Microsoft: Windows Defender ATP stoppt Ransomware

Das ist zumindest das Ergebnis einer Studie zur Ransomware Cerber. Demnach kann Windows Defender ATP die Funktionsweise einer Ransomware erkennen und deren weitere Ausbreitung im Netzwerk verhindern. Das Sicherheitstool ist allerdings Windows 10 Enterprise vorbehalten.

Microsoft hat Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Sie war demnach zwischen 15. Dezember und 16. Januar für 26 Prozent aller Ransomware-Angriffe verantwortlich. Die Studie soll zudem belegen, das Windows Defender Advanced Threat Protection (ATP) in der Lage ist, die Verbreitung von Erpressersoftware im Firmennetzwerk einzudämmen, falls eine Desktop-Antivirensoftware einen Schädling ins System gelassen hat.

„Unsere Forschung zu verbreiteten Ransomware-Familien zeigt, dass sich Kampagnen über Tage oder sogar Wochen erstrecken können, währenddessen sie ähnliche Dateien und Techniken anwenden. Solange Unternehmen schnell die ersten Fälle einer Infektionen oder den ‚Patienten Zero‘ finden können, können sie oftmals eine Ransomware-Epidemie effektiv stoppen“, schreibt Tommy Blizard, Mitglied des Windows Defender ATP Research Team, in einem Blogeintrag.

Cerber ist mit einem Anteil von 26 Prozent die derzeit häufigste Ransomware (Bild: Microsoft).Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.

Unter anderem soll Windows Defender ATP einen PowerShell-Befehl erkannt haben, der benutzt wird, um Cerber zu verteilen. Zudem erstellte die Sicherheitssoftware eine Warnung, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen. „Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware“, ergänzte Blizard.

Windows Defender ATP erkannte der Studie zufolge aber auch, wie Cerber automatisch nach dem Download des Payload gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten Sicherheitsexperten zusätzliche Informationen und hälfen ihnen, einen Ransomware-Ausbruch zu verhindern.

„Die Forschung befürwortet Machine-Learning-Modelle und Algorithmen zur verhaltensbasierten Erkennung, um Ransomware in unterschiedlichen Stadien zu erkennen, von der Verteilung per E-Mail oder über Exploit-Kits bis zur dem Punkt, an dem Opfer das Lösegeld zahlen“, so Blizard weiter.

Windows Defender ATP ist Bestandteil der Enterprise-Version von Windows 10. Mit dem kommenden Creators Update erhält die Software neue Funktionen, mit denen Microsoft – wie auch mit der Studie zu Cerber – Unternehmen zum Umstieg auf Windows 10 bewegen will. Neue Sensoren können künftig beispielsweise nur im Speicher ausgeführte Malware und Kernel-Level-Exploits aufspüren. Neu ist auch die Möglichkeit, Informationsquellen hinzuzufügen. Microsoft integriert zudem neue Werkzeuge für die Isolierung infizierter Computer.

Zuverlässiger Schutz vor Ransomware

Ransomware heißt das aktuelle Schreckgespenst in der IT-Welt. Ob Privatanwender, Unternehmen oder öffentliche Institution: Praktisch jeder Internetnutzer hat Angst davor, dass er plötzlich nicht mehr auf seine Daten zugreifen kann, da sie verschlüsselt sind. Dabei bieten aktuelle Sicherheitslösungen wie Bitdefender 2017 zuverlässig Schutz vor dieser Erpressungssoftware.

[mit Material von Liam Tung, ZDNet.com]

Link zur Homepage:

[mit Material von Liam Tung, ZDNet.com]

Unsichere Apps: Millionen Kundendaten gefährdet

 

Unsichere Apps

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind – wegen eines zu laxen Umgangs mit der Authentifizierung.

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Original-Quelle:

http://www.golem.de