Windows Defender ATP verhindert Cyberangriff

Angriffsziele waren Unternehmen der Finanz- und Bezahlindustrie. Die Gefährdung entstand durch den kompromittierten Update-Mechanismus eines Drittanbieters. Auf den Angriff aufmerksam machten verdächtige PowerShell-Skripte, selbstlöschende ausführbare Dateien und andere Aktivitäten.

Durch Meldungen von Windows Defender Advanced Threat Protection (Windows Defender ATP) sind Sicherheitsforscher von Microsoft auf einen gezielten Cyberangriff aufmerksam geworden und konnten dank früher Erkennung weitreichende Folgen verhindern. Das beschreibt ein TechNet-Blogeintrag und geht dabei auf die Verwendung von Updatern für gefährliche Attacken ein, die oft schwer zu erkennen sind.

Security (Bild: Shutterstock)

Wie sich herausstellte, hatten sich unbekannte Angreifer einen „ruhigen aber effektiven Angriffsvektor“ zu Nutze gemacht, nämlich den kompromittierten Update-Mechanismus oder die Software-Lieferkette für das Bearbeitungstool eines Drittanbieters. Aus Gewinnabsicht soll die Gruppe hinter „Operation WilySupply“ Softwarepakete von Drittanbietern mithilfe von Updatern und anderen Kanälen kompromittiert haben, um ihre Opfer zu erreichen. Angriffsziele waren überwiegend der Finanz- und Bezahlindustrie zuzuordnen. Andere angreifbare Rechner wurden auffällig ignoriert – die Hintermänner wollten offenbar möglichst unbemerkt agieren und beschränkten sich auf ausgewählte und für sie wertvolle Ziele.

Windows Defender ATP ist ein Dienst für Windows Enterprise, der geschäftliche Anwender vor komplexen Bedrohungen schützen soll. In diesem Fall stießen Forscher des ATP-Teams auf verdächtige PowerShell-Skripte, selbstlöschende ausführbare Dateien und andere Aktivitäten. Mit den Ansichten „Timeline“ und „Prozessbaum“ in der Konsole von Windows Defender ATP identifizierten sie die für die schädlichen Aktivitäten verantwortlichen Prozesse und konnten sie auf ein Update des fraglichen Bearbeitungstools zurückführen.

Die weitere Untersuchung führte zu einem als Service ausgeführten und legitimen Updater eines Drittanbieters, der zuvor eine unsignierte ausführbare Datei heruntergeladen hatte. Dabei handelte es sich um eine bösartige Binärdatei, die gebündelt PowerShell-Skripte sowie die Meterpreter Reverse Shell startete, um Kontrolle über den Rechner zu bekommen.

HIGHLIGHT

WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Ausgenutzt wurde somit die verbreitete Vertrauensbeziehung mit Software-Lieferketten. Microsoft verweist auf eine ganze Reihe bekannter Angriffe, bei denen diese allgemeine Angriffstechnik auf selbstaktualisierende Software und ihre Infrastruktur zum Einsatz kam. Das sei etwa bei den Attacken auf den EvLog-Update-Prozess von Altair Technologies, den Auto-Update-Mechanismus für die Software SimDisk und die Update-Server von ALZip von ESTsoft der Fall gewesen.

Die von Windows Defender aufgezeichneten Angriffsaktivitäten zeigten, dass sie mit einem nativen Systembefehl oder einen geskripteten Tool nur im Speicher durch PowerShell ausgeführt wurden. Laut Microsoft kommt diese In-Memory-Technik immer häufiger zum Einsatz, da die Angreifer somit offensichtliche Spuren auf der Festplatte vermeiden können. Auffällig war weiterhin die Verwendung gewöhnlicher Tools und verbreiteter Methoden. Damit könnten versierte Angreifer ihre Aktivitäten hinter dem typischen Rauschen bei Erkennungen verbergen und Threat-Intelligence-Systeme daran hindern, die beobachteten Angriffe mit bestimmten Akteuren in Verbindung zu bringen.

Laut Microsoft wurde Windows Defender ATP verbessert, um die Verwendung von Updatern als Angriffsfläche einzudämmen. „Dieser kann kompromittierte Updater erkennen“, versichert das Unternehmen. „Dies umfasst die beschriebenen Aktivitäten als Teil eines versuchten Cyberangriffs. Dafür analysiert Windows Defender ATP große Datensätze, um das normale Verhalten von Updatern kennenzulernen und bei Abweichungen Alarm zu schlagen.“

ANZEIGE

Server-Hosting: Sicherheit und Datenschutz Made in Germany

Sicherheit und Datenschutz sind zwei wesentliche Kriterien bei der Auswahl eines virtuellen Servers. Mit zwei nach ISO 27001 zertifizierten Hochleistungsrechenzentren in Deutschland bietet STRATO nicht nur strenge Sicherheitsmaßnahmen, sondern auch Datenschutz nach deutschem Recht. Zudem beinhalten die V-Server zahlreiche Komfortfeatures.

Themenseiten: Cybercrime, Malware, Microsoft, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Windows Defender ATP verhindert Cyberangriff

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *