News
07.03.2018, 08:44 Uhr
Microsoft Defender soll jetzt auch Staatstrojaner erkennen
Microsoft hat es offenbar geschafft, den Staatstrojaner FinFisher zu knacken. Die Schnüffel-Software gelangte auch an unterdrückerische Regimes.
Zumindest eine Schwachstelle, die von der Überwachungs-Software FinFisher ausgenutzt wird, hat Microsoft schon mit dem Fall Creators Update abgedichtet. Nach einer aufwendigen Analyse dürften Microsofts Abwehrtechniken nun noch besser gegen komplexe Trojaner gewappnet sein. Bei FinSpy oder FinFisher handelt es sich um eine Schnüffel-Software der FinFinsher GmbH mit Sitz in München. Das Spionagewerkzeug wurde in den vergangenen Jahren weltweit an Strafverfolgungsbehörden verkauft, unter anderem auch an unterdrückerische Regimes wie an das ägyptische Innenministerium, das die Software von der britischen Gamma Group während fünf Monaten zum Testen im Einsatz hatte. Laut ZDNet ist es nun Microsoft offenbar selber gelungen, den Staatstrojaner nach mehreren Schichten aufzuschlüsseln.
Schwieriger Spaghetti-Code
Die Sicherheitsforscher von Microsoft haben die Trojaner-Software mittels Rückführung des Quellcodes (Reverse Engineering) auseinandergenommen und daraus neue Schutz- und Erkennungstechniken abgeleitet. Im Unternehmens-Blog zu Office 365 Threat Research beschreiben die Sicherheitsforscher das schwierige Aufsplitten des «Spaghetti-Codes». Von Spaghetti-Code spricht man, wenn viele zusätzliche Codezeilen (Sprünge) eingeschleust wurden, um andere Entwickler mit ihren Sezierungs-Tools zu verwirren.
Besserer Schutz bei Windows Defender
Bereits Microsofts Sicherheitsprogramm «Office 365 Advanced Thread Protection» wartet mit einem neuen Schutz in der Sandbox-Erkennung auf. Jetzt soll auch der Windows Defender empfindlicher auf verschiedene Angriffstechniken von Trojanern wie FinFisher (wie das unerwünschte Einschleusen von Code im Arbeitsspeicher) reagieren. Insgesamt hätten die Experten bei der FinFisher-Analyse sechs Layer ausfindig gemacht und daraus je eine Stufe zur Angriffsabsicherung eingebunden. Die ganze Untersuchung sei äusserst aufwendig gewesen, weil diese auch mit virtuellen Maschinen nicht möglich gewesen wäre. Die Redmonder mussten stattdessen auf einen modularen Werkzeugkasten mit mehreren Plug-ins zurückgreifen.
Autor(in)
Simon
Gröflin
Kommentare
Es sind keine Kommentare vorhanden.