Die Windows Defender ATP-Plattform erkennt FinFishers Staatstrojaner

Die Windows Defender ATP-Plattform erkennt FinFishers Staatstrojaner und schützt so Unternehmenskunden vor der Ausspähung durch den Staat - das hat Microsoft jetzt in einem Blog-Beitrag bestätigt. Microsoft macht Fortschritte im Erkennen von verschleierten Ausspähversuchen durch Trojaner, wie durch FinFishers Staatstrojaner. Die Windows Defender ATP-Plattform (Advanced Threat Protection) kann Dank neuer Techniken daher nun Windows- und Office-Nutzer schützen, die die Enterprise-Version von Windows nutzen oder die experimentelle ATP-Plattform, die Microsoft in Zusammenarbeit mit Bitdefender, Lookout und Ziften auch für Android-, Linux- und Mac-Nutzer bereitstellt. Microsoft erklärt jetzt in einem Blog-Beitrag für die Cloud-Dienste des Unternehmens, wie man sich an die Staatstrojaner her­an­ge­pirscht hat. ATP meldet FinFishers Malware. Im Bild sieht man die Anzeige zweier verdächtiger Threads.

FinFisher zog alle Tricks zur Verschleierung

Die Aufgabe erwies sich demnach alles andere als trivial. FinFisher scheut sich nicht davor, alle möglichen Tricks anzuwenden, so Microsoft: "von Junk-Anweisungen und 'Spaghetti-Code' über mehrere Schichten virtueller Maschinen bis hin zu bekannten und weniger bekannten Anti-Debug- und Abwehrmaßnahmen", versucht der Trojaner unter dem Radar zu bleiben.

"Eine andere Kategorie von Malware"

Sicherheitsanalysten sind typischerweise mit den Tools ausgestattet, um eine ganze Reihe ähnlicher Tricks bei Malware-Untersuchungen auszumerzen und so die Erkennung einer Bedrohung zu ermöglichen. FinFisher gehört jedoch in eine andere Kategorie von Malware, was den Grad des Anti-Analyse-Schutzes angeht. "Es ist ein kompliziertes Rätsel, das von erfahrenen Reverse Engineers nur mit viel Zeit, Code, Automatisierung und Kreativität gelöst werden kann", so Microsoft. Dennoch werden die Versuche von FinFisher, Schadcode auf Fremdsysteme zu bringen jetzt in den Defender ATP-Protokollen aufgeführt.

Man habe die Malware dahingehend entschlüsseln können, das die bisher genutzten Maskierungsversuche in der Advanced Threat Protection die Alarmglocken läuten lässt.

Windows Defender ATP "Advanced Threat Protection" gehört zu den Windows 10-Features, die sich an IT-Profis wenden. Der Dienst bietet eine Bedrohungserkennung und Schutz vor Schadcode, allerdings derzeit noch nicht für Endkunden. Dass die Erkennung nun aber geglückt ist, ist ein guter Schritt in die richtige Richtung.


Siehe auch:
Download Microsoft-Tool zum Entfernen bösartiger Software Download Unchecky - Installation von Malware verhindern Download Bitdefender Total Security Multi-Device 2018
Windows 10, Sicherheit, Antivirus, Windows Defender, Enterprise, Defender, Windows 10 Enterprise, Windows Defender Advanced Threat Protection, Windows Antivirus Microsoft