Microsoft legt uit waarom het BadRabbit niet meteen blokkeerde
De BadRabbit-ransomware die eind oktober allerlei bedrijven en organisaties in voornamelijk Oekraïne en Rusland infecteerde werd in eerste instantie niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.
Dat laat Microsoft in een vandaag gepubliceerde analyse weten. BadRabbit verspreidde zich via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Hiervoor werd gebruik gemaakt van een lijst met veelvoorkomende wachtwoorden, onderschepte inloggegevens en een exploit van de NSA.
Microsoft heeft de eerste infectie met BadRabbit herleid naar een gebruiker van Windows Defender in Sint Petersburg, ook wel "patient zero" genoemd. Deze gebruiker downloadde het bestand "FlashUtil.exe". Windows Defender vond dit een verdacht bestand, maar niet verdacht genoeg om het meteen te blokkeren. Het bestand werd daarop naar de cloudscandienst van Microsoft geupload en met een zekerheidsscore van 81,6 procent als malware bestempeld.
De cloudscandienst was echter ingesteld om bestanden pas bij een zekerheidsscore van 90 procent te blokkeren. Dit om false positives te voorkomen, waarbij schone bestanden ten onrechte als malware worden beschouwd. Daardoor kon de ransomware zijn gang gaan en het systeem infecteren. Microsoft laat weten dat het de percentages continu aanpast om de juiste balans te vinden tussen het stoppen van malware en het niet blokkeren van legitieme programma's.
Verder geautomatiseerd onderzoek via machine learning naar het verdachte bestand leverde uiteindelijk een score van 90,7 procent op. Genoeg om het bestand te blokkeren, wat vervolgens bij gebruikers van Windows Defender werd gedaan. Er zaten in totaal 14 minuten tussen de infectie van patient zero en detectie door de beveiligingssoftware. In de tussentijd had de ransomware acht andere slachtoffers in Oekraïne, Rusland, Israel en Bulgarije gemaakt. Volgens Microsoft laat dit zien dat machine learning een belangrijke rol speelt bij het detecteren van malware. Daarnaast wijst de softwaregigant organisaties op de mogelijkheid om het cloudbeschermingsniveau aan te passen, zodat verdachte bestanden bij een lagere zekerheidsscore worden geblokkeerd.
Genomineerd
Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.
"Patient zero" ook trouwens.
Genomineerd
Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.
"Patient zero" ook trouwens.
Wat een onzin reactie, net zoals spamfilters werken virusscanners met een score als malware nog niet in de definitielijst staat. Die grens wanneer je iets wel of niet als malware of als spam bestempeld moet daardoor in balans zijn. False positives en onterechte blokkades zitten mensen ook niet op te wachten. Gebruikers een melding voorschotelen is ook voor velen niet de oplossing, wordt als irritant gezien of er wordt toch op doorgaan/ok geklikt. Daarnaast als je zomaar een executable uitvoert die je per mail, of via zomaar een website voorgeschoteld krijgt, vraag je er zelf om. Ondanks alle waarschuwingen blijven mensen dit gewoon doen.
Als je in 14 minuten na 1e signalering het voor elkaar krijgt het bestand te blokkeren op basis van de score, kan ik alleen maar zeggen dat Microsoft de zaken goed voor elkaar heeft op dit gebied,
Niet makkelijk allemaal, het blijft zoeken.
Klik persoonlijk zelf ook voor 90,7 % geen bijlagen aan maar de rest wel.
Klik tevens 90% van de computermeldingen weg en lees voor de veiligheid 90,7 % van de overige 10% niet om te voorkomen dat ik net wel in phishing trap.
Verder zorg ik ook dat er minimaal 14 minuten zit tussen het intypen van wachtwoorden in openbare ruimten om schouderkijkenfraude te minimaliseren.
Blijft iemand toch 14 minuten staan, dan is het verdacht.
Of een heel geduldige terras ober, maar die kans is klein.
