Skip to main content

Djup analys av nya filer med Defender – Block at first Sight

Det är en konstant fight mellan de goda och de onda när det kommer till att skydda sig mot attacker och skadlig kod. Att bekämpa skadlig kod och andra typer av attacker och intrång blir allt svårare. Signaturer och beteendebaserade lösningar har en utmaning när skadlig kod som ransomware och andra intrång nu använder sig av inbyggda tjänster och verktyg. Utmaningen för så kallad ”false positive” där man riskerar att blockera även legitima tjänster blir allt större.

Microsofts antimalware Windows Defender har nu en ny funktion kallad Block at first sight. Den här funktionen drar nytta av all big data, machine learning och analytics tjänster som Microsoft besitter, kallad Intelligent Security Graph.

Så fort en ny fil från en extern källa försöker exekveras kommer realtidskyddet i Windows Defender verifiera om den här filen är känd sedan tidigare. Filen identifierats genom att dess unika hash laddas upp och inom någon sekund verifieras filen. Om hashen är känd och godkänd, släpper Defender filen och den kan exekveras.

Om den inte är känd sedan tidigare, kommer en kopia av själva filen laddas upp och via machine learning och flera avancerad analytics-tjänster verifiera om filen är legitim eller ej. Om den anses som skadlig kommer filen blockeras, dels på den aktuella klienten men även på alla kommande klienter som försöker köra samma fil.

Detta innebär alltså att första gången en ny exekverbar fil påträffas kommer det ta en längre stund där ”Running security scan” visas under tiden som filen blockeras och en kopia laddas upp för analys. För alla resterande klienter som efter detta får samma fil, vet Defender inom någon sekund om den är klassificerad som legitim. Filen exekveras då utan märkbar fördröjning. Motsvarande om filen är skadlig kommer filen blockeras på alla övriga klienter som nyttjar denna ”Block at first sight” tjänst.

Hur aktiveras Block at first sight?

Block at first sight är aktiverat som standard om följande konfiguration är gjort:

· Microsoft MAPS (Microsoft Active Protection Service) är aktiverat

· Send file samples when further analysis is required är aktiverad och satt till antingen “Send safe samples” eller “Send all samples”

Verifiera en Windowsklient att Block at first sight är aktiverat

Under inställningar för Windows Defender verifiera att både Cloud-based Protection samt Automatic sample submission är satta till On enligt bilden nedan:

image

Läs hela artikeln