Bedrohungen durch Ransomware reißen auch in 2017 nicht ab

2017 fängt aus IT Security-Sicht nicht anders an, wie das alte Jahr aufgehört hat. Nachdem sich Ransomware nach wie vor als sehr profitables Geschäftsmodell etabliert, kann von einem nachlassenden Bedrohungspotential nicht die Rede sein, ganz im Gegenteil: Es wird aus meiner Sicht deutlich schlimmer.

Dass der Einfallsreichtum von Cyberkriminellen keine Grenzen kennt, zeigt die neue Ransomware Doxware. Diese verschlüsselt nämlich nicht nur Dokumente oder Bilder, sondern droht zusätzlich noch damit, private Daten wie Chatprotokolle, Dokumente oder sonstige sensible Daten öffentlich zu machen, um damit den Druck auf das Opfer der Ransomware-Attacke noch zu erhöhen:

With doxware, hackers hold computers hostage until the victim pays the ransom, similar to ransomware. But doxware takes the attack further by compromising the privacy of conversations, photos, and sensitive files, and threatening to release them publicly unless the ransom is paid. Because of the threatened release, it’s harder to avoid paying the ransom, making the attack more profitable for hackers.

Ich möchte an dieser Stelle noch einmal deutlich auf die von mir in einem anderen Beitrag erwähnten Mitigationsmaßnahmen zur Risikoreduzierung aufmerksam machen, denn auf eine traditionelle Virenschutzlösung sollte man sich heutzutage nicht mehr verlassen. Moderne Ransomware arbeitet aus technischer Sicht auf einem meistens sehr hochen Niveau (von einzelnen Ausnahmen abgesehen), und es werden alle Möglichkeiten seitens der Ransomware-Entwickler ausgeschöpft, um vor allem AV-Software zu unterlaufen. 

Produktvorstellung: Next-Generation Antivirus X by Invincea

Einleitung

Ich hatte in meinem Artikel Next-generation AV-Software vs. traditionelle AV-Software schon kurz das Thema Next-Generation AV angeschnitten und möchte heute etwas mehr in die Tiefe gehen. Seit kurzem teste ich X by Invincea ausführlich und kann an dieser Stelle bereits vorweg nehmen, dass ich ziemlich beeindruckt bin, aber dazu nachher noch mehr. X by Invincea gibt es in drei Geschmacksrichtungen, wobei die umfangreichste Variante noch zusätzliche Funktionen wie eine isolierte Umgebung zum sicheren Öffnen von Dateien bzw. Attachments (Spear Phishing Attacks) mitbringt; mein Fokus beim Test liegt aber auf der Variante X by Invincea Prevent.. X by Invincea kann entweder zusätzlich zu einer schon vorhandenen AV-Lösung oder als Ablösung für eine bestehende AV-Lösung eingesetzt werden, wobei ich für meinen Teil die zweite Variante empfehlen würde.

Da ich bereits in meinem vorhergehenden Artikel auf die wesentlichen Unterschiede zwischen traditionellen AV- und Next-Gen-Lösungen eingegangen bin, möchte ich das an dieser Stelle nicht wiederholen und empfehle zum besseren Verständnis, den bereits erwähnten Artikel durchzulesen.

Bekannte und unbekannte Malware ohne Signaturen erkennen

Invincea setzt auf maschinenbasiertes Lernen, um verdächtige Dateien zu identifizieren und zu verhindern, dass sie gestartet werden. Jedes ausführbare Programm auf einem Endgerät wird dazu automatisch analysiert. X by Invincea extrahiert dazu eindeutige Merkmale aus dem Programmcode. Anschließend werden die extrahierten Attribute von einem mehrstufigen “Deep Learning“-Algorithmus hinsichtlich ihrer Ähnlichkeit zu anderen Malware-Familien untersucht. Als Ergebnis wird eine Bewertung (Score) zurückgeliefert; je höher der Score, desto höher ist die Wahrscheinlichkeit, dass es sich um Malware bzw. bösartigen Code handelt.

Wenn der Score für ein Programm einen gewissen Schwellwert (risk threshold) überschreitet, dann wird es als bösartig eingestuft und entweder in die Quarantäne verschoben oder gelöscht. X by Invincea kann sogar die Malware-Familie (z.B. Ransomware) erkennen, zu der die Datei gehört. Für den kompletten Prozess, der mit der Extraktion der Merkmale beginnt und mit dem Verschieben einer bösartigen Datei in die Quarantäne endet, werden gerade einmal 20 Millisekunden(!) benötigt. Diesen Wert kann ich bestätigen, denn ausführbare Dateien werden sehr schnell gescannt. Ich werde dazu auch noch Beispiele in Form eines Reviews oder Videos liefern.

Deep learning ahmt die Funktionsweise des menschlichen Gehirns nach

Unter machine (based) learning – oder wie es bei Invincea heißt – deep learning wird die Funktionsweise des menschlichen Gehirns nachgeahmt. Zusätzlich findet man bei Next-Generation Antivirus-Lösungen auch noch den Begriff  AI (artifical intelligence), also künstliche Intelligenz. Vereinfacht gesagt, geht es aber bei allen Methoden in die gleiche Richtung, und die Resultate sind in der Tat sehr beeindruckend. X by Invincea setzt auf deep learning, um Malware von gutartigen Programmen zu unterscheiden. Dadurch können auch unbekannte Malware oder polymorphe Varianten erkannt werden, mit deren Erkennung traditionelle signaturbasierte Lösungen oftmals Probleme haben.

