Microsoft vs. FinFisher: Windows Defender ist gegen den Staatstrojaner gewappnet

Microsoft hat den Staatstrojaner des deutsch-britischen Unternehmens FinFisher auseinandergenommen und den Windows Defender sowie Office 365 mit den gewonnenen Erkenntnissen trainiert. Beide Produkte sollten nun besser gegen ähnliche Angriffe schützen.

In Pocket speichern vorlesen Druckansicht 239 Kommentare lesen
Microsoft gegen FinFisher: Windows Defender gegen den Staatstrojaner gewappnet

(Bild: Gorodenkoff/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Die hochentwickelte Malware FinFisher der gleichnamigen deutsch-britischen Firma wird an Strafverfolger und andere staatliche Behörden vertrieben, die damit die Rechner von Verdächtigen durchsuchen oder sogar fernsteuern können. Microsoft kämpft bereits seit Jahren mit verschiedenen Versionen des Trojaners der Firma und den Sicherheitslücken, die ausgenutzt werden, um die Schadsoftware auf die Geräte von Zielen zu schleusen. So hat Microsoft zum Beispiel im September 2017 eine Sicherheitslücke im .NET-Framework (CVE-2017-8759) geschlossen, die von FinFisher missbraucht wurde. Die Firma nahm sich außerdem den Schadcode selbst vor, um die verschiedenen Sicherheitstechniken in Windows und Office 365 gegen ihn abzuhärten.

Microsofts Sicherheitsforscher haben ihre Ergebnisse nun der Öffentlichkeit präsentiert. Das sei kein einfaches Unterfangen gewesen, räumt die Firma ein. Sie habe neue Techniken entwickeln müssen, um dem Schadcode zu Leibe zu rücken. FinFisher sei sehr komplexe Malware, erläutert Microsoft. Demnach schützt sich FinFisher durch verschiedene Ebenen von virtuellen Maschinen und Quellcode, der mit seinen Irrungen und Wirrungen Sicherheitsforscher davon abhalten soll, ihm zu Leibe zu rücken. Solche Schutzmechanismen gegen die Anstrengungen von Sicherheitsforschern und deren Analyse-Software sind mittlerweile bei vielen Trojanern Usus, FinFisher spiele aber in einer ganz eigenen Liga, sagen die Microsoft-Forscher.

So sieht ein FinFisher-Angriff in der Oberfläche von Windows Defender ATP aus.

(Bild: Microsoft)

Mit den gewonnenen Erkenntnissen hat Microsoft nun die Advanced Threat Protection (APT) von Windows Defender und Office 356 verbessert. Office 365 führt verdächtige Dateien in einer Sandbox aus und analysiert deren Verhalten – laut Microsoft ist es nun für FinFisher-ähnliche Schadprogramme schwieriger, diese Sandbox zu entdecken. Windows Defender hat außerdem gelernt, die raffinierten Techniken, die FinFisher zum Verbreiten und Ausführen seiner Malware einsetzt, besser zu erkennen und ähnliche Angriffe so zu neutralisieren.

Der Blog-Eintrag der Microsoft-Mitarbeiter enthält viele interessante Details und am Ende des Artikels außerdem weiterführende Links. Sie wollten so das erarbeitete Wissen anderen Sicherheitsfirmen und der Forschergemeinde im Allgemeinen zur Verfügung stellen. Das ist auch bitter nötig, da die Entwickler von FinFisher ihre verschiedenen Angriffs- und Anti-AV-Techniken ebenfalls ständig weiterentwickeln werden. Sie verdienen schließlich gutes Geld mit ihrer Software, denn staatliche Stellen zahlen gut für solche Staatstrojaner. Und so wird das Katz-und-Maus-Spiel zwischen AV-Herstellern und Betriebssystem-Entwicklern auf der einen und Malware-Schreibern auf der anderen Seite auch auf absehbare Zeit weitergehen.

tipps+tricks zum Thema:

(fab)