Windows Defender ATP verhindert Cyberangriff

Durch Meldungen von Windows Defender Advanced Threat Protection (Windows Defender ATP) sind Sicherheitsforscher von Microsoft auf einen gezielten Cyberangriff aufmerksam geworden und konnten dank früher Erkennung weitreichende Folgen verhindern. Das beschreibt ein TechNet-Blogeintrag und geht dabei auf die Verwendung von Updatern für gefährliche Attacken ein, die oft schwer zu erkennen sind.

Wie sich herausstellte, hatten sich unbekannte Angreifer einen „ruhigen aber effektiven Angriffsvektor“ zu Nutze gemacht, nämlich den kompromittierten Update-Mechanismus oder die Software-Lieferkette für das Bearbeitungstool eines Drittanbieters. Aus Gewinnabsicht soll die Gruppe hinter „Operation WilySupply“ Softwarepakete von Drittanbietern mithilfe von Updatern und anderen Kanälen kompromittiert haben, um ihre Opfer zu erreichen. Angriffsziele waren überwiegend der Finanz- und Bezahlindustrie zuzuordnen. Andere angreifbare Rechner wurden auffällig ignoriert – die Hintermänner wollten offenbar möglichst unbemerkt agieren und beschränkten sich auf ausgewählte und für sie wertvolle Ziele.

Windows Defender ATP ist ein Dienst für Windows Enterprise, der geschäftliche Anwender vor komplexen Bedrohungen schützen soll. In diesem Fall stießen Forscher des ATP-Teams auf verdächtige PowerShell-Skripte, selbstlöschende ausführbare Dateien und andere Aktivitäten. Mit den Ansichten „Timeline“ und „Prozessbaum“ in der Konsole von Windows Defender ATP identifizierten sie die für die schädlichen Aktivitäten verantwortlichen Prozesse und konnten sie auf ein Update des fraglichen Bearbeitungstools zurückführen.

Die weitere Untersuchung führte zu einem als Service ausgeführten und legitimen Updater eines Drittanbieters, der zuvor eine unsignierte ausführbare Datei heruntergeladen hatte. Dabei handelte es sich um eine bösartige Binärdatei, die gebündelt PowerShell-Skripte sowie die Meterpreter Reverse Shell startete, um Kontrolle über den Rechner zu bekommen.

Ausgenutzt wurde somit die verbreitete Vertrauensbeziehung mit Software-Lieferketten. Microsoft verweist auf eine ganze Reihe bekannter Angriffe, bei denen diese allgemeine Angriffstechnik auf selbstaktualisierende Software und ihre Infrastruktur zum Einsatz kam. Das sei etwa bei den Attacken auf den EvLog-Update-Prozess von Altair Technologies, den Auto-Update-Mechanismus für die Software SimDisk und die Update-Server von ALZip von ESTsoft der Fall gewesen.

Die von Windows Defender aufgezeichneten Angriffsaktivitäten zeigten, dass sie mit einem nativen Systembefehl oder einen geskripteten Tool nur im Speicher durch PowerShell ausgeführt wurden. Laut Microsoft kommt diese In-Memory-Technik immer häufiger zum Einsatz, da die Angreifer somit offensichtliche Spuren auf der Festplatte vermeiden können. Auffällig war weiterhin die Verwendung gewöhnlicher Tools und verbreiteter Methoden. Damit könnten versierte Angreifer ihre Aktivitäten hinter dem typischen Rauschen bei Erkennungen verbergen und Threat-Intelligence-Systeme daran hindern, die beobachteten Angriffe mit bestimmten Akteuren in Verbindung zu bringen.

Laut Microsoft wurde Windows Defender ATP verbessert, um die Verwendung von Updatern als Angriffsfläche einzudämmen. „Dieser kann kompromittierte Updater erkennen“, versichert das Unternehmen. „Dies umfasst die beschriebenen Aktivitäten als Teil eines versuchten Cyberangriffs. Dafür analysiert Windows Defender ATP große Datensätze, um das normale Verhalten von Updatern kennenzulernen und bei Abweichungen Alarm zu schlagen.“