ATP meldet FinFishers Malware. Im Bild sieht man die Anzeige zweier verdächtiger Threads.
FinFisher zog alle Tricks zur Verschleierung
Die Aufgabe erwies sich demnach alles andere als trivial. FinFisher scheut sich nicht davor, alle möglichen Tricks anzuwenden, so Microsoft: "von Junk-Anweisungen und 'Spaghetti-Code' über mehrere Schichten virtueller Maschinen bis hin zu bekannten und weniger bekannten Anti-Debug- und Abwehrmaßnahmen", versucht der Trojaner unter dem Radar zu bleiben."Eine andere Kategorie von Malware"
Sicherheitsanalysten sind typischerweise mit den Tools ausgestattet, um eine ganze Reihe ähnlicher Tricks bei Malware-Untersuchungen auszumerzen und so die Erkennung einer Bedrohung zu ermöglichen. FinFisher gehört jedoch in eine andere Kategorie von Malware, was den Grad des Anti-Analyse-Schutzes angeht. "Es ist ein kompliziertes Rätsel, das von erfahrenen Reverse Engineers nur mit viel Zeit, Code, Automatisierung und Kreativität gelöst werden kann", so Microsoft. Dennoch werden die Versuche von FinFisher, Schadcode auf Fremdsysteme zu bringen jetzt in den Defender ATP-Protokollen aufgeführt.Man habe die Malware dahingehend entschlüsseln können, das die bisher genutzten Maskierungsversuche in der Advanced Threat Protection die Alarmglocken läuten lässt.
Windows Defender ATP "Advanced Threat Protection" gehört zu den Windows 10-Features, die sich an IT-Profis wenden. Der Dienst bietet eine Bedrohungserkennung und Schutz vor Schadcode, allerdings derzeit noch nicht für Endkunden. Dass die Erkennung nun aber geglückt ist, ist ein guter Schritt in die richtige Richtung.