Windows Defender ATP verhindert Cyberangriff

Durch Meldungen von Windows Defender Advanced Threat Protection (Windows Defender ATP) sind Sicherheitsforscher von Microsoft auf einen gezielten Cyberangriff aufmerksam geworden und konnten dank früher Erkennung weitreichende Folgen verhindern. Das beschreibt ein TechNet-Blogeintrag und geht dabei auf die Verwendung von Updatern für gefährliche Attacken ein, die oft schwer zu erkennen sind.

Wie sich herausstellte, hatten sich unbekannte Angreifer einen „ruhigen aber effektiven Angriffsvektor“ zu Nutze gemacht, nämlich den kompromittierten Update-Mechanismus oder die Software-Lieferkette für das Bearbeitungstool eines Drittanbieters. Aus Gewinnabsicht soll die Gruppe hinter „Operation WilySupply“ Softwarepakete von Drittanbietern mithilfe von Updatern und anderen Kanälen kompromittiert haben, um ihre Opfer zu erreichen. Angriffsziele waren überwiegend der Finanz- und Bezahlindustrie zuzuordnen. Andere angreifbare Rechner wurden auffällig ignoriert – die Hintermänner wollten offenbar möglichst unbemerkt agieren und beschränkten sich auf ausgewählte und für sie wertvolle Ziele.

Windows Defender ATP ist ein Dienst für Windows Enterprise, der geschäftliche Anwender vor komplexen Bedrohungen schützen soll. In diesem Fall stießen Forscher des ATP-Teams auf verdächtige PowerShell-Skripte, selbstlöschende ausführbare Dateien und andere Aktivitäten. Mit den Ansichten „Timeline“ und „Prozessbaum“ in der Konsole von Windows Defender ATP identifizierten sie die für die schädlichen Aktivitäten verantwortlichen Prozesse und konnten sie auf ein Update des fraglichen Bearbeitungstools zurückführen.

Die weitere Untersuchung führte zu einem als Service ausgeführten und legitimen Updater eines Drittanbieters, der zuvor eine unsignierte ausführbare Datei heruntergeladen hatte. Dabei handelte es sich um eine bösartige Binärdatei, die gebündelt PowerShell-Skripte sowie die Meterpreter Reverse Shell startete, um Kontrolle über den Rechner zu bekommen.

HIGHLIGHT

WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Ausgenutzt wurde somit die verbreitete Vertrauensbeziehung mit Software-Lieferketten. Microsoft verweist auf eine ganze Reihe bekannter Angriffe, bei denen diese allgemeine Angriffstechnik auf selbstaktualisierende Software und ihre Infrastruktur zum Einsatz kam. Das sei etwa bei den Attacken auf den EvLog-Update-Prozess von Altair Technologies, den Auto-Update-Mechanismus für die Software SimDisk und die Update-Server von ALZip von ESTsoft der Fall gewesen.

Die von Windows Defender aufgezeichneten Angriffsaktivitäten zeigten, dass sie mit einem nativen Systembefehl oder einen geskripteten Tool nur im Speicher durch PowerShell ausgeführt wurden. Laut Microsoft kommt diese In-Memory-Technik immer häufiger zum Einsatz, da die Angreifer somit offensichtliche Spuren auf der Festplatte vermeiden können. Auffällig war weiterhin die Verwendung gewöhnlicher Tools und verbreiteter Methoden. Damit könnten versierte Angreifer ihre Aktivitäten hinter dem typischen Rauschen bei Erkennungen verbergen und Threat-Intelligence-Systeme daran hindern, die beobachteten Angriffe mit bestimmten Akteuren in Verbindung zu bringen.

Laut Microsoft wurde Windows Defender ATP verbessert, um die Verwendung von Updatern als Angriffsfläche einzudämmen. „Dieser kann kompromittierte Updater erkennen“, versichert das Unternehmen. „Dies umfasst die beschriebenen Aktivitäten als Teil eines versuchten Cyberangriffs. Dafür analysiert Windows Defender ATP große Datensätze, um das normale Verhalten von Updatern kennenzulernen und bei Abweichungen Alarm zu schlagen.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago