In Deutschland und Österreich sowie in vielen anderen Ländern der Welt gibt es für Strafverfolgungsbehörden die Möglichkeit einer Online-Durchsuchung. Dabei wird unbemerkt Spyware auf den Rechner eines Bürgers installiert, oftmals auch, indem sich Behörden Zugriff zur Wohnung eines Verdächtigen verschaffen.
Genutzt wird dafür meist die Software der europäischen Gamma Group, welche FinFisher genannt wird. Die Spyware, welche auch von der deutschen Bundesregierung genutzt wird, ist außerordentlich gut entwickelt und kann beispielsweise entdecken, wenn sie isoliert ausgeführt wird, um so zu verhindern, dass sie in einer virtuellen Maschine oder Sandbox läuft, um analysiert zu werden.
Microsoft knackt Bundestrojaner
Dennoch hat die Forschungsabteilung bei Microsoft es offenbar geschafft, die Software zu analysieren und Eigenschaften auszumachen, welche die Erkennung ermöglichen. Microsofts Advanced Threat Protection in Office 365 analysiert beispielsweise in Unternehmen die Anhänge, um sicherzugehen, dass sich darin keine Viren befinden. Microsoft hat die Mechanismen von ATP nun so erweitert, dass diese verhindern, dass FinFisher erkennen kann, dass es in einer Sandbox ausgeführt wird. Zudem kann der Windows Defender nun verhindern, dass der Bundestrojaner ein Abbild des Arbeitsspeichers erstellen kann.
Analyse für Suche nach Sicherheitslücken
Microsoft hat sich die Mühe des Reverse Engineering von einer der ausgeklügeltsten Schadsoftware der Welt gemacht, um einerseits die eigenen Nutzer davor zu schützen und, um andererseits auf diese Art und Weise Sicherheitslücken zu finden, welche Regierungen ausgenutzt haben könnten. Das Unternehmen merkt im Blogpost an, dass man etwas enttäuscht war, keinen Exploit zur Privilege Escalation gefunden zu haben. Man musste allerdings für die Analyse sehr spezielle Tools verwenden, da sich diese Software sozusagen aktiv gegen die Analyse wehrt.
Microsoft beschreibt im Blogpost allerdings nicht nur, wie man mit dem Knacken der Software die Sicherheit der Nutzer erhöht hat, sondern macht viele Mechanismen der Viren direkt öffentlich. Man musste sechs Schichten der Sicherheit knacken, welche den Kern der Spyware schützen. FinFisher nutzt dabei vor allem DLL-Sideloading und versucht auf diese Art und Weise, Vollzugriff auf das System zu erlangen. Microsoft hat zudem publik gemacht, dass es einen Plugins-Abschnitt in der Software gibt, womit diese erweitert werden kann. Man hat ein Beispiel für ein Plugin entdeckt, worüber Internetverbindungen ausspioniert werden, selbst dann, wenn der Traffic verschlüsselt ist.
Quelle: Microsoft
