Spionage-Software FinFisher 07.03.2018, 15:32 Uhr

Windows Defender ist für Staatstrojaner gerüstet

Microsoft ist es gelungen, den Staatstrojaner FinFisher per Reverse Engineering zu knacken. Die gewonnen Erkenntnisse fliessen nun in Form von neuen Security Features in den Windows Defender ein.
Spyware
(Quelle: venimo / Shutterstock.com)
Microsofts Security-Dienste der Windows-Defender-Reihe können nun auch Attacken des Staatstrojaners FinFisher erkennen und abwehren. Die Redmonder haben die Spionage-Software per Reverse Engineering analysiert und die dadurch gewonnenen Erkenntnisse in eigenen Sicherheitslösungen einfliessen lassen.
Zumindest eine Schwachstelle, die von der Überwachungs-Software FinFisher ausgenutzt wird, hat Microsoft schon mit dem Fall Creators Update abgedichtet. Nach einer aufwendigen Analyse dürften Microsofts Abwehrtechniken nun aber noch besser gegen komplexe Trojaner gewappnet sein. Bei FinSpy oder FinFisher handelt es sich um eine Schnüffel-Software der FinFinsher GmbH mit Sitz in München. Das Spionagewerkzeug wurde in den vergangenen Jahren weltweit an Strafverfolgungsbehörden verkauft.
Im Unternehmens-Blog zu Office 365 Threat Research beschreiben die Sicherheitsforscher das schwierige Aufsplitten des «Spaghetti-Codes». Von Spaghetti-Code spricht man, wenn viele zusätzliche Codezeilen (Sprünge) eingeschleust wurden, um andere Entwickler zu verwirren.

Besserer Schutz für Windows Defender

Nun soll neben Microsofts Sicherheitsprogramm Office 365 Advanced Thread Protection, das mit einem neuen Schutz in der Sandbox-Erkennung aufwartet, auch der Windows Defender empfindlicher auf Angriffstechniken von Trojanern wie FinFisher reagieren. Dieser soll jetzt auch über verschiedene Angriffstechniken wie das unerwünschte Einschleusen von Code im Arbeitsspeicher reagieren.
Insgesamt hätten die Experten bei der FinFisher-Analyse sechs Layer ausfindig gemacht und daraus je eine Stufe zur Angriffsabsicherung eingebunden. Die ganze Untersuchung sei äusserst aufwendig gewesen, weil diese auch mit virtuellen Maschinen nicht möglich gewesen wäre. Die Redmonder mussten stattdessen auf einen modularen Werkzeugkasten mit mehreren Plug-ins zurückgreifen.


Das könnte Sie auch interessieren