Schlagwort: Trojaner

Windows Defender erkennt Staatstrojaner FinFisher    

Foto: Windows Defender ATP erkennt Staatstrojaner FinFisher | © Microsoft
Foto: Windows Defender ATP erkennt Staatstrojaner FinFisher | © Microsoft

Microsoft ist es nach eigenen Angaben gelungen, den Staatstrojaner FinFisher zu knacken und so eine Erkennung zu ermöglichen – eine ausführliche, englischsprachige Stellungnahme des Konzerns findet sich im „Microsoft Secure“-Blog. Durch die erfolgreiche Analyse ist es möglich, dass die Microsoft-Sicherheitslösungen Office 365 Advanced Threat Protection und Windows Defender Advanced Threat Protection die Schadsoftware erkennen und Windows- und Office-User effektiv schützen können.

FinFisher: Staatstrojaner wird Strafverfolgungsbehörden weltweit angeboten

FinFisher ist eine Überwachungssoftware, die von der britisch-deutschen Gamma Group entwickelt und an Strafverfolgungsbehörden weltweit verkauft wird. FinFisher verwendet diverse fortschrittliche Techniken, um einer Erkennung durch Sicherheitslösungen zu entgehen. Microsoft bezeichnet FinFisher als „eine neue Kategorie von Malware“, da die Entwickler einen erheblichen Aufwand betrieben, damit die Schadsoftware unentdeckt bleibt und nicht analysiert werden kann.

Microsoft knackt FinFisher per Reverse Engineering

Durch Reverse Engineering ist es Microsoft gelungen, FinFisher zu knacken und damit auch die Vorgehensweise der Software zu verstehen. Dabei wurde bekannt, dass FinFisher prüft, ob es in einer Sandbox ausgeführt wird – dies erkennt der Trojaner bei VMware- und Hyper-V-Umgebungen an den virtualisierten Eingabegeräten. Office 365 Advanced Threat Protection (ATP) ist aber jetzt in der Lage, diesen schädlichen Code zu erkennen, der in einer Sandbox-Umgebung ausgeführt wird. Windows Defender ATP kann jetzt erkennen, ob FinFisher Angriffe ausgeführt hat und wie diese realisiert wurden – etwa durch Einschleusen von Schadcode in den Arbeitsspeicher.

FinFisher basiert auf sechs Sicherheitsschichten

Wie viel Aufwand die Entwickler von FinFisher betrieben haben, damit der Schädling unentdeckt bleibt, wurde bei der Analyse der Sicherheitsschichten deutlich, von denen es sechs gibt. Mit herkömmlichen Mitteln sei eine Analyse unmöglich, da FinFisher auf selbst entwickelte virtuelle Maschinen setzt. Zudem sei die Software modular aufgebaut und in der Lage, verschiedene Plug-ins zu laden – diese können Internetverbindungen ausspionieren, SSL-Verbindungen umleiten und verschlüsselten Datenverkehr abgreifen.

FinFisher zeigt, dass Schadsoftware enormes Potenzial hat und Cyberkriminelle und Regierungen auf quasi jedes Gerät mit einer Internetverbindung zugreifen können, wenn entsprechende Ressourcen und Zeit zur Verfügung stehen. Durchaus beeindruckend, dass Microsoft den hochkomplexen Code von FinFisher analysieren und verstehen konnte. Allerdings haben Angreifer immer den Vorteil, dass nach der Veröffentlichung eines Schadcodes immer Zeit vergeht, eher dieser entdeckt wird und Gegenmaßnahmen ergriffen werden. Auch wenn Sicherheitslösungen bereitstehen und regelmäßig aktualisiert werden, wird es eine hundertprozentige Sicherheit in der IT nicht geben können.

Microsoft Patchday: Updates für Windows XP und Vista sollen vor WannaCry-ähnlichen Attacken schützen

Beim aktuellen Patchday hat Microsoft Updates für die Betriebssysteme Windows XP und Windows Vista verteilt, die vor WannaCry-ähnlichen Attacken schützen sollen. Die Besonderheit: Der Lebenszyklus („Lifecycle“) von Windows XP und Windows Vista ist bereits abgelaufen – offiziell gibt Microsoft also keine Updates mehr heraus, egal ob es sich um Inhalts- oder Sicherheitspatches handelt.

Microsoft befürchtet weitere Angriffe

Microsoft hat das ungewöhnliche Verteilen der Updates damit begründet, dass beim Schließen der WannaCry-Sicherheitslücken weitere Schwachstellen aufgetaucht sind, die für ähnliche Angriffe verwendet werden könnten. Konkrete Details wurden natürlich nicht genannt, es scheint aber, als würde auch mit Angriffen auf XP- und Vista-Systeme gerechnet. Da Windows XP und Vista keinen offiziellen Support mehr erhalten, könnten diese Betriebssysteme als besonders attraktives Ziel für Hacker betrachtet werden. Laut NetMarketShare verwenden Stand Juni 2017 weltweit 5,66 Prozent noch Windows XP, bei Vista sind es nur 0,58 Prozent. Der Marktanteil von XP und Vista ist mit knapp über sechs Prozent gering, Windows 7 nutzt knapp die Hälfte der PC-User weltweit. Das erklärt, warum sich die Angriffe auf Windows 7 spezialisiert haben – die Schwachstellen sind durch die noch ausgelieferten Updates bei Windows 7 schwieriger zu ermitteln und auszunutzen, die potenzielle Zielgruppe der Hacker ist aber beachtlich größer. Solange Windows 7 also noch Angriffsflächen bietet, wird kaum jemand Windows XP und Vista attackieren wollen. Der Microsoft-Patch ist wahrscheinlich eine reine Vorsichtsmaßnahme, falls die Angreifer ihre präferierten Ziele ändern sollten.

XP und Vista noch zeitgemäß? Jein!

Grundsätzlich ist der Einsatz von Windows XP und Vista bei Privatpersonen noch vertretbar – denn es gibt beispielsweise noch Communities, die sich auf das Aktualisieren von Windows XP spezialisiert haben und dieses quasi „am Leben halten“. Wer mit sensiblen Daten arbeitet sollte aber besser generell darauf verzichten. Zumindest dann, wenn der Computer mit dem Internet verbunden ist, was in den meisten Arbeitsumgebungen der Fall sein dürfte.

Das Schadprogramm WannaCry (auch Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0) sorgt seit März 2017 für Aufsehen, indem es vorwiegend Windows-7-Systeme befällt, die betroffenen Computer durch Verschlüsselung sperrt und NutzerInnen dazu auffordert, einen bestimmten Geldbetrag zu überweisen. Gefordert wird der Betrag in der Kryptowährung Bitcoin, da sich die Zahlungsempfänger nicht ausfindig machen lassen.