image

Microsoft legt uit waarom het BadRabbit niet meteen blokkeerde

maandag 11 december 2017, 15:47 door Redactie, 10 reacties

De BadRabbit-ransomware die eind oktober allerlei bedrijven en organisaties in voornamelijk Oekraïne en Rusland infecteerde werd in eerste instantie niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.

Dat laat Microsoft in een vandaag gepubliceerde analyse weten. BadRabbit verspreidde zich via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Hiervoor werd gebruik gemaakt van een lijst met veelvoorkomende wachtwoorden, onderschepte inloggegevens en een exploit van de NSA.

Microsoft heeft de eerste infectie met BadRabbit herleid naar een gebruiker van Windows Defender in Sint Petersburg, ook wel "patient zero" genoemd. Deze gebruiker downloadde het bestand "FlashUtil.exe". Windows Defender vond dit een verdacht bestand, maar niet verdacht genoeg om het meteen te blokkeren. Het bestand werd daarop naar de cloudscandienst van Microsoft geupload en met een zekerheidsscore van 81,6 procent als malware bestempeld.

De cloudscandienst was echter ingesteld om bestanden pas bij een zekerheidsscore van 90 procent te blokkeren. Dit om false positives te voorkomen, waarbij schone bestanden ten onrechte als malware worden beschouwd. Daardoor kon de ransomware zijn gang gaan en het systeem infecteren. Microsoft laat weten dat het de percentages continu aanpast om de juiste balans te vinden tussen het stoppen van malware en het niet blokkeren van legitieme programma's.

Verder geautomatiseerd onderzoek via machine learning naar het verdachte bestand leverde uiteindelijk een score van 90,7 procent op. Genoeg om het bestand te blokkeren, wat vervolgens bij gebruikers van Windows Defender werd gedaan. Er zaten in totaal 14 minuten tussen de infectie van patient zero en detectie door de beveiligingssoftware. In de tussentijd had de ransomware acht andere slachtoffers in Oekraïne, Rusland, Israel en Bulgarije gemaakt. Volgens Microsoft laat dit zien dat machine learning een belangrijke rol speelt bij het detecteren van malware. Daarnaast wijst de softwaregigant organisaties op de mogelijkheid om het cloudbeschermingsniveau aan te passen, zodat verdachte bestanden bij een lagere zekerheidsscore worden geblokkeerd.

Reacties (10)
11-12-2017, 16:05 door Anoniem
niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.
Bestaan er ook nominaties voor security gillers?

Genomineerd
net niet verdacht genoeg

Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.

"Patient zero" ook trouwens.
11-12-2017, 16:33 door Anoniem
Door Anoniem:
niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.
Bestaan er ook nominaties voor security gillers?

Genomineerd
net niet verdacht genoeg

Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.

"Patient zero" ook trouwens.

Wat een onzin reactie, net zoals spamfilters werken virusscanners met een score als malware nog niet in de definitielijst staat. Die grens wanneer je iets wel of niet als malware of als spam bestempeld moet daardoor in balans zijn. False positives en onterechte blokkades zitten mensen ook niet op te wachten. Gebruikers een melding voorschotelen is ook voor velen niet de oplossing, wordt als irritant gezien of er wordt toch op doorgaan/ok geklikt. Daarnaast als je zomaar een executable uitvoert die je per mail, of via zomaar een website voorgeschoteld krijgt, vraag je er zelf om. Ondanks alle waarschuwingen blijven mensen dit gewoon doen.

Als je in 14 minuten na 1e signalering het voor elkaar krijgt het bestand te blokkeren op basis van de score, kan ik alleen maar zeggen dat Microsoft de zaken goed voor elkaar heeft op dit gebied,
11-12-2017, 17:56 door Anoniem
Searching for the Holy Grail

Niet makkelijk allemaal, het blijft zoeken.
Klik persoonlijk zelf ook voor 90,7 % geen bijlagen aan maar de rest wel.
Klik tevens 90% van de computermeldingen weg en lees voor de veiligheid 90,7 % van de overige 10% niet om te voorkomen dat ik net wel in phishing trap.

Verder zorg ik ook dat er minimaal 14 minuten zit tussen het intypen van wachtwoorden in openbare ruimten om schouderkijkenfraude te minimaliseren.
Blijft iemand toch 14 minuten staan, dan is het verdacht.
Of een heel geduldige terras ober, maar die kans is klein.

Tegen stoute konijnen helpt het overigens om 'Monty Python and the Holy Grail' helemaal uit te kijken.
Dat helpt bij herkenning ervan.
Misschien moeten de artificial intelligence kleppen Ms maar eens wat wijder open, hup, hele oeuvre van Monty Python maar worden toegevoegd aan de scanning intelligence van the big artificial machine.

