Microsoft hat im Windows Defender ATP (Advanced Thead Protection) eine Erkennung der Spionagesoftware Finfisher eingebaut. Damit dürften staatliche Stellen mit ihren Trojanern nicht mehr so leicht Windows-Nutzer ausspähen können.
Anzeige
Was ist Finfisher?
FinFisher (oder FinSpy) ist eine Spionagesoftware für PCs und Smartphones, die von der britisch-deutschen Firma FinFisher GmbH, mit Sitz in München – gehört zur Gamma Group – entwickelt und vertrieben wird (siehe). Der Trojaner wird an staatliche Überwacher geliefert und soll das Ausspionieren von Nutzern ermöglichen.
Der Schädling wird in harmlos aussehenden (Word-)Dateien auf die Systeme der Nutzer ausgerollt. Im September 2017 hatte ich im Artikel FinFisher-Staatstrojaner von Providern verteilt über eine solche Kampagne berichtet. Ein Problem für Organisationen und Firmen ist es, zu erkennen, wenn ein Angriff mit einem FinFisher-Trojaner stattfindet. Der Hack der Bundesregierung (siehe z.B. hier und hier) ist ein Beispiel für solche Auswirkungen, wenn ein Trojaner durchrutscht (obwohl dort kein Finfisher eingesetzt wurde).
Microsofts Windows Defender ATP erkennt Finfisher
Microsoft sagt nun, dass es die berüchtigte Spyware FinFisher analysiert hat. Ziel war es, neue Wege zu entwickeln, die Spyware zu entdecken und Windows und Office-Benutzer zu schützen. FinFisher ist wohl eine komplexe Spyware zur Überwachung der Nutzer, die sich vieler Tricks bedient, um nicht erkannt zu werden.
(Finfisher-Angriffsmodell, Quelle: Microsoft)
Am Ende des Tages hat Microsoft wohl spezielle Methoden entwickelt, um Finfisher zu knacken und seine Verschleierungs- und Angriffstechniken zu verstehen sowie die Effektivität von Office 365 ATP Detonation Sandbox, Windows Defender Advanced Threat Protection (Windows Defender ATP) generischen Erkennungen und anderen Microsoft Sicherheitslösungen zu überprüfen. Dem längeren Microsoft-Beitrag hier lässt sich entnehmen, dass die Spyware wohl mit Machine-Learning im Windows Defender ATP von Windows 10 erkannt wird.
Weil es in den Kommentaren bemängelt wurde: Windows Defender Advanced Threat Protection (ATP) bietet vorbeugenden Schutz, erkennt Angriffe und Zero-Day-Exploits und gibt Unternehmen eine zentrale Verwaltungsmöglichkeit für ihren kompletten Sicherheitslebenszyklus von Software. Windows Defender Advanced Threat Protection (Windows Defender ATP) ist eine Zusatzfunktion, die Firmen in Windows 10 Enterprise kostenpflichtig zubuchen können. (via)
Ähnliche Artikel:
DETEKT: Bin ich Staatstrojaner-frei oder gibt's Beifang an Bord?
FinFisher-Staatstrojaner von Providern verteilt
2015
Die Headline ist genauso irreführend wie bei Heise.
Nur der Defender mit !! ATP kann bei Finfisher helfen. Der Windows Defender auf normalen Windows 10 Home Rechner leider nicht.
Nun ja, die Headline gestalte ich nicht im Hinblick auf die Befindlichkeiten der Home-Nutzer, sondern im Hinblick auf den Umstand, so etwas möglichst kurz zu halten. Im Text ging das ganze hervor. Ich habe aber mal (da die Überschrift im aktuellen Fall noch recht kurz war) das Kürzel ATP mit in den Titel aufgenommen. Wage aber zu bezweifeln, dass der Home-User damit etwas anfangen kann ;-).
Leute, die es interessiert, werden sich den Text und den verlinkten Original-Artikel schon zu Gemüte führen müssen.