Microsoft Antimalware Scan Interface

Microsofts Einsatz gegen Malware von MSAV bis AMSI

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Microsoft arbeitet schon seit über 25 Jahren an Lösungen, gegen Computerviren und immer komplexere Malware. AMSI ist dabei ein wichtiger Schritt in die Zukunft.
Microsoft arbeitet schon seit über 25 Jahren an Lösungen, gegen Computerviren und immer komplexere Malware. AMSI ist dabei ein wichtiger Schritt in die Zukunft. (Bild: Pixabay / CC0)

Microsoft wird ja oft vorgeworfen, nicht ausreichend auf die Gefährdung seiner Betriebssysteme durch Malware zu reagieren. Doch entgegen der Annahme ist man dort stetig bemüht, mehr Sicherheit zu schaffen. Ein Blick auf die Entwicklungen zeigt eine rege Aktivität für den Malwareschutz als Komponente der IT-Sicherheit. Wer mit den Begriffen MSAV und AMSI dennoch nichts anfangen kann, dem hilft dieser Beitrag weiter.

MSAV: Die ersten bekannteren Ansätze gehen dabei auf MSAV (Microsoft AntiVirus) aus dem Jahr 1993 zurück, einen Virenscanner für das damals verbreitete MS-DOS 6.x. Bestehend aus einem Online-Wächter (TSR-Modus; Terminate Programm and Stay Resident) und einem normalen Festplattenscanner ging das Tool in die Offensive gegen die Mitbewerber, wie F Prot, der Firma FRISK. Das Tool von Microsoft verschwand einige Jahre später, doch die Bestrebungen hielten an. Ersichtlich wurde dies u.a. auch, in der Übernahme von entsprechenden Spezial-Firmen und deren Security-Know-how, wie beispielsweise:

  • 2003 MS kauft GeCAD-Software (RAV Antivirus)
  • 2005 MS erwirbt Sybari (Antigen)
  • 2015 MS übernimmt Secure Islands (IQ Protector Classification and Protection Suite)

Windows OneCare: Im Jahr 2006 wurde der Druck durch Malware immer stärker! Drangsalierte Anwender verlangten nach einem zuverlässigen Schutz und waren auch bereit dafür zu bezahlen. Zu diesem Zeitpunkt präsentierte Microsoft sein „Windows Live OneCare“ als Schutzlösung gegen Computerviren, Trojaner und Spyware. Das Produkt übernahm dabei Techniken, aus dem Produkt RAV, von GeCAD. Als Kombi-Lösung, die mehr bot, als „nur“ einen Virenscanner fand OneCare seinen Markt. Nach einigen Jahren schwenkte Microsoft jedoch wieder um und entschloss sich, dass „Modell käuflicher Security-Software „zu beenden und brachte das Nachfolgeprodukt MSE, welches gratis erhältlich war. Mit Ankündigung des Nachfolgeprodukts im Jahr 2009 endete der Verkauf von OneCare bis schließlich im Jahr 2011 der Produktsupport eingestellt wurde.

MSE – Microsoft Security Essentials: Das Gratis-Tool Microsoft Security Essentials ist ein klassischer Virenscanner, der unter anderem auch eine heuristische Erkennung eingebaut hat um der zunehmenden Vielfalt an Malware-Binaries erfolgreich zu begegnen. Clevere Optionen, wie z.B. das Setzen von Windows-Wiederherstellungspunkten erweiterten den Schutz vor Malware und auch zu sorglosen Anwendern. Obwohl MSE als der kleine Bruder des OneCare gehandelt wurde, war die Technik durchaus konkurrenzfähig. Trotzdem schnitt das Tool bei Vergleichen durch Antivirus-Testern eher schlecht ab. Vermutungen, dass dies mit Auflagen der EU-Regulierungsbehörde zusammenhängt, die nur einen soliden Grundschutz erlaubt, um Monopolstellungen zu vermeiden machten die Runde. Eventuell, so andere Vermutungen, war dies eine durch Microsoft selbst auferlegte Beschränkung, um gleichartige Probleme bezüglich einer „Monopolstellung des IE“ zu vermeiden, die sich in den Jahren 2011 bis 20212 mit Windows 7 ergab.

Windows Defender: Seit dem Release von Windows 8 ist das Tool „Windows Defender“ als Standard-Schutzprodukt vorinstalliert. Hierbei handelt es sich um eine Auskopplung aus dem Vorgänger MSE. Im Dezember 2017 führte das AV-TEST Institut in Magdeburg, ein weltweit führender, unabhängiger Anbieter von Services im Bereich IT-Sicherheit und Antiviren-Forschung, entsprechende Produkttests durch. Dabei erreichte der Windows Defender in der Version 4.12 bzgl. Schutzwirkung von nahezu 100 Prozent. Microsoft spendiert seinem AntiMalware-Tool auch eine eigene Webseite auf der die Anwender zu den gängigen Leistungsmerkmalen. Dies sind fünf thematische Schwerpunkte:

  • Viren- und Bedrohungsschutz (AntiMalware-Scanner)
  • Geräteleistung und -integrität (Logistischer PC-Check)
  • Firewall und Netzwerkschutz
  • App- und Browsersteuerung (Schutz des MS Edge und unbekannten APPs)
  • Familienoptionen (Zugangszeiten und Monitoring für Kinder geeignete Webseiten)

Die Steuerung bzw. Konfiguration ist dabei im Windows-Look-and-Feel gehalten und recht einfach. Auf Details für die Suche nach Malware in einem Detailierungsgrad wie man es von anderen Produkten gewöhnt ist, wurde verzichtet. Lediglich einige Einstellungen um den Viren- und Bedrohungsschutz anzupassen sind enthalten. Informationen dazu bietet auch der Artikel „Security-Settings für Windows 10 Fall Creators Update“.

