Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft detecteerde groot aantal aanvallen met coinminingmalware in Rusland

Microsoft heeft bekendgemaakt dat het eerder deze week ongeveer 400.000 infectiepogingen met een trojan heeft gedetecteerd en geblokkeerd, die een coinminer aan boord had voor de cryptovaluta Electroneum. Ongeveer zeventig procent van de pogingen vond in Rusland plaats.

In zijn analyse zegt Microsoft niets over de oorsprong van de infectiepogingen, waarbij de Dofoil-trojan werd ingezet, die beter bekend is onder de naam Smoke Loader. Volgens eerdere informatie van beveiligingsbedrijf Kaspersky werd deze trojan in 2011 door een Rus ontwikkeld en vervolgens te koop aangeboden op internet. Microsoft schrijft dat de trojan 'geavanceerde injectietechnieken gebruikt, net als methodes om detectie te ontwijken en op een systeem aanwezig te blijven'. In de aanval die het bedrijf op 6 maart detecteerde, had de trojan een Electroneum-coinminer aan boord als payload.

Terwijl het grootste deel van de infectiepogingen in Rusland plaatsvond, vond 18 procent van de pogingen plaats in Turkije en 4 procent in Oekraïne. De trojan probeerde code te injecteren in het proces van explorer.exe via een techniek die bekendstaat als proces hollowing, waarbij de code van een gekopieerd legitiem proces wordt vervangen door kwaadaardige code. Dat kwaadaardige proces haalt vervolgens de coinminer binnen, die zich voordoet als een legitiem Windows-bestand met de naam wuauclt.exe, dat een rol speelt bij het updateproces van Windows.

De coinminer in kwestie zou Nicehash ondersteunen en in het huidige geval Electroneum minen. Door aanpassingen in het register was de malware in staat om op een systeem aanwezig te blijven na een herstart. Volgens Microsoft werd de trojan aangestuurd met behulp van command and control-servers en werd er bij de communicatie gebruikgemaakt van het Namecoin-netwerk.

Het Redmondse bedrijf vermeldt dat bij de detectie van de malware machine learning een belangrijke rol heeft gespeeld. Doordat Defender de methode voor persistence, oftewel het op een systeem aanwezig blijven, als verdacht aanmerkte en ter analyse doorstuurde, kon een machinelearningmodel vervolgens eveneens vaststellen dat er sprake was van kwaadaardige software. In eerste instantie blokkeerde Defender 80.000 infectiepogingen. Dit aantal liep in de 12 daaropvolgende uren op met nog eens 320.000 detecties.

Door

Nieuwsredacteur

32 Linkedin Google+

Reacties (32)

Wijzig sortering
Overigens scoort Windows Defender is de meest recente test van av-test.org (https://www.av-test.org/e...-packages-for-windows-10/ ) stukken beter dan vroeger:

"It is worth noting that for years, Windows Defender always ended up at the bottom of the test table in terms of malware detection. But here’s a surprise: In the meantime, Defender has worked its way up the list with better detection quality. Only in the real-world test, it did not detect all the threats, which is why it is found in midfield of the table."
Zie hier het voordeel van Telemetry. Dit soort gegevens worden dus door Defender naar Microsoft gestuurd ter analyse. Hier zijn dus voor mensen wereldwijd veel voordelen aan te behalen.

Daarnaast zou het wel mooi zijn als alleen dit soort telemetry data naar Microsoft werd gestuurd. Je zoekopdrachten en specifieke locatie hoeven wat mij betreft nog steeds niet doorgegeven te worden, maar die zijn dan ook eenvoudig uit te schakelen :).

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Zeehond op 8 maart 2018 17:01]

Even ter verduidelijking. Het gaat hier om de optie "Automatisch sample indienen". Is hier te vinden: Defender > "Virus- en bedreigingsbeveiliging" > "Instellingen voor virus- en bedreigingsbeveiliging". Dat is een losse optie, en als je dat uitschakelt dan is echt je telemetrie van Windows zelf niet uitgeschakeld. Dat kan wel met O&O ShutUp10.

[Reactie gewijzigd door AnonymousWP op 8 maart 2018 11:08]

Hier heb je helemaal gelijk in. Ik vind alleen dat de paniek om de zo genoemde 'data verzamelwoede' van Microsoft voor een groot gedeelte is gestoeld op FUD van mensen die anti-Microsoft zijn.
Telemetry hoef je naar mijn mening ook niet helemaal uit te schakelen, ik heb bijvoorbeeld locatie services, zoekopdrachten, voice activity, media activity en cortana data uitgeschakeld, terwijl ik andere telemetry gewoon ingeschakeld laat staan.
Waarom zou je bepaalde data niet delen met je leverancier, als daardoor het product beter wordt?
Als een van mijn leveranciers een online enquete heeft over de tevredenheid van de dienstverlening, zal ik deze ook eerlijk invullen, zodat de leverancier weet wat er goed gaat of beter kan.
Toch is dat de schuld van Microsoft zelf he. Opeens hordes extra (privacygevoelige) data verzamelen, het moeilijk maken om dit uit te schakelen, via Windows Update telemetrie gewoon doodleuk weer inschakelen terwijl men het had uitgeschakeld, en ga zo maar door en door. Dan moet je niet raar opkijken dat mensen pissig worden en de boel niet meer vertrouwen nee. ;) Dat vind ik dan ook volstrekt geen FUD.

