Endpoint için Microsoft Defender şu anda Office belgelerinin açılmasını ve bazı yürütülebilir dosyaların emotet kötü amaçlı yazılım yükünü paketleme olasılığı nedeniyle yanlış pozitif etiketleme nedeniyle başlatılmasını engelliyor.
Windows sistem yöneticileri rapor veriyor [1, 2, 3, 4, 5] bu, Microsoft’un kurumsal uç nokta güvenlik platformu (daha önce Microsoft Defender ATP olarak bilinir) tanımlarının sürüm 1.353.1874.0’a güncelleştirilmesinden bu yana gerçekleşmektedir.
Tetiklendiğinde, Defender for Endpoint dosyanın açılmasını engeller ve Win32/PowEmotet.SB veya Win32/PowEmotet.SC.
“Tanım güncelleştirmesi 1.353.1874.0 ile ilgili sorunları bu öğleden sonra Win32/PowEmotet.SB olarak algılayan sorunlar görüyoruz,” bir yönetici Söyledi.
“Msip kullanan herhangi bir Office uygulaması olan Excel için bunun algılandığını görüyoruz. ExecutionHost.exe ( AIP Duyarlılık İstemcisi ) ve splwow64.exe,” başka eklendi.
Üçüncüsü. sorunları doğruladı bugünün tanım güncelleştirmeleriyle: “Bugün yayımlanan tanımların v.1.353.1874.0’ı ile aynı davranışı görüyoruz ve Behavior:Win32/PowEmotet.SB & Behavior:Win32/PowEmotet.SC için bir tanım içeriyordu.”
BleepingComputer, aşağıda gösterildiği gibi, en son Microsoft Defender imzalarına sahip bir Windows 10 sanal makinesinde yanlış pozitifi tetikleyebildi.
Microsoft henüz buna neyin neden olduğu hakkında herhangi bir bilgi paylaşmamış olsa da, en olası neden, şirketin bugün yayınlanan güncellemelerde Emotet benzeri davranışları algılama hassasiyetini artırmasıdır, bu da Defender’ın genel davranış algılama motorunu yanlış pozitiflere karşı çok hassas hale getirir.
Değişiklik büyük olasılıkla Emotet botnet’in son canlandırılması iki hafta önce, Emotet araştırma grubundan sonra Cryptolaemus, GDatave Gelişmiş Intel TrickBot’un virüslü cihazlara Emotet yükleyicilerini bıraktığını görmeye başladı.
Bu neredeyse kesinlikle gerçek bir şey olmasa da, Emotet’in geri gelmesi ve çoğu Windows yöneticisinin zaten ellerinde olmasıyla zamanlama kesinlikle talihsiz.
Bazılarının bildirdiği gibi, onlar neredeyse veri merkezlerini çevrimdışına aldı gördüklerinin muhtemelen yanlış pozitifler olduğunu fark etmeden önce olası bir Emotet enfeksiyonunu yaymak için.
Ekim 2020’den bu yana, Windows yöneticileri endpoint için diğer Defender ile uğraşmak zorunda kaldı. Kobalt Strike ile enfekte olmuş ağ aygıtlarını gösterdi ve bir diğeri de Chrome güncellemelerini PHP arka kapıları olarak işaretledi.
BleepingComputer, daha fazla bilgi ve bu davranış algılama sorununun yanlış bir pozitifi tetiklediğini ancak geri duymadığını onaylamak için Microsoft’a ulaştı.