Tegen stoute konijnen helpt het overigens om 'Monty Python and the Holy Grail' helemaal uit te kijken.
Dat helpt bij herkenning ervan.
Misschien moeten de artificial intelligence kleppen Ms maar eens wat wijder open, hup, hele oeuvre van Monty Python maar worden toegevoegd aan de scanning intelligence van the big artificial machine.
Ham-test-vraag for the learning machine : whats the difference between cleese and cheese?
Ondertussen: The Killer Rabbit attacks Lancelot
https://upload.wikimedia.org/wikipedia/en/2/24/Rabbitattack.jpg
https://en.wikipedia.org/wiki/Rabbit_of_Caerbannog
Genomineerd
Hè, jammer nou, nèèèt niet.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.
"Patient zero" ook trouwens.
'T scheelde ech niet veel hoor ech nèttt niet verdacht genoeg.
Wat een giller.
"Patient zero" ook trouwens.
Big data analytics gaat om werken met onzekerheden.
De tijd dat je alles zeker wist heeft nooit bestaan zal nooit bestaan.
Niet makkelijk allemaal, het blijft zoeken.
Klik persoonlijk zelf ook voor 90,7 % geen bijlagen aan maar de rest wel.
Klik tevens 90% van de computermeldingen weg en lees voor de veiligheid 90,7 % van de overige 10% niet om te voorkomen dat ik net wel in phishing trap.
Verder zorg ik ook dat er minimaal 14 minuten zit tussen het intypen van wachtwoorden in openbare ruimten om schouderkijkenfraude te minimaliseren.
Blijft iemand toch 14 minuten staan, dan is het verdacht.
Of een heel geduldige terras ober, maar die kans is klein.
Tegen stoute konijnen helpt het overigens om 'Monty Python and the Holy Grail' helemaal uit te kijken.
Dat helpt bij herkenning ervan.
Misschien moeten de artificial intelligence kleppen Ms maar eens wat wijder open, hup, hele oeuvre van Monty Python maar worden toegevoegd aan de scanning intelligence van the big artificial machine.
Ham-test-vraag for the learning machine : whats the difference between cleese and cheese?
Ondertussen: The Killer Rabbit attacks Lancelot
https://upload.wikimedia.org/wikipedia/en/2/24/Rabbitattack.jpg
https://en.wikipedia.org/wiki/Rabbit_of_Caerbannog
Dit heet ironie, en het past hier vrij goed is mijn idee. Monty Python is ook een van mijn favoriete kijkbuiskluisterprogramma's van vroeger, geweldig!
Inhoudelijk: dagelijks moet ik het onderscheid maken tussen false positives en hetgeen dat echt gewenst geblokkeerd dient te worden. Het is een strijd op zich, en ik weet dat MS hier een aardige kluif aan heeft net als alle andere zich met AV/AM bemoeiende instanties...
Een malware maker test zijn malware net zo lang tot deze om detectie/blokkering vanuit OS of beveiligingssoftware heen komt. Niet echt verbazingwekkend dus dat dat uiteindelijk lukt.
Stel dat jij bij Microsoft had gewerkt, had dat dan deze ´security giller´ voorkomen ? ;)
Eerder kwalijk dan lachwekkend, maar wel reden om steeds alert te blijven en opnieuw een bewijs van hoe alles op en bepaald niveau over de hele breedte flink gepn*wed is.
Vroegahhr hadden veiligheidsdiesnten grote oren net als het olifantje Dumbo, nu hebben ze lange armen als Greet Manshande of eerder Mietje de Mathaak of Flipje uit Tiel en zitten ze meestal via je router al op en in je netwerk en in all je devices te grabbelen. Wat is het volgende na Bad Rabbit Killer Bunny?
Die sleepwet belooft wat fraais voor de toekomst, onafhankelijke onderzoekers kunnen hun borst vast natmaken.
Er komt heel wat op ons af.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.