Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Microsoft Defender bekommt AI-gestützte Ransomware-Bremse

Microsoft hat seinem kostenpflichtigen Defender for Endpoint fürs Geschäftsumfeld eine weitere Schutzschicht verpasst. Diese soll spezielle Ransomware-Angriffe mithilfe von maschinellem Lernen besser erkennen und blockieren können.

Der Hersteller beschreibt den neuen Ansatz und erste Ergebnisse folgendermaßen: In von Menschen kontrollierten Ransomware-Angriffen nutzten diese nach dem Eindringen in einen Rechner schlussendlich die Tastatur, um sich im Netzwerk zu bewegen. Will sagen: Angreifer geben etwa Befehle auf einer Kommandozeile ein. Der automatische Cloud-basierte Schutz des Windows Defenders hat nun ein maschinelles Lern-System zum Schutz vor solchen Angriffen erhalten, das den Gefährdungsstatus des Rechners bewertet und gegebenenfalls aggressivere Blockaden nutzt, um das Gerät zu schützen und weitere Schritte der Angreifer zu verhindern.
Vereinfacht gesagt, erkennt das Cloud-System anhand von Verhaltensweisen und -mustern, dass das Gerät gefährdet ist – etwa durch die Injektion von Systemcode und anschließende Nutzung des Aufgabenplaners. Daraufhin regelt es die weiteren (heuristischen) Bewertungen auf größere Empfindlichkeit. Dadurch werden dann schon eigentlich unscheinbare, vermeintlich harmlose Aktionen blockiert. Die Datenpunkte erhebt dabei etwa das Verhaltenserkennungsmodul vom Defender. Ohne Nachregeln der Sensibilität würde der in den einzelnen Aktionen noch keine Gefahr erkennen.

Da der adaptive Schutz KI-gestützt arbeite, hänge die Risikobewertung des Geräts nicht nur von individuellen Indikatoren ab. Die KI nutze eine große Anzahl an Mustern und Merkmalen zur Einschätzung, ob das System gerade attackiert werde. Diese Fähigkeiten seien besonders geeignet, von Menschen aktiv gesteuerte Ransomware zu bekämpfen. Selbst wenn Angreifer eine noch nicht oder als gutartig bekannte Datei oder sogar einen legitimen Prozess nutzten, könne das System dazu beitragen, den Start der Datei oder des Prozesses zu verhindern.

Konkrete Verbesserung​

Microsoft berichtet in seinem Sicherheits-Blog-Beitrag zu dem KI-Mechanismusvon einem konkreten Fall, in dem die Nachregelung der Erkennungsempfindlichkeit schließlich eine Banking-Malware namens Cridex stoppen konnte. Ohne den KI-Schutz wäre der Trojaner aktiv geworden und hätte den Angreifern Zugang gewährt, sie hätten weitere Schäden anrichten können. Die Blockade gelang durch die Berücksichtigungen von Indikatoren, die andernfalls nur geringe Priorität für eine Abwehrreaktion erhalten hätten.

Derweil diskutieren Spezialisten für Angriffssimulationen (Red Teamer) und Incidence Response, wie sich der Schutz durch Defender umgehen ließe. So demonstriert ein Sicherheitsforscher, wie er anscheinend ein eigentlich erkanntes, typisches Angriffsmuster durch simples Umbenennen von Dateien dennoch ausführen kann.
Du musst angemeldet sein, um Bilder zu sehen.
mr.d0x@mrd0x
Here I bypassed Defender AV by making: .eyb files as .exe .faq files as .dll I'm sure this can work on other security solutions and for many other blacklisted techniques. (1/2)

Du musst angemeldet sein, um Bilder zu sehen.
17.11.2021, 18:39:19 via Twitter

Für Neugierige: Dieses Beispiel demonstriert eine bekannte Angriffstechnik namens Living of the Land. Dabei missbrauchen Angreifer legitime Tools wie regsrv32.exe für ihre Zwecke. In diesem Fall lädt das Kommando ein bösartiges Skript von einem externen Server und führt es auch gleich aus. Da dies im regsrv32-Kontext geschieht, greifen Schutzmaßnahmen wie White Listing nicht. Im ersten Versuch blockiert Defender den Zugriff; nach dem Umbenennen gelingt der Angriff. Allerdings ist nicht klar, ob bei diesem Experiment Microsofts neue KI bereits aktiv war.

Microsoft hat die neuen Defender-Funktionen nun für alle Geschäftskunden freigeschaltet. Um sie zu nutzen, solle der Cloud-Schutz aktiviert werden, so er es noch nicht ist. Noch ist es zu früh für eine abschließende Bewertung. Sollte sich jedoch tatsächlich herausstellen, dass die Schutzfunktion der KI beziehungsweise der regelbasierten Heuristik zu nennenswerten Teilen auf leicht zu ändernden Merkmalen wie Dateinamen beruht, wäre deren Nutzen sehr beschränkt. Denn Angreifer würden rasch lernen, wie sie das umgehen können.

Quelle: heise
 
Zurück
Oben