Diesen Artikel habe ich in einem anderen Forum gefunden. Ist vlt. mal ganz interessant zu lesen, wie der Cloud-Schutz des Defender so funktioniert. Den Original-Artikel (auf Englisch) gibt es hier:
https://blogs.technet.microsoft.com/mmp ... -defenses/
Ransom:Win32/Tibbar.A – Schutz in 14 Minuten
Am 24. Oktober 2017 brach nach den jüngsten Ausbrüchen von Lösegeldernerpressern wie Wannacry und NotPetya die Nachricht von einer neuen Bedrohung aus, die sich vor allem in der Ukraine und in Russland ausbreitete: Ransom:Win32/Tibbar.A (im Volksmund bekannt als Bad Rabbit).
Diese Bedrohung ist ein gutes Beispiel dafür, wie maschinelles Lernen zum Schutz von Windows Defender AV-Kunden ins Spiel kam. Zuerst aber schauen wir uns an, was mit Patient Zero passiert ist.
Am 24. Oktober, um 11:17 Uhr Ortszeit, wurde ein Benutzer, der Windows Defender AV in St. Petersburg, Russland, ausführt, dazu verleitet, eine Datei namens FlashUtil.exe von einer bösartigen Website herunterzuladen. Anstelle eines Flash-Updates war das Programm wirklich die gerade veröffentlichte Tibbar-Ransomware.
Windows Defender AV hat die Datei gescannt und festgestellt, dass sie verdächtig ist. Eine Anfrage wurde an den Cloud-Schutzdienst gesendet, wo mehrere Metadaten-basierte maschinelle Lernmodelle die Datei verdächtig fanden, aber nicht mit einer ausreichenden Wahrscheinlichkeit, sie zu blockieren. Der Cloud-Schutzdienst forderte den Windows Defender AV-Client auf, die Datei zu sperren, sie zur Verarbeitung hochzuladen und auf eine Entscheidung zu warten.
Innerhalb weniger Sekunden wurde die Datei verarbeitet, und die auf der Stichprobenanalyse basierenden ML-Modelle lieferten ihre Schlussfolgerungen. In diesem Fall klassifizierte ein Multi-Class Deep Neural Network (DNN) Machine Learning Classifier die Tibbar-Stichprobe korrekt als Malware, allerdings nur mit einer Wahrscheinlichkeit von 81,6%. Um False Positives zu vermeiden, ist der Cloud Protection Service standardmäßig so konfiguriert, dass mindestens 90 % Wahrscheinlichkeit erforderlich sind, um die Malware zu blockieren (diese Schwellenwerte werden kontinuierlich ausgewertet und verfeinert, um das richtige Gleichgewicht zwischen dem Blockieren von Malware und dem Vermeiden des Blockierens legitimer Programme zu finden). In diesem Fall durfte die Ransomware laufen.
In der Zwischenzeit, während der Patient Zero und acht weitere unglückliche Opfer (in der Ukraine, Russland, Israel und Bulgarien) darüber nachdachten, ob sie das Lösegeld zahlen sollten, wurde die Probe gezündet und Details der Systemänderungen, die durch die Lösegeldübergabe vorgenommen wurden, wurden aufgezeichnet.
Sobald die Ergebnisse verfügbar waren, bewertete ein Klassifikator, der sowohl statische als auch dynamische Merkmale verwendete, die Ergebnisse und klassifizierte die Stichprobe als Malware mit 90,7 % Sicherheit, die hoch genug war, dass die Cloud mit der Blockierung beginnen konnte.
Als ein zehnter Windows Defender AV-Kunde in der Ukraine um 11:31 Uhr Ortszeit, 14 Minuten nach der ersten Begegnung, zum Herunterladen der Ransomware verleitet wurde, nutzte der Cloud Protection Service die detonationsbasierte Malware-Klassifizierung, um die Datei sofort zu blockieren und den Kunden zu schützen.
Zu diesem Zeitpunkt hatte der Cloud-Schutzdienst "erfahren", dass es sich bei dieser Datei um Malware handelt. Es wurden nur noch Metadaten vom Client mit dem Hash der Datei benötigt, um Blockierungsentscheidungen zu treffen und Kunden zu schützen. Als der Angriff an Dynamik gewann und sich auszubreiten begann, wurden Windows Defender AV-Kunden mit aktiviertem Cloud-Schutz geschützt. Später wurde eine spezifischere Erkennung veröffentlicht, um die Malware als Ransom:Win32/Tibbar.A. zu identifizieren.