Microsoft brüstet sich mit Leistungsfähigkeit von Windows Defender ATP

Peter Marwan,
Ransomware (Bild: Shutterstock)

Das Unternehmen hat eine Untersuchung zur Erkennung von Ransomware durch sein Security-Tool vorgestellt. Die präsentierten Werte legen nahe, dass das für Windows 10 Enterprise konzipierte Windows Defender ATP zumindest die Erpressersoftware Cerber effektiv blockieren kann.

Microsoft rüstet im Bereich Sicherheit seit Jahren erheblich auf. Die Bemühungen werden teilweise aus wettbewerbsrechtlichen teilweise auch aus technischen Gründen skeptisch gesehen: Zumindest den bisherigen “Windows-Bordmitteln” wird unterstellt, einen lediglich unzureichenden Grundschutz zu liefern. Mit der Komponente Windows Defender will Microsoft diesbezüglich nachbessern, einige Neuerungen sollen mit dem sogenannten “Creators Update” im Frühjahr ausgeliefert werden. Noch einen Schritt weiter geht Microsoft mit Windows Defender ATP, das allerdsing zunächst nur für Windows 10 Enterprise angeboten wird.

Um Unternehmenskunden von der Leistungsfähigkeit des Angebots zu überzeugen hat Microsoft nun Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Auf diese Erpressersoftware entfielen demnach zwischen 15. Dezember und 16. Januar 26 Prozent aller Ransomware-Attacken. Die Untersuchung soll zudem belegen, dass Windows Defender Advanced Threat Protection (ATP) die Verbreitung von Erpressersoftware im Firmennetzwerk effektiv unterbinden kann, falls eine Desktop-Antivirensoftware deren Eindringen zugelassen hat.

Im Untersuchungszeitraum Mitte Dezember 2016 bis Mitte Januar 2017 war Cerber ist mit einem Anteil von 26 Prozent die derzeit häufigste Ransomware (Bild: Microsoft).
Im Untersuchungszeitraum Mitte Dezember 2016 bis Mitte Januar 2017 war Cerber mit einem Anteil von 26 Prozent die häufigste Ransomware (Bild: Microsoft).

Laut Tommy Blizard, Mitglied des Windows Defender ATP Research Team, hat Windows Defender ATP einen PowerShell-Befehl erkannt, der benutzt wird, um Cerber zu verteilen. Zudem warnte die Sicherheitssoftware, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen.

Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Zum Artikel »

“Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware”, so Blizard.

Windows Defender ATP erkannte ihm zufolge auch, wie Cerber nach dem Download des Payload automatisch gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten zusätzliche Informationen können dabei helfen, die interne Verbreitung von Ransomware zu verhindern.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.