Ik deel overigens die statistieken ook niet. Het gaat ze niet aan. Telemetrie staat altijd geheel uit, zowel op m’n Windows, MacOS/iOS als Linux software. Als ik een verbeterpunt of bug zie, dan rapporteer ik dat zelf wel... En sure, een anonieme enquette wil ik soms nog wel eens invullen ja.

[Reactie gewijzigd door WhatsappHack op 8 maart 2018 11:31]

Dus je hebt geen fysieke firewall, een firewall die jij zelf beheerd, instelt, en update volgens jou eisen. en alles af laat vangen wat ms weer aanzet.
Dan vis je toch altijd achter het net beste man?
Als je je zo bezig houdt met de dingen die gedeeld worden door je OS, dan ben je aan het vechten tegen de bierkaai als je het alleen maar in je OS blijft aanpassen, want dat OS is niet van jou en je weet niet of je het uitzet.
Met een firewall-bak, dan kan je het zelf bepalen, (ook natuurlijk weer tot op zekere hoogte, want ook die firmware zou je zelf moeten schrijven bijv) Maar je snap me punt.
of gewoon pihole gebruiken. Dan kan windows z'n telemetry server gewoon lekker niet vinden..
... tenzij je in je software een hardcoded DNS server verwijzing mee programmeerd ... dan heb je aan de hosts-file of pi-hole óók helemaal niets ...
gelukkig doen ze dat (nog) niet.
De twee meest geblokte domeinen in mijn netwerk zijn:
watson.telemetry.microsoft.com 51111 hits
settings-win.data.microsoft.com 3701 hits

dat is goed voor 90% van alles wat de pihole blokkeert.
Ze weten iig niet van ophouden..
Het een sluit het ander niet uit he. :)
Besides, als je enkel op die firewall leunt schiet het ook niet op daar het OS dan gewoon de boel vasthoudt tot het een keer wél verbinding kan leggen om wat voor reden dan ook.
Same :). Ik maak een afweging of ik het de moeite waard vind. Bijvoorbeeld als het ten goede komt van het product. Ligt er ook aan welk bedrijf het is; een enquête van OnePlus vul ik sneller in dan van die van de BCC over de bezorging van m'n pakket ;).
Ik heb hetzelfde aanstaan als wat Google van mij weet. Alles dus :)
Telemetry hoef je naar mijn mening ook niet helemaal uit te schakelen
Precies. Naar jouw mening.

En naar mijn mening moet dat wel gewoon kunnen. Zonder allerlei rare kunstgrepen welteverstaan.
Waarom zou je bepaalde data niet delen met je leverancier, als daardoor het product beter wordt?
Niet relevant. Het is simpelweg niet aan jou om te beslissen wat ik moet doen.
Als een van mijn leveranciers een online enquete heeft over de tevredenheid van de dienstverlening, zal ik deze ook eerlijk invullen, zodat de leverancier weet wat er goed gaat of beter kan.
Opt-in dus ... precies wat ik verwacht van telemetrie.
Antivirus telemetry is redelijk bekend, en voor hen is het ook logisch. Maar de Microsoft telemetry is niet alleen voor Defender.
Maar de Microsoft telemetry is niet alleen voor Defender.
En niet gemakkelijk volledig te beheren door de gebruiker, zelfs niet als opt-out.
De gebruiker heeft dan ook geen idee wat telemetrie is. Vandaar ook het nieuwe instellingenmenu bij 1804: nieuws: Microsoft toont nieuw privacymenu Windows 10

Ook dat schakelt telemetrie niet volledig uit, maar wel grotendeels.
Waarom zou je dat willen uitschakelen, toch goed als ze hiermee malware/virussen mee kunnen voorkomen wereldwijd.
Omdat er zat 'normale' users zijn die dat sowieso ingeschakeld hebben. Ik wens geen (anonieme) informatie te sturen naar Microsoft.
Deze website laat zien hoe je Telemetry voor Defender kunt uitschakelen.
Simpel gezegd, instellingen, Security, daar kiezen om "Cloud based protection" en "Automatic sample submission" uitschakelen.

Dit deel is dus net zo eenvoudig uit te schakelen als locatieservices en zoekopdrachten.
Windows is meer als Defender, en heeft daarom ook zijn eigen telemetry data.

[Reactie gewijzigd door The Zep Man op 8 maart 2018 16:21]

Door telemetry heeft MS heel goed in de gaten welke malware actief is op Windows. Dit gebruiken ze ook om in de gaten te houden of ze patches kunnen uitstellen tot de patch tuesdays of niet.

Lokatie doorgeven is wel handig voor de draagbare apparaten. Mocht je hem kwijtraken, vergeten of als het gejat wordt.
from HTG vandaag:

Microsoft is still trying to alleviate the privacy concerns around Windows 10 by being more transparent. To that end, there’s a new “Diagnostic Data Viewer” application. This will show you, in plain text, the exact diagnostic information your Windows 10 PC is sending to Microsoft. It even shows all the information stored in Microsoft’s cloud about your specific hardware device.

To enable this feature, had to Settings > Privacy > Diagnostics & feedback. Toggle the “Diagnostic data viewer” option “On”. This screen notes that this feature can take up to 1GB of disk space to store this data on your PC. Once you’ve enabled it, you can click a “Diagnostic Data Viewer” button to go to the Microsoft Store and download the free Diagnostic Data Viewer application for your PC, which will allow you to view the information. You can use the search box to find specific data or filter by different types of events.

Microsoft now allows you to delete the diagnostic data collected from your device, too. Just click the “Delete” button under Delete diagnostic data on the Settings > Privacy > Diagnostics & feedback screen.

Non-Administrator users now have more control over the diagnostic data they send to Microsoft, too. All Windows users can now head to Settings > Privacy > Diagnostics & feedback and select either Basic or Full diagnostic data. Previously, only system administrators could change this setting.

Microsoft is also enhancing the online Privacy Dashboard with a new “activity history” page, making it easier for people to see the information Microsoft is storing on them. And, when you set up a new PC, there’s a new first-time setup process that offers individual screens for various privacy settings, making them easier to configure.


Nog steeds niet ideaal (er staat teveel default aan) maar als elke firma dit zou doen zou het allemaal een stuk overzichtelijker worden/
Microsoft is still trying to alleviate the privacy concerns around Windows 10 by being more transparent.
En dat gaat dus niet lukken zolang ze niet de optie bieden om het gewoon uit te zetten.

Zolang die optie er niet is maakt het geen reet uit wat ze doen. Er is geen verbetering zolang ze alleen maar zogenaamd inzichtelijk maken wat er verzameld wordt en zolang ze gebruikers allerlei capriolen laten uithalen om het te kunnen bekijken.

Bovendien is het leuk dat je die data dan zogenaamd kan verwijderen maar wie zegt mij niet dat die data dan al lang en breed gebruikt is danwel in een andere database is opgenomen.

Het zijn zoethoudertjes.
Zie waar het voordeel/voorbeeld? (link het dan??) wat voor soort gegevens? wat voor voordelen zijn hier dan uit te halen? Sorry maar je reactie komt nu over als niet onderbouwd aluhoedje verhaal.

Het is geen geheim dat Microsoft gegevens verzameld, net zoals dat het geen geheim is dat Google Apple Facebook Twitter etc etc etc dat ook doen. Als je hier echt last van hebt dan kun je je er in verdiepen en binnen een paar uur deel je niets meer met niemand, dat is niet heel moeilijk.
Nou, in de koptekst van dit topic staat het al
Microsoft heeft bekendgemaakt dat het eerder deze week ongeveer 400.000 infectiepogingen met een trojan heeft gedetecteerd en geblokkeerd
Iets verderop in het artikel nog een keer:
Het Redmondse bedrijf vermeldt dat bij de detectie van de malware machine learning een belangrijke rol heeft gespeeld. Doordat Defender de methode voor persistence, oftewel het op een systeem aanwezig blijven, als verdacht aanmerkte en ter analyse doorstuurde, kon een machinelearningmodel vervolgens eveneens vaststellen dat er sprake was van kwaadaardige software.
Dit doorsturen is een van de dingen die onder de telemetry valt.
In het artikel wordt gesproken over infectiepogingen, maar zijn er ook daadwerkelijk infecties geweest? Er staat niets in het artikel welke invloed deze coinminer had of heeft op de verschillende producten van Microsoft. Ik kan me namelijk voorstellen dat een coinminer wel degelijk invloed heeft op performance.
Blijf wel gewoon kaspersky gebruiken i.p.v. van Windows defender. ;)
Ja en nee. In de basis was het ooit goed. Maar iemand heeft het verprutst door misbruik en vertrouwen te schaden. Dus is er nu een deel dat nog altijd in de telemetrie gelooft en de goedheid van de bedoelingen. En een ander deel verzet zich tegen verzamelwoede, ongeacht of dat nou van MS, Google of de Aldi komt.

Was het maar alleen verdedigen tegen malware en virae. Maar nee, nu is het vaak zo dat men met je mee loopt en meekijkt met alles wat je doet om te voorkomen dat je griep krijgt.
Duh, dan maar griep.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*