Security-Settings für Windows 10 Fall Creators Update

Video-Tipp: Windows 10 Version 1709

Security-Settings für Windows 10 Fall Creators Update

30.01.18 - Mit jeder neuen Version von Windows 10, auch mit der als „Fall Creators Update“ bekannten Version 1709, bietet Microsoft neue Funktionen und Einstellungsmöglichkeiten. Es lohnt sich einen Blick auf diese Neuerungen zu werfen, um die Leistung und Sicherheit von Windows 10 deutlich zu verbessern. Wie man für Win 10 Version 1709 die richtige Konfiguration für optimale Leistung und Sicherheit findet, zeigen wir in diesem Video-Tipp. lesen

AMSI: Bei Microsoft ruht man sich aber nicht auf den Lorbeeren aus, sondern arbeitet weiter. Aktuelles Beispiel dieser Bestrebungen, ist das Antimalware Scan Interface (AMSI), ein Interface um die Bedrohung durch Malware-Skripte zu minimieren. Diese Erweiterung wurde für Windows 10 eingeführt und ist im Windows Defender bereits implementiert. AMSI verfügt über eine offene Schnittstelle, die von Antimalware-Herstellern beispielsweise zur Analyse von PowerShell-Skripten (ab Version 5) auf Malware genutzt werden kann.

Vereinfacht gesagt, beinhaltet die AMSI-Technologie folgende Leistungen:

  • Überprüfen von Datenträgern
  • Überprüfen von Speicherbereichen
  • Analysieren von Skripten deren Programmcode obfuskiert (verschleiert) ist.

Das unscheinbare „Überprüfen von Speicherbereichen“ hat es jedoch in sich. Denn AMSI ist in der Lage, das PowerShell-Skript zu analysieren, wenn dies im Speicher quasi im „Klartext“ vorliegt.

Das „Problem“ ist, mit Skript-Sprachen ist es einfach möglich, Schadcode so zu verschleiern und zu verschlüsseln, so dass ein Virenscanner diesen Schadcode bei der statischen Analyse des Skriptes nicht entdecken kann. Denn dieser überprüfen eine Datei, wenn sie geöffnet wird, bei PowerShell-Skripten also dann, wenn diese durch POWERSHELL.EXE ausgeführt werden. Sind Skripte aber obfuskiert, analog Binary-Malware die verschlüsselt agiert, sieht der Virenscanner nur ein scheinbar harmloses File. Mit AMSI lässt sich aber der entschleierte Code, während er bei der Skript-Ausführung zusammengebaut wird und im Klartext vorliegt, überprüfen.

Auf einer der letzten der Black Hat-Konferenzen wurde die AMSI-Technologie als „Game Changer“ bezeichnet, denn AMSI schließt ein Einfallstor, welches ambitionierten Hackern bislang offenstand. Einen technischen Ausflug in die Tiefen von AMSI offeriert das Microsoft-Dokument „Windows 10 to offer application developers new malware defenses“ inklusive einer grafischen Darstellung des AMSI-Architektur (Abbildung 7 im Dokument).

Dieser “Game Change”-Effekt war dringend erforderlich, denn Skriptbasierte Malware nimmt stetig zu. Vor allem die Fähigkeit, den eigenen Code zu verschleiern oder zu verschlüsseln fordert die AV-Branche bei der Malware-Erkennung stetig heraus. Denn theoretisch müsste bei jeder Textdatei als erstes überprüft werden, ob es sich um ein Skript handelt und dieses müsste dann je nach Typ (JavaScript, PowerShell, VBScript, Python etc.) auf Codeebene analysiert werden. Wobei erst durch eine Art von Sandbox wäre der Virenscanner in der Lage, hier weitergehende Analysen auszuführen indem das Skript überwacht ausgeführt wird. Die Hersteller von AV-Software lassen sich hier aber nicht in die Karten schauen was Sie tun und vor allem nicht wie sie es tun. Man darf aber annehmen, dass jeder Hersteller hier eigene technische Lösungen implementiert hat. Wie gut diese sind, lässt sich jedoch nur schwer vergleichen - möglicherweise gibt ja hier ein zukünftiger Test von Antimalware-Test Centern erschöpfende Auskunft.

Aktuell ist nur vom Antimalware-Hersteller AVG bekannt, dass er das AMSI-Interface nutzt um seine Produkte bzgl. der Skript-Thematik zu erweitern. Warum andere Hersteller nicht nachziehen oder warum sie dies nicht kommunizieren bleibt offen. Erst im Februar dieses Jahres, hat allerdings das rumänische Security-Unternehmen CyberByte darauf hingewiesen, dass AMSI ein Fehlverhalten zeigt, bei der Verarbeitung von Dateien, in denen ein Null-Zeichen enthalten ist. Auch der Pentester Nikhil Mittal stellte in seinem Vortrag auf der BlackHat-Konferenz 2016 Wege vor, um AMSI zu umgehen. Man darf aber annehmen, dass sowohl bezüglich der Umgehungsmöglichkeiten als auch beim Null-Char-Fehler Microsoft längst entsprechende Schritte unternommen hat, um AMSI wieder auf Spur zu bringen.

Zukunft: Wenn man die vergangene Historie betrachtet wird Microsoft sicherlich auch weiterhin daran arbeiten, die Sicherheit seiner Systeme zu optimieren und Anwender vor Malware, Hackern und anderen Cyberkriminellen zu schützen. Denn ein Betriebssystem und die dazu gehörenden Dienste sind ohne entsprechende IT Sicherheit nicht überlebensfähig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45286851 / Endpoint)