Microsoft: Windows Defender erkennt Staatstrojaner FinFisher

Forscher des Unternehmens analysieren die Schadsoftware per Reverse Engineering. Die so gewonnenen Erkenntnisse verbessern Windows Defender Advanced Threat Protection und Office 365 Advanced Threat Protection. Letzteres trickst beispielsweise die Sandbox-Erkennung von FinFisher aus.

Microsoft ist nach eigenen Angaben gelungen, den Staatstrojaner FinFisher zu knacken. Die Analyse erlaubte es dem Unternehmen, neue Techniken zu entwickeln, damit die hauseigenen Sicherheitsprodukte wie Office 365 Advanced Threat Protection und Windows Defender Advanced Threat Protection die Schadsoftware erkennen und Nutzer von Windows und Office schützen können.

Windows Defender (Bild: Microsoft)Entwickelt wurde FinFisher von der britisch-deutschen Gamma Group, die die Überwachungssoftware an Strafverfolgungsbehörden weltweit verkauft. Der Trojaner nutzt verschiedene fortschrittliche Techniken, um einer Erkennung durch Sicherheitsanwendungen sowie einer Analyse zu entgehen. Microsoft zufolge stellt FinFisher aufgrund seiner Schutzmaßnahmen eine neue Kategorie von Malware dar. Die Entwickler von FinFisher hätten einen erheblichen Aufwand betrieben, um sicherzustellen, dass der Schädling nicht entdeckt und auch nicht analysiert wird.

Microsoft ist es jedoch gelungen, FinFisher per Reverse Engineering seine Geheimnisse zu entlocken. Unter anderem soll Office 365 Advanced Threat Protection (ATP) nun in der Lage sein, die Sandbox-Erkennung von FinFisher auszutricksen. Die Sicherheitssoftware prüft möglicherweise schädliche Dateianhänge in einer Sandbox – FinFisher wiederum prüft vor der Ausführung von schädlichem Code, ob es in einer Sandbox ausgeführt wird.

Forscher von Microsoft stellten fest, dass FinFisher VMware- und Hyper-V-Umgebungen an den virtualisierten Eingabegeräten erkennt. Neue „spezielle Mechanismen“ sollen diese Art von Erkennung jedoch umgehen.

Windows Defender ATP wiederum verfügt nun über neue Techniken, um die von FinFisher benutzten Angriffe aufzuspüren. Als Beispiel nannte Microsoft das Einschleusen von Code in den Arbeitsspeicher.

Insgesamt hätten Forscher von Microsoft sechs Sicherheitsschichten von FinFisher analysiert, die jede Stufe der Infektion schützen und eine Analyse der eigentlichen Spyware verhindern sollen. Unter anderem setze FinFisher auf selbst entwickelte virtuelle Maschinen, die eine Analyse mit herkömmlichen Mitteln praktisch unmöglich machten.

Darüber hinaus stellten die Forscher nach Unternehmensangaben fest, dass FinFisher modular aufgebaut ist und verschiedene Plug-ins laden kann. Ein Plug-in sei in der Lage, Internetverbindungen auszuspionieren, SSL-Verbindungen umzuleiten und verschlüsselten Datenverkehr zu stehlen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

Themenseiten: Malware, Microsoft, Office, Security, Sicherheit, Windows, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft: Windows Defender erkennt Staatstrojaner FinFisher

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *