Microsoft hat seinem kostenpflichtigen Defender for Endpoint fürs Geschäftsumfeld eine weitere Schutzschicht verpasst. Diese soll spezielle Ransomware-Angriffe mithilfe von maschinellem Lernen besser erkennen und blockieren können.
Der Hersteller beschreibt den neuen Ansatz und erste Ergebnisse folgendermaßen: In von Menschen kontrollierten Ransomware-Angriffen nutzten diese nach dem Eindringen in einen Rechner schlussendlich die Tastatur, um sich im Netzwerk zu bewegen. Will sagen: Angreifer geben etwa Befehle auf einer Kommandozeile ein. Der automatische Cloud-basierte Schutz des Windows Defenders hat nun ein maschinelles Lern-System zum Schutz vor solchen Angriffen erhalten, das den Gefährdungsstatus des Rechners bewertet und gegebenenfalls aggressivere Blockaden nutzt, um das Gerät zu schützen und weitere Schritte der Angreifer zu verhindern.
Vereinfacht gesagt, erkennt das Cloud-System anhand von Verhaltensweisen und -mustern, dass das Gerät gefährdet ist – etwa durch die Injektion von Systemcode und anschließende Nutzung des Aufgabenplaners. Daraufhin regelt es die weiteren (heuristischen) Bewertungen auf größere Empfindlichkeit. Dadurch werden dann schon eigentlich unscheinbare, vermeintlich harmlose Aktionen blockiert. Die Datenpunkte erhebt dabei etwa das Verhaltenserkennungsmodul vom Defender. Ohne Nachregeln der Sensibilität würde der in den einzelnen Aktionen noch keine Gefahr erkennen.
Da der adaptive Schutz KI-gestützt arbeite, hänge die Risikobewertung des Geräts nicht nur von individuellen Indikatoren ab. Die KI nutze eine große Anzahl an Mustern und Merkmalen zur Einschätzung, ob das System gerade attackiert werde. Diese Fähigkeiten seien besonders geeignet, von Menschen aktiv gesteuerte Ransomware zu bekämpfen. Selbst wenn Angreifer eine noch nicht oder als gutartig bekannte Datei oder sogar einen legitimen Prozess nutzten, könne das System dazu beitragen, den Start der Datei oder des Prozesses zu verhindern.
Derweil diskutieren Spezialisten für Angriffssimulationen (Red Teamer) und Incidence Response, wie sich der Schutz durch Defender umgehen ließe. So demonstriert ein Sicherheitsforscher, wie er anscheinend ein eigentlich erkanntes, typisches Angriffsmuster durch simples Umbenennen von Dateien dennoch ausführen kann.
mr.d0x
Here I bypassed Defender AV by making: .eyb files as .exe .faq files as .dll I'm sure this can work on other security solutions and for many other blacklisted techniques. (1/2)
Für Neugierige: Dieses Beispiel demonstriert eine bekannte Angriffstechnik namens Living of the Land. Dabei
Microsoft hat die neuen Defender-Funktionen nun für alle Geschäftskunden freigeschaltet. Um sie zu nutzen, solle der Cloud-Schutz aktiviert werden, so er es noch nicht ist. Noch ist es zu früh für eine abschließende Bewertung. Sollte sich jedoch tatsächlich herausstellen, dass die Schutzfunktion der KI beziehungsweise der regelbasierten Heuristik zu nennenswerten Teilen auf leicht zu ändernden Merkmalen wie Dateinamen beruht, wäre deren Nutzen sehr beschränkt. Denn Angreifer würden rasch lernen, wie sie das umgehen können.
Quelle: heise
Der Hersteller beschreibt den neuen Ansatz und erste Ergebnisse folgendermaßen: In von Menschen kontrollierten Ransomware-Angriffen nutzten diese nach dem Eindringen in einen Rechner schlussendlich die Tastatur, um sich im Netzwerk zu bewegen. Will sagen: Angreifer geben etwa Befehle auf einer Kommandozeile ein. Der automatische Cloud-basierte Schutz des Windows Defenders hat nun ein maschinelles Lern-System zum Schutz vor solchen Angriffen erhalten, das den Gefährdungsstatus des Rechners bewertet und gegebenenfalls aggressivere Blockaden nutzt, um das Gerät zu schützen und weitere Schritte der Angreifer zu verhindern.
Vereinfacht gesagt, erkennt das Cloud-System anhand von Verhaltensweisen und -mustern, dass das Gerät gefährdet ist – etwa durch die Injektion von Systemcode und anschließende Nutzung des Aufgabenplaners. Daraufhin regelt es die weiteren (heuristischen) Bewertungen auf größere Empfindlichkeit. Dadurch werden dann schon eigentlich unscheinbare, vermeintlich harmlose Aktionen blockiert. Die Datenpunkte erhebt dabei etwa das Verhaltenserkennungsmodul vom Defender. Ohne Nachregeln der Sensibilität würde der in den einzelnen Aktionen noch keine Gefahr erkennen.
Da der adaptive Schutz KI-gestützt arbeite, hänge die Risikobewertung des Geräts nicht nur von individuellen Indikatoren ab. Die KI nutze eine große Anzahl an Mustern und Merkmalen zur Einschätzung, ob das System gerade attackiert werde. Diese Fähigkeiten seien besonders geeignet, von Menschen aktiv gesteuerte Ransomware zu bekämpfen. Selbst wenn Angreifer eine noch nicht oder als gutartig bekannte Datei oder sogar einen legitimen Prozess nutzten, könne das System dazu beitragen, den Start der Datei oder des Prozesses zu verhindern.
Konkrete Verbesserung
Microsoft berichtet in seinemDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
von einem konkreten Fall, in dem die Nachregelung der Erkennungsempfindlichkeit schließlich eine Banking-Malware namens Cridex stoppen konnte. Ohne den KI-Schutz wäre der Trojaner aktiv geworden und hätte den Angreifern Zugang gewährt, sie hätten weitere Schäden anrichten können. Die Blockade gelang durch die Berücksichtigungen von Indikatoren, die andernfalls nur geringe Priorität für eine Abwehrreaktion erhalten hätten.Derweil diskutieren Spezialisten für Angriffssimulationen (Red Teamer) und Incidence Response, wie sich der Schutz durch Defender umgehen ließe. So demonstriert ein Sicherheitsforscher, wie er anscheinend ein eigentlich erkanntes, typisches Angriffsmuster durch simples Umbenennen von Dateien dennoch ausführen kann.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Here I bypassed Defender AV by making: .eyb files as .exe .faq files as .dll I'm sure this can work on other security solutions and for many other blacklisted techniques. (1/2)
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Für Neugierige: Dieses Beispiel demonstriert eine bekannte Angriffstechnik namens Living of the Land. Dabei
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
für ihre Zwecke. In diesem Fall lädt das Kommando ein bösartiges Skript von einem externen Server und führt es auch gleich aus. Da dies im regsrv32-Kontext geschieht, greifen Schutzmaßnahmen wie White Listing nicht. Im ersten Versuch blockiert Defender den Zugriff; nach dem Umbenennen gelingt der Angriff. Allerdings ist nicht klar, ob bei diesem Experiment Microsofts neue KI bereits aktiv war.Microsoft hat die neuen Defender-Funktionen nun für alle Geschäftskunden freigeschaltet. Um sie zu nutzen, solle der Cloud-Schutz aktiviert werden, so er es noch nicht ist. Noch ist es zu früh für eine abschließende Bewertung. Sollte sich jedoch tatsächlich herausstellen, dass die Schutzfunktion der KI beziehungsweise der regelbasierten Heuristik zu nennenswerten Teilen auf leicht zu ändernden Merkmalen wie Dateinamen beruht, wäre deren Nutzen sehr beschränkt. Denn Angreifer würden rasch lernen, wie sie das umgehen können.
Quelle: heise
