Windows Defender stoppt Malware-Kampagne

Da hat Microsoft gut reagiert. Mit dem Windows Defender konnte eine Malware-Kampagne gestoppt werden, die binnen 12 Stunden versuchte, 400.000 Nutzer zu infizieren.


Anzeige

Reagiere, tue gutes und sprich darüber. So lässt sich das Ganze in wenigen Worten zusammenfassen. Microsoft hat gerade in einem Blog-Beitrag bekannt gegeben, wie man mit Verhaltens-basiertem Monitoring, kombiniert mit maschinellem Lernen, eine massive Malware-Kampagne zur Verbreitung eines Crypto-Miners stoppen konnte.

Angriff am 6. März 2018

Kurz vor Mittag am 6. März 2018 (Redmond-Zeit) blockierte der Windows Defender (Antiviruslösung) mehr als 80.000 Instanzen mehrerer ausgeklügelter Trojaner. Diese benutzten fortschrittliche, prozessübergreifende Injektionstechniken, Persistenzmechanismen und Ausweichmethoden zur Verbreitung.

Verhaltensbasierte Signale, gekoppelt mit Cloud-basierten maschinellen Lernmodellen, deckten diese neue Welle von Infektionsversuchen bei Microsoft aber auf. Die Trojaner, die neue Varianten von Dofoil (auch Smoke Loader genannt) sind, tragen einen Miner als Nutzlast.

Dofail-Miner
(Dofail-Ausbruch, Quelle: Microsoft)


Anzeige

Binnen der nächsten 12 Stunden wurden mehr als 400.000 Infektionsversuche registriert. Davon fanden 73% in Russland statt. Auf die Türkei entfielen 18% und auf die Ukraine 4% der weltweiten Angriffe.

Der Windows Defender schlägt Alarm

Die Windows Defender Antivirus-Lösung von Microsoft erkannte und markierte zunächst den ungewöhnlichen Persistenzmechanismus des Angriffs durch Verhaltensüberwachung. Dieses verhaltensbasierte Signal wurde sofort an den Microsoft Cloud-Schutzdienst geschickt. Dann lief die Schutzmachinerie an:

  • Innerhalb von Millisekunden blockierten mehrere metadatenbasierte maschinelle Lernmodelle in der Cloud diese Bedrohungen auf den ersten Blick.
  • Sekunden später verifizierten auch die samplebasierten und detonationsbasierten maschinellen Lernmodelle von Microsoft die Klassifikation als 'böswillig'.
  • Innerhalb von Minuten fügten detonationsbasierte Modelle zusätzliche Bestätigungen hinzu.
  • Innerhalb weniger Minuten wurde Microsoft durch einen Anomalie-Erkennungsalarm über einen neuen potenziellen Ausbruch informiert.

Nach der Analyse der Schadsoftware hat das Microsoft Response-Team den Klassifikationsnamen (Dofoil) dieser neuen Welle von Bedrohungen für die richtigen Malware-Familien aktualisiert. Nutzer, die zu Beginn der Malware-Kampagne von diesen Infektionsversuchen betroffen waren, erhielten Blockierungsbenachrichtigungen Namen wie Fuery, Fuerboos, Cloxer oder Azden. Später wurden die Blockade-Nachrichten mit den Eigennamen Dofoil oder Coinminer angezeigt.

Wer Windows 10 und Windows 8.1 mit dem Windows Defender oder Windows 7 mit Windows Defender AV oder Microsoft Security Essentials verwendet hat, war vor diesem Angriff geschützt.

Die Malware versuchte Electroneum Krypto-Geld zu schürfen. Die kontaktierten C&C-Server gehörten zum dezentralisierten Namecoin-Netzwerk. Wer sich für die Details interessiert, kann sich in diesem Blog-Beitrag informieren. (via)


Anzeige

Dieser Beitrag wurde unter Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows Defender stoppt Malware-Kampagne

  1. Ingenieurs sagt:

    Zum Glück hab ich Secrurity Essentials auf den Windows Servern laufen :)

  2. Dekre sagt:

    Das erwartet man eigentlich von einem AV-Programm und erst recht bei MSE auf Win7. Wir sollten nicht den Einzelfall loben.

    • Al CiD sagt:

      Na ja, erwarten wir nicht alle von MS, Apple, Google, etc., dass es wie gewünscht funktioniert?
      DASS es mal funktioniert ist schon eine Meldung wert, oder?
      Traurig, aber Realität.

      • Günter Born sagt:

        Die Sache hat mehrere Aspekte. Einmal gab es ja lange die Diskussion, dass der Defender grottenschlecht sei – der Kasper… und der McAffee oder wie sie alle heißen, wären besser. Der Artikel zeigt, wie der Windows Defender samt nachgelagerter Intelligenz die Erkennung von Angriffen beeinflusst – fand ich persönlich schon spannend.

        Im Sinne der Theorie: Nimm die richtige Schlagzeile, dann wird's gelesen, hat es wohl funktioniert. Der Blog-Beitrag hat schon fast 2.000 Abrufe gesehen – das Thema interessiert wohl ;-).

        • Dekre sagt:

          Der Betrag ist schon gut, Günter. Danke.
          Ich nutze ja nur die Lösung von MS mit MSE (Win7) und Defender (Win10). Das dann im Verbund mit Malwarebytes. Von den Tests halte ich sowieso nichts. Da "gewinnen" immer teure Kaufvarianten, die das System verlangsamen mit komischen Versuchsanordnungen. Die anderen AV-Hersteller schreien ja auch laut in die Welt, was sie gerade Neues entdecken können.

  3. Günter Born sagt:

    Wunderbare Ergänzung zum Thema. Gerade wurde ruchbar, dass Internetprovider in Ägypten, Syrien und in der Türkei Download-Links zu offizieller Software (Opera etc.) so manipulieren, dass die Leute sich Finfisher herunterladen und installieren.

    Quelle: cyberscoop.com.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.