Ham-test-vraag for the learning machine : whats the difference between cleese and cheese?

Ondertussen: The Killer Rabbit attacks Lancelot
https://upload.wikimedia.org/wikipedia/en/2/24/Rabbitattack.jpg
https://en.wikipedia.org/wiki/Rabbit_of_Caerbannog
11-12-2017, 18:21 door Anoniem
Door Anoniem:
niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.
Bestaan er ook nominaties voor security gillers?

Genomineerd
net niet verdacht genoeg

Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.

"Patient zero" ook trouwens.
Goede constructieve bijdrage!!
11-12-2017, 18:35 door karma4
Door Anoniem: ....
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.

"Patient zero" ook trouwens.
Zeuren over sleepnetten profiling is dan weer wel ok?
Big data analytics gaat om werken met onzekerheden.
De tijd dat je alles zeker wist heeft nooit bestaan zal nooit bestaan.
11-12-2017, 20:12 door Anoniem
Door Anoniem: Searching for the Holy Grail

Niet makkelijk allemaal, het blijft zoeken.
Klik persoonlijk zelf ook voor 90,7 % geen bijlagen aan maar de rest wel.
Klik tevens 90% van de computermeldingen weg en lees voor de veiligheid 90,7 % van de overige 10% niet om te voorkomen dat ik net wel in phishing trap.

Verder zorg ik ook dat er minimaal 14 minuten zit tussen het intypen van wachtwoorden in openbare ruimten om schouderkijkenfraude te minimaliseren.
Blijft iemand toch 14 minuten staan, dan is het verdacht.
Of een heel geduldige terras ober, maar die kans is klein.

Tegen stoute konijnen helpt het overigens om 'Monty Python and the Holy Grail' helemaal uit te kijken.
Dat helpt bij herkenning ervan.
Misschien moeten de artificial intelligence kleppen Ms maar eens wat wijder open, hup, hele oeuvre van Monty Python maar worden toegevoegd aan de scanning intelligence van the big artificial machine.

Ham-test-vraag for the learning machine : whats the difference between cleese and cheese?

Ondertussen: The Killer Rabbit attacks Lancelot
https://upload.wikimedia.org/wikipedia/en/2/24/Rabbitattack.jpg
https://en.wikipedia.org/wiki/Rabbit_of_Caerbannog
Waar héb je het over, man?
12-12-2017, 08:24 door Anoniem
Waar héb je het over, man?

Dit heet ironie, en het past hier vrij goed is mijn idee. Monty Python is ook een van mijn favoriete kijkbuiskluisterprogramma's van vroeger, geweldig!

Inhoudelijk: dagelijks moet ik het onderscheid maken tussen false positives en hetgeen dat echt gewenst geblokkeerd dient te worden. Het is een strijd op zich, en ik weet dat MS hier een aardige kluif aan heeft net als alle andere zich met AV/AM bemoeiende instanties...
12-12-2017, 09:40 door Anoniem
Bestaan er ook nominaties voor security gillers?

Een malware maker test zijn malware net zo lang tot deze om detectie/blokkering vanuit OS of beveiligingssoftware heen komt. Niet echt verbazingwekkend dus dat dat uiteindelijk lukt.

Stel dat jij bij Microsoft had gewerkt, had dat dan deze ´security giller´ voorkomen ? ;)
12-12-2017, 11:20 door Anoniem
Daarom blij zijn met VoodooShield die het nooit doorliet. Windows Defender is dan wel veilig genoeg.#
12-12-2017, 12:52 door Anoniem
Met zo'n drempelwaarde willen ze toch wel heel zeker zijn van hun zaak en ik denk dat de gebruikte NSA exploit veel verklaart in hoeverre M$ steeds weer "hand in foot" leeft met de Amerikaanse veiligheidsdiensten.

Eerder kwalijk dan lachwekkend, maar wel reden om steeds alert te blijven en opnieuw een bewijs van hoe alles op en bepaald niveau over de hele breedte flink gepn*wed is.

Vroegahhr hadden veiligheidsdiesnten grote oren net als het olifantje Dumbo, nu hebben ze lange armen als Greet Manshande of eerder Mietje de Mathaak of Flipje uit Tiel en zitten ze meestal via je router al op en in je netwerk en in all je devices te grabbelen. Wat is het volgende na Bad Rabbit Killer Bunny?

Die sleepwet belooft wat fraais voor de toekomst, onafhankelijke onderzoekers kunnen hun borst vast natmaken.
Er komt heel wat op ons af.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.