Now Reading
Microsoft Defender bekommt AI-gestützte Ransomware-Pferdefliege

Microsoft Defender bekommt AI-gestützte Ransomware-Pferdefliege

Microsoft Defender bekommt AI-gestützte Ransomware-Bremse

Microsoft hat seinem kostenpflichtigen Defender for Endpoint fürs Geschäftsumfeld eine weitere Schutzschicht verpasst. Jene soll spezielle Ransomware-Angriffe mithilfe von maschinellem Lernen besser wiedererkennen und blockieren können.

Dieser Hersteller beschreibt den neuen Konzept und erste Ergebnisse folgenderweise: In von Menschen kontrollierten Ransomware-Angriffen nutzten sie nachdem dem Invasion in vereinigen Rechner schlussendlich die Tastatur, um sich im Netzwerk zu in Bewegung setzen. Will sagen: Angreifer verschenken etwa Befehle hinauf einer Kommandozeile ein. Dieser automatische Cloud-basierte Sicherheit des Windows Defenders hat nun ein maschinelles Lern-System zum Sicherheit vor solchen Angriffen erhalten, dies den Gefährdungsstatus des Rechners bewertet und ggf. aggressivere Blockaden nutzt, um dies Gerät zu schützen und weitere Schritte dieser Angreifer zu verhindern.

Vereinfacht gesagt, erkennt dies Cloud-System durch von Verhaltensweisen und -mustern, dass dies Gerät gefährdet ist – etwa durch die linkseindeutige Abbildung von Systemcode und anschließende Nutzung des Aufgabenplaners. Daraufhin regelt es die weiteren (heuristischen) Bewertungen hinauf größere Trennschärfe. Damit werden dann schon im Prinzip unscheinbare, vermeintlich harmlose Aktionen verkrampft. Die Datenpunkte erhebt unterdies etwa dies Verhaltenserkennungsmodul vom Defender. Ohne Nachstellen dieser Sensibilität würde dieser in den einzelnen Aktionen noch keine Gefahr wiedererkennen.

Da dieser adaptive Sicherheit KI-gestützt arbeite, hänge die Risikobewertung des Geräts nicht nur von individuellen Indikatoren ab. Die KI nutze eine große Reihe an Mustern und Merkmalen zur Einschätzung, ob dies System ohne Rest durch zwei teilbar attackiert werde. Jene Fähigkeiten seien Seltenheitswert haben probat, von Menschen sanguin gesteuerte Ransomware zu bekämpfen. Sogar wenn Angreifer eine noch nicht oder qua gutartig bekannte File oder sogar vereinigen legitimen Prozess nutzten, könne dies System dazu hinzufügen, den Start dieser File oder des Prozesses zu verhindern.

Microsoft berichtet in seinem Sicherheits-Weblog-Mitgliedsbeitrag zu dem KI-Umstand von einem konkreten Kernpunkt, in dem die Nachregelung dieser Erkennungsempfindlichkeit schließlich eine Banking-Schadsoftware namens Cridex stoppen konnte. Ohne den KI-Sicherheit wäre dieser Trojanisches Pferd sanguin geworden und hätte den Angreifern Zugang gewährt, sie hätten weitere Schäden kredenzen können. Die Blockade gelang durch die Berücksichtigungen von Indikatoren, die andernfalls nur geringe Priorität pro eine Abwehrreaktion erhalten hätten.

Derweil diskutieren Spezialisten pro Angriffssimulationen (Red Teamer) und Incidence Response, wie sich dieser Sicherheit durch Defender umgehen ließe. So demonstriert ein Sicherheitsforscher, wie er möglicherweise ein im Prinzip erkanntes, typisches Angriffsmuster durch simples Umbenennen von Dateien dessen ungeachtet in die Praxis umsetzen kann.

Pro Neugierige: Dieses Exempel demonstriert eine bekannte Angriffstechnik namens Living of the Nation. Nun zum Sex zwingen Angreifer legitime Tools wie regsrv32.exe pro ihre Zwecke. In diesem Kernpunkt lädt dies Kommando ein bösartiges Skript von einem externen Server und führt es selbst gleich aus. Da dies im regsrv32-Kontext geschieht, greifen Schutzmaßnahmen wie White Listing nicht. Im ersten Versuch verkrampft Defender den Zugriff; nachdem dem Umbenennen gelingt dieser Übergriff. Doch ist nicht lukulent, ob unter diesem Testlauf Microsofts neue KI schon sanguin war.

Microsoft hat die neuen Defender-Funktionen nun pro jeder Geschäftskunden freigeschaltet. Um sie zu nutzen, solle dieser Cloud-Sicherheit aktiviert werden, so er es noch nicht ist. Noch ist es zu Morgen pro eine abschließende Priorisierung. Sollte sich jedoch tatsächlich herausstellen, dass die Schutzfunktion dieser KI beziehungsweise dieser regelbasierten Heuristik zu nennenswerten Teilen hinauf leichtgewichtig zu ändernden Merkmalen wie Dateinamen beruht, wäre deren Sinnhaftigkeit sehr intolerant. Denn Angreifer würden rasch lernen, wie sie dies umgehen können.


(dmk)

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top