[English]Kleiner Nachtrag: Microsoft hat die Woche sein Microsoft Defender Threat Intelligence (Defender TI) erweitert. Das Defender TI enthält nun Funktionen, über die angemeldete Nutzer jetzt Datei-Hash-Werte überprüfen können. Zudem wird eine URL-Suche unterstützt. So sollen Sicherheitsverantwortliche oder Sicherheitsforscher prüfen können, ob URLs oder Dateien schädlich sind. Microsoft versucht Googles Virustotal etwas entgegen zu setzen, verlangt aber eine Benutzeranmeldung, um Defender TI verwenden zu können. Ich habe mal einige kurze Tests gemacht, war aber irgendwie schnell ernüchtert.
Anzeige
Das Thema wäre an mir vorbei gegangen, wenn ich nicht diesen Beitrag von The Register gesehen hätte. Microsoft hat die Neuerungen zum 17. April 2023 im Techcommunity-Beitrag What's New: Hash and URL Search Intelligence vorgestellt.
Ich habe mich mal mit meinem Microsoft-Konto am Defender TI angemeldet und bekam obige Darstellung zu sehen. Das Menü des Suchfelds lässt die Auswahl diverser Kategorien wie die Suche nach Zertifikaten oder in der Whois-Datenbank zu. Zudem werden einige Sicherheitsartikel in der Suchseite eingeblendet.
Microsoft schreibt im Techcommunity-Artikel, dass das Defender TI die Bedrohungsdaten von Microsoft durch statische und dynamische Analyse von Dateien und URLs innerhalb und außerhalb des Ökosystems verwendet und so eine umfassende Abdeckung potenzieller Bedrohungen bietet.
Anzeige
- Bei der statischen Analyse wird der Code der Datei untersucht, ohne sie auszuführen,
- während bei der dynamischen Analyse die Datei in einer kontrollierten Umgebung ausgeführt wird, um ihr Verhalten zu beobachten.
Dieser duale Ansatz des Defender TI soll es ermöglichen, potenzielle Bedrohungen mit statischen Analysetechniken zu identifizieren und zu kategorisieren und das tatsächliche Verhalten mit dynamischen Analysetechniken zu erkennen und zu analysieren. Benutzer können mit der angezeigten Suchleiste jeden Hash oder jede URL durchsuchen.
Auf der Registerkarte "Zusammenfassung" werden der Reputationswert und grundlegende Informationen für den Datei-Hash oder die URL-Entitäten angezeigt. Auf einer Registerkarte "Daten" liefert das Defender TI detaillierte Einblicke, schreibt Microsoft in seinem Beitrag. Die Integration von Hash- und URL-Werten im Defender TI zur Nutzung statischer und dynamischer Analysen sei eine der am häufigsten von Kunden geforderten Funktionen gewesen, schreibt Microsoft. Die Neuerung soll es Sicherheitsexperten ermöglichen, detaillierte Informationen über bestimmte Hashes oder URLs zu erhalten, die in einem Netzwerk oder im Internet gefunden wurden.
Ich habe mal versucht, einige URLs zu überprüfen, war dann aber mehr als ernüchtert. Bei zwei URLs erhielt ich keine Treffer (gut, die waren noch frisch). Dann habe ich versucht, die im Artikel LKA-Warnung vor SMS-Phishing wegen gescheiterter DHL-Paketzustellung (März 2023) erwähnte URL parcel-delivered[.]com zu überprüfen. Mir ist die Kinnlade heruntergefallen, als ich folgendes Ergebnis sah.
Lässt sich mit "gehen sie weiter, hier gibt es nichts zu sehen" übersetzen – und wer etwas näheres zur Analyse unter "Reputation" sehen will, muss ein lizenzierter Abonnent sein. Nur mal zum Vergleich die virustotal.com-Ergebnisseite bei der gleichen URL, die ohne Anmeldung angezeigt wird.
Ich glaube, mehr muss man eigentlich nicht ausführen. Vielleicht enthält das Defender TI noch irgendwelche versteckten Goodies – aber ich bleibe bei virustotal.com, wenn ich mal schnell eine URL oder eine Datei überprüfen möchte. Oder habe ich jetzt ad-hoc was wichtiges übersehen?
Anzeige
In Zukunft: Nur URLs/Dateien mit behördlich genehmigter Wahrheit können aufgerufen/geöffnet werden, Rest ist böse und wird standardmässig geblockt. Whitelist statt Hase/Igel. Und viele Lemminge werden es lieben und verteidigen, ohne zu verstehen, dass es das Ende des freien Internet bedeutet.