Da hat Microsoft gut reagiert. Mit dem Windows Defender konnte eine Malware-Kampagne gestoppt werden, die binnen 12 Stunden versuchte, 400.000 Nutzer zu infizieren.
Anzeige
Reagiere, tue gutes und sprich darüber. So lässt sich das Ganze in wenigen Worten zusammenfassen. Microsoft hat gerade in einem Blog-Beitrag bekannt gegeben, wie man mit Verhaltens-basiertem Monitoring, kombiniert mit maschinellem Lernen, eine massive Malware-Kampagne zur Verbreitung eines Crypto-Miners stoppen konnte.
Angriff am 6. März 2018
Kurz vor Mittag am 6. März 2018 (Redmond-Zeit) blockierte der Windows Defender (Antiviruslösung) mehr als 80.000 Instanzen mehrerer ausgeklügelter Trojaner. Diese benutzten fortschrittliche, prozessübergreifende Injektionstechniken, Persistenzmechanismen und Ausweichmethoden zur Verbreitung.
Verhaltensbasierte Signale, gekoppelt mit Cloud-basierten maschinellen Lernmodellen, deckten diese neue Welle von Infektionsversuchen bei Microsoft aber auf. Die Trojaner, die neue Varianten von Dofoil (auch Smoke Loader genannt) sind, tragen einen Miner als Nutzlast.
(Dofail-Ausbruch, Quelle: Microsoft)
Binnen der nächsten 12 Stunden wurden mehr als 400.000 Infektionsversuche registriert. Davon fanden 73% in Russland statt. Auf die Türkei entfielen 18% und auf die Ukraine 4% der weltweiten Angriffe.
Der Windows Defender schlägt Alarm
Die Windows Defender Antivirus-Lösung von Microsoft erkannte und markierte zunächst den ungewöhnlichen Persistenzmechanismus des Angriffs durch Verhaltensüberwachung. Dieses verhaltensbasierte Signal wurde sofort an den Microsoft Cloud-Schutzdienst geschickt. Dann lief die Schutzmachinerie an:
- Innerhalb von Millisekunden blockierten mehrere metadatenbasierte maschinelle Lernmodelle in der Cloud diese Bedrohungen auf den ersten Blick.
- Sekunden später verifizierten auch die samplebasierten und detonationsbasierten maschinellen Lernmodelle von Microsoft die Klassifikation als 'böswillig'.
- Innerhalb von Minuten fügten detonationsbasierte Modelle zusätzliche Bestätigungen hinzu.
- Innerhalb weniger Minuten wurde Microsoft durch einen Anomalie-Erkennungsalarm über einen neuen potenziellen Ausbruch informiert.
Nach der Analyse der Schadsoftware hat das Microsoft Response-Team den Klassifikationsnamen (Dofoil) dieser neuen Welle von Bedrohungen für die richtigen Malware-Familien aktualisiert. Nutzer, die zu Beginn der Malware-Kampagne von diesen Infektionsversuchen betroffen waren, erhielten Blockierungsbenachrichtigungen Namen wie Fuery, Fuerboos, Cloxer oder Azden. Später wurden die Blockade-Nachrichten mit den Eigennamen Dofoil oder Coinminer angezeigt.
Wer Windows 10 und Windows 8.1 mit dem Windows Defender oder Windows 7 mit Windows Defender AV oder Microsoft Security Essentials verwendet hat, war vor diesem Angriff geschützt.
Anzeige
Die Malware versuchte Electroneum Krypto-Geld zu schürfen. Die kontaktierten C&C-Server gehörten zum dezentralisierten Namecoin-Netzwerk. Wer sich für die Details interessiert, kann sich in diesem Blog-Beitrag informieren. (via)
2015
Zum Glück hab ich Secrurity Essentials auf den Windows Servern laufen :)
Das erwartet man eigentlich von einem AV-Programm und erst recht bei MSE auf Win7. Wir sollten nicht den Einzelfall loben.
Na ja, erwarten wir nicht alle von MS, Apple, Google, etc., dass es wie gewünscht funktioniert?
DASS es mal funktioniert ist schon eine Meldung wert, oder?
Traurig, aber Realität.
Die Sache hat mehrere Aspekte. Einmal gab es ja lange die Diskussion, dass der Defender grottenschlecht sei – der Kasper… und der McAffee oder wie sie alle heißen, wären besser. Der Artikel zeigt, wie der Windows Defender samt nachgelagerter Intelligenz die Erkennung von Angriffen beeinflusst – fand ich persönlich schon spannend.
Im Sinne der Theorie: Nimm die richtige Schlagzeile, dann wird's gelesen, hat es wohl funktioniert. Der Blog-Beitrag hat schon fast 2.000 Abrufe gesehen – das Thema interessiert wohl ;-).
Der Betrag ist schon gut, Günter. Danke.
Ich nutze ja nur die Lösung von MS mit MSE (Win7) und Defender (Win10). Das dann im Verbund mit Malwarebytes. Von den Tests halte ich sowieso nichts. Da "gewinnen" immer teure Kaufvarianten, die das System verlangsamen mit komischen Versuchsanordnungen. Die anderen AV-Hersteller schreien ja auch laut in die Welt, was sie gerade Neues entdecken können.
Wunderbare Ergänzung zum Thema. Gerade wurde ruchbar, dass Internetprovider in Ägypten, Syrien und in der Türkei Download-Links zu offizieller Software (Opera etc.) so manipulieren, dass die Leute sich Finfisher herunterladen und installieren.
Quelle: cyberscoop.com.