Windows Defender potrafi teraz wykrywać rządowy spyware

Microsoft wiele wysiłku wkłada w budowanie wizerunku firmy przejrzystej, jeśli chodzi o prywatność. Widzimy to w ostatnim podejściu do telemetrii czy prowadzonej nieugięcie batalii z rządem USA. Teraz firma opublikowała obszerny post o tym, jak wykryła i rozpracowała niepokojącą technologię FinFisher, używaną m.in. przez agencje rządowe do szpiegowania obywateli, oraz jak zwalczają ją Windows Defender i Office 365 ATP.

W 2017 r. Office 365 Advanced Threat Protection zablokował wiele groźnych 0day exploitów, ale według analiz Microsoftu jedna grupa ataków wyróżniała się znacząco. Pod jej wspólną nazwą NEODYMIUM odnotowano m.in. uzyskiwanie dostępu do wyrafinowanych exploitów na oprogramowanie Adobe i Microsoftu, ale też użycie na poziomie rządowym zaawansowanej formy oprogramowania szpiegującego FinFisher, znanego też jako FinSpy i wykrywanego przez pakiety chroniące Microsoftu jako Wingbird. "FinFisher jest tak złożonym złośliwym oprogramowaniem, że musieliśmy - podobnie jak inni badacze - opracować specjalne metody, aby je złamać. Musieliśmy to zrobić, aby zrozumieć techniki stosowane przez FinFisher, by łamać zabezpieczenia i utrzymywać się na komputerze, a także aby sprawdzić skuteczność sandboksa detonacyjnego w Office 365 ATP, ogólnej ochrony Windows Defender Advanced Threat Protection (Windows Defender ATP) oraz innych rozwiązań chroniących Microsoftu" - wyjaśniają Andrea Allievi i Elia Florio z zespołów Office 365 ATP Research i Windows Defender ATP Research.

O tym, jak wyrafinowany okazał się FinFisher, świadczą wszelkiego rodzaju sztuczki, których używa - począwszy od śmieciowych instrukcji i "kodu spaghetti", po stosowanie wielu warstw maszyn wirtualnych i środków antydebugujących i defensywnych. Analitycy bezpieczeństwa mają zwykle narzędzia do pokonywania podobnych trików, ale FinFisher cechuje się wyjątkowym poziomem autoochrony. To - jak twierdzą badacze z Microsoft - "skomplikowana łamigłówka, którą mogli rozwiązać wykwalifikowani inżynierowie wsteczni tylko z dużą ilością czasu, kodu, automatyzacji i kreatywności. Te skomplikowane metody antyanalityczne pokazują, ile wysiłku włożyli autorzy projektu FinFisher, aby ukryć złośliwe oprogramowanie i uczynić je trudnym w analizie". Ta jednak zakończyła się sukcesem, co firmie z Redmond pozwoliło ujawnić masę informacji na temat technik używanych przez FinFisher i wykorzystać tę wiedzę, by ulepszyć sandbox w Office 365 ATP i podnieść zdolność Windows Defender ATP do wykrywania podobnych technik i zachowań.

Windows Defender ATP potrafi więc raportować o złośliwych zachowaniach stosowanych przez FinFisher i pokrewne oprogramowanie na różnych etapach łańcucha ataku. Używane przez Windows Defender ATP algorytmy machine learningowe sygnalizują ponadto podejrzane zachowania związane z manipulacją plikami binarnymi Windows. Choć wyniki tych analiz pozwoliły już Microsoftowi wzmocnić narzędzia chroniące, to firma postanowiła podzielić się szczegółami swoich odkryć. Z bardzo drobiazgowymi wynikami analizy FinFishera zapoznać się można na blogu Microsoft Secure.