Seit Windows 8 ist Windows Defender auf allen Windows PCs vorinstalliert und wird von IT Fachkräften oft belächelt - zu Unrecht wie sich kürzlich zeigte. Dem Windows Defender und dem damit verknüpfte Cloud Protection-Dienst von Microsoft ist es gelungen eine riesige Malware-Kampagne zu unterbinden.
Was ist passiert?
Kurz vor Mittag des 6. März (PST) blockierte Windows Defender Antivirus mehr als 80‘000 Instanzen mehrerer ausgeklügelter Trojaner (allesamt Varianten von Dofoil, auch bekannt als Smoke Loader). Verhaltensbasierte Signale, gekoppelt mit Cloud-betriebenen Machine Learning, konnte diese neue Welle von Infektionsversuchen aufdecken. Danke der frühen Erkennung des Angriffs konnte Microsoft so über 500‘000 PCs schützen. Innerhalb der nächsten 12 Stunden wurden mehr als 400‘000 weiter Fälle registriert und blockiert, wovon 73% in Russland, 18% in Türkei und 4% in der Ukraine auftauchten.
Cloud Protection-Dienst
Der Schlüssel ist der Cloud Protection-Dienst von Microsoft im Zusammenspiel mittels der Defender Technologie. Der Microsoft Defender sammelt Daten von laufenden Prozessen, welche wiederum vom Cloud Protection-Dienst analysiert und mittels Machine Learning bewertet werden. So ist es möglich binnen Millisekunden die Schadsoftware zu erkennen und diese daraufhin automatisch mit dem Windows Defender zu blockieren. Dies geschah auch an dem besagten 6. März. Der Windows Defender hat auf mehreren PCs ein ungewöhnliches Verhalten eines Programms registriert, woraufhin Microsofts Cloud Protection-Dienst eingeschaltet wurde. In den ersten Minuten sahen betroffene Nutzer nur, dass der Windows Defender einen neuen Virus namens Fuery, Fuerboos, Cloxer oder Azden blockiert hatte. Dies waren Namen, welche die Malware von den Machine Learning-Algorithmen, aufgrund Ähnlichkeiten des Schadcodes, automatisch zugwiesen wurde. Microsoft wurde daraufhin automatisch über eine möglich «Malware-Epidemie» benachrichtigt. Worauf die Klassifizierung der Schadsoftware angepasst und der korrekte Name für den Virus zugewiesen wurde (Dofoil).
Alle PCs mit Windows Defender waren geschützt
Der Angriff hätte die Malware namens Dofoil verbreiten sollen, welche auf den PCs infizierter Nutzer Cryptocoins errechnen sollte (Cryptocoin Mining genannt). Dofoil ist so aufgebaut, dass er über den Windows Dienst „svchost.exe“ weitere ausführbare Dateien und Anweisungen nachlädt und diese im System versteckt. Der folgende Link gibt detailliert Auskunft über den Aufbau der Malware und welche Komponenten im System verändert werden: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win32%2FDofoil
Dank Windows Defender und der Cloud Protection-Dienste, ist Microsoft also in der Lage den Ausbruch schwerwiegender Malware im Keim zu ersticken. Falls Sie noch Windows 7 PCs besitzen und auch von diesem Service profitieren möchten, können Sie dort den Windows Defender kostenlos nachinstallieren.
Möchten Sie mehr über die Technologie von Microsoft erfahren? Anbei finden Sie einen sehr interessanten Link. Microsoft erklärt in ihrem Blog sehr ausführlich anhand der Dofoil Malware wie die Prozesse funktionieren: https://cloudblogs.microsoft.com/microsoftsecure/2018/03/07/behavior-monitoring-combined-with-machine-learning-spoils-a-massive-dofoil-coin-mining-campaign