Defender in Windows 10 erkennt nun Bundestrojaner

6

In Deutschland und Österreich sowie in vielen anderen Ländern der Welt gibt es für Strafverfolgungsbehörden die Möglichkeit einer Online-Durchsuchung. Dabei wird unbemerkt Spyware auf den Rechner eines Bürgers installiert, oftmals auch, indem sich Behörden Zugriff zur Wohnung eines Verdächtigen verschaffen.

Genutzt wird dafür meist die Software der europäischen Gamma Group, welche FinFisher genannt wird. Die Spyware, welche auch von der deutschen Bundesregierung genutzt wird, ist außerordentlich gut entwickelt und kann beispielsweise entdecken, wenn sie isoliert ausgeführt wird, um so zu verhindern, dass sie in einer virtuellen Maschine oder Sandbox läuft, um analysiert zu werden.

Microsoft knackt Bundestrojaner

Dennoch hat die Forschungsabteilung bei Microsoft es offenbar geschafft, die Software zu analysieren und Eigenschaften auszumachen, welche die Erkennung ermöglichen. Microsofts Advanced Threat Protection in Office 365 analysiert beispielsweise in Unternehmen die Anhänge, um sicherzugehen, dass sich darin keine Viren befinden. Microsoft hat die Mechanismen von ATP nun so erweitert, dass diese verhindern, dass FinFisher erkennen kann, dass es in einer Sandbox ausgeführt wird. Zudem kann der Windows Defender nun verhindern, dass der Bundestrojaner ein Abbild des Arbeitsspeichers erstellen kann.

Analyse für Suche nach Sicherheitslücken

Microsoft hat sich die Mühe des Reverse Engineering von einer der ausgeklügeltsten Schadsoftware der Welt gemacht, um einerseits die eigenen Nutzer davor zu schützen und, um andererseits auf diese Art und Weise Sicherheitslücken zu finden, welche Regierungen ausgenutzt haben könnten. Das Unternehmen merkt im Blogpost an, dass man etwas enttäuscht war, keinen Exploit zur Privilege Escalation gefunden zu haben. Man musste allerdings für die Analyse sehr spezielle Tools verwenden, da sich diese Software sozusagen aktiv gegen die Analyse wehrt.

Microsoft beschreibt im Blogpost allerdings nicht nur, wie man mit dem Knacken der Software die Sicherheit der Nutzer erhöht hat, sondern macht viele Mechanismen der Viren direkt öffentlich. Man musste sechs Schichten der Sicherheit knacken, welche den Kern der Spyware schützen. FinFisher nutzt dabei vor allem DLL-Sideloading und versucht auf diese Art und Weise, Vollzugriff auf das System zu erlangen. Microsoft hat zudem publik gemacht, dass es einen Plugins-Abschnitt in der Software gibt, womit diese erweitert werden kann. Man hat ein Beispiel für ein Plugin entdeckt, worüber Internetverbindungen ausspioniert werden, selbst dann, wenn der Traffic verschlüsselt ist.


Quelle: Microsoft

Über den Autor

23 Jahre alt, Redakteur bei WindowsArea.de, Windows Insider MVP.

neuste älteste beste Bewertung
Benachrichtige mich zu:
derformfaktor
Mitglied
derformfaktor

Das dürfte die Spionagedienste erstmal ’ne Weile beschäftigen.
Aber wenn das eigene System mit solch einem Bundestrojaner infiziert wird, kann man dann gegen seine Regierung klagen, aufgrund Missachtung diverser Gesetze, u.a. dem Datenschutzgesetz? ?

TylerDurden
Mitglied
TylerDurden

Klar, dein Anwalt kontaktiert dich dann direkt in Guantanamo.?

Gorbowski
Mitglied
Gorbowski

Der Witz ist ja, dass der Bundestrojaner in der Lage ist Daten auf dem betreffenden Rechner zu verändern. Das macht sämtliche Erkenntnisse für Gerichtsverhandlungen und somit für polizeiliche Ermittlungen wertlos. Bleibt nur die Verwendung als Spionagetool für geheimdienstliche Belange und zum Unterschieben von belastendem Material.

derformfaktor
Mitglied
derformfaktor

Und noch schlimmer ist, dass wir das alle scheinbar arglos hinnehmen (müssen). Darauf wäre selbst die Stasi neidisch gewesen…

obiwaahn
Mitglied
obiwaahn

Das sorgt wohl für lange gesichter?

TylerDurden
Mitglied
TylerDurden

Microsoft schützt uns vor Heiko & Friends!??