Microsofts Security-Dienste der Windows-Defender-Reihe können nun auch Attacken des Staatstrojaners FinFisher erkennen und abwehren. Die Redmonder haben die Spionage-Software per Reverse Engineering analysiert und die dadurch gewonnenen Erkenntnisse in eigenen Sicherheitslösungen einfließen lassen.
Zumindest eine Schwachstelle, die von der Überwachungs-Software FinFisher ausgenutzt wird, hat Microsoft schon mit dem Fall Creators Update abgedichtet. Nach einer aufwendigen Analyse dürften Microsofts Abwehrtechniken nun aber noch besser gegen komplexe Trojaner gewappnet sein. Bei FinSpy oder FinFisher handelt es sich um eine Schnüffel-Software der FinFinsher GmbH mit Sitz in München. Das Spionagewerkzeug wurde in den vergangenen Jahren weltweit an Strafverfolgungsbehörden verkauft.
Im Unternehmens-Blog zu
Office 365 Threat Research beschreiben die Sicherheitsforscher das schwierige Aufsplitten des "Spaghetti-Codes". Von Spaghetti-Code spricht man, wenn viele zusätzliche Codezeilen (Sprünge) eingeschleust wurden, um andere Entwickler zu verwirren.
Nun soll neben Microsofts Sicherheitsprogramm Office 365 Advanced Thread Protection, das mit einem neuen Schutz in der Sandbox-Erkennung aufwartet, auch der Windows Defender empfindlicher auf Angriffstechniken von Trojanern wie FinFisher reagieren. Dieser soll jetzt auch über verschiedene Angriffstechniken wie das unerwünschte Einschleusen von Code im Arbeitsspeicher reagieren.
Insgesamt hätten die Experten bei der FinFisher-Analyse sechs Layer ausfindig gemacht und daraus je eine Stufe zur Angriffsabsicherung eingebunden. Die ganze Untersuchung sei äußerst aufwendig gewesen, weil diese auch mit virtuellen Maschinen nicht möglich gewesen wäre. Die Redmonder mussten stattdessen auf einen modularen Werkzeugkasten mit mehreren Plug-ins zurückgreifen.