دقیقاً با بقیه دسته‌های محافظتی تهدید ویندوز ترکیب خواهد کرد، آن را به یک راه حل جامع پیشگیری و حفاظت، بکلی تغییر می‌دهد که مشتری‌های سازمانی را قادر می‌سازد که نه تنها شناسایی کنند و در دستگاه‌ها و شبکه‌هایشان به تهدیدها پاسخ دهند بلکه همچنین محافظت پیشگیرانه داشته باشند.