Zusammengefasst lässt sich sagen, dass X by Invincea Malware stoppt, bevor sie auf einem Endgerät ausgeführt wird. Dabei bleibt die Systemauslastung im Vergleich mit anderen traditionellen AV-Lösungen minimal. Die Erkennung umfasst neben bekannter und unbekannter Malware auch Ransomware, Office-Dokumente mit Schadcode und weitere Bedrohungen, denen ein Endgerät tagtäglich ausgesetzt ist.     

Dateilose Angriffe

Die Anzahl der Angriffsvektoren bei Endgeräten ist groß, und so ist es auch nicht weiter verwunderlich, dass sog. “File-less Attacks” (Dateilose Angriffe) immer mehr zunehmen. Diese Art von Angriff ist teilweise nur sehr schwer zu erkennen, da keine Spuren in Form von Dateien mehr hinterlassen werden, d.h. auf dem Endgerät werden keine Dateien mehr erzeugt, sondern Schadcode wird direkt in den Speicher geschrieben und dort ausgeführt. Bekannte Vertreter von dateilosen Angriffen sind Office-Dokumente, die bösartigen Schadcode in Form eine Makros enthalten.

X by Invincea nutzt neben deep learning auch noch behavioral monitoring. Dahinter verbirgt sich die verhaltensbasierte Kontrolle/Überwachung von gutartigen bzw. als sicher geltenden Programmen, bei denen eine Abweichung vom normalen Verhalten als verdächtig eingestuft wird. Wird eine derartige Abweichung erkannt (z.B. beim Versuch, Malware oder Ransomware aus einem manipulierten Office-Dokument nachzuladen oder auszuführen), dann wird der entsprechende Prozess (z.B. word.exe) in Echtzeit automatisch beendet und die Ausführung von Schadcode verhindert.

Deep learning und behavioral monitoring ergänzen sich hervorragend und erhöhen den Schutz vor Bedrohungen auf Endgeräten drastisch.

Need to know

Die wichtigsten Punkte rund um X by Invicea möchte ich stichwortartig zusammenfassen:

  • Verhindert die Ausführung von bekannter und unbekannter Malware ohne Signaturen
  • Funktioniert auch offline, d.h. ohne Internetverbindung
  • Bietet effektiven Schutz vor Malware und Ransomware
  • Kombiniert mehrere fortschrittliche Erkennungsmethoden in einem schlanken Agent (200 MB RAM, <1% CPU)
  • Analysiert Dateien und entscheidet in 20 Millisekunden, ob eine Datei bösartig ist, bevor sie ausgeführt wird
  • Unterstützte Betriebssysteme: Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2

More to come

Da man bekanntlich viel erzählen kann, wenn der Tag lang ist, werde ich noch das eine oder andere Video folgen lassen. Mir geht es dabei nicht um Produktbashing, sondern um den direkten Vergleich zwischen Next-Gen- und traditioneller AV-Lösung. Besonderen Wert lege ich auf die Erkennung von Ransomware und speziell präparierten Samples, die eine Backdoor-Funktion beinhalten und üblicherweise so lange “behandelt” werden, bis sie kein Virenscanner mehr erkennt. Hier kann ich vorab schon sagen, dass X by Invincea überzeugende Resultate liefert, aber dazu in einem anderen Artikel bzw. Video mehr.

Next-generation AV-Software vs. traditionelle AV-Software

Ransomware – die digitale Plage der Gegenwart

Das Jahr 2016 war aus malwaretechnischer Sicht primär vom Thema Ransomware geprägt, und das wird meines Erachtens auch in 2017 nicht anders werden. Warum das so ist, habe ich bereits in einem anderen Blog-Artikel ausführlich erläutert, deshalb fasse ich mich an dieser Stelle kurz: Ransomware verspricht nach wie vor hohe Gewinne für Cyberkriminelle und üblicherweise ein geringes Risiko, geschnappt zu werden. Die entsprechende Infrastruktur lässt sich als “Software as a service” in Untergrundforen anmieten, der mögliche Profit durch gezahltes Lösegeld liegt üblicherweise um ein vielfaches höher als die Kosten für die Miete der Infrastruktur.

Last but not least wird Ransomware auch aus technischer Sicht immer hinterhältiger und effektiver, was das Unterlaufen von Schutzmaßnahmen auf dem Endgerät angeht. Aus der bekannten Cerber-Ransomwarefamilie gibt es beispielsweise die sog. Cerber Hash Factory, die in der Lage ist, in 15-Sekunden-Intervallen neue bzw. polymorphe Varianten zu erzeugen, die von AV-Lösungen, die hauptsächlich signaturbasierend und mit Hashwerten arbeiten, in der Regel nicht erkannt werden – wie denn auch, denn das gibt die Technik schlicht und ergreifend nicht her.

 

Warum versagt traditionelle Antiviren-Software (AV-Software) bei Ransomware in den meisten Fällen?

Ich hatte gerade schon ein Beispiel dafür geliefert, weshalb sog. traditionelle AV-Software immer mehr ins Hintertreffen gerät. Die meisten bekannten Hersteller wie Avira, Efest, Kaspersky, Bitdefender usw. arbeiten nach wie vor primär signaturbasiert und ergänzen diesen Schutz um weitere Funktionen wie verhaltensbasierte Erkennung von unbekannten ausführbaren Dateien oder cloudbasierten Abfragen, um Hashwerte für unbekannte Dateien zu erhalten. Diese Methoden sind geeignet, um bekannte Malware zu identifizieren – bei Malware oder Ransomware, die erst wenige Minuten oder Stunden alt ist, ist die Erkennungsrate bei signaturbasierten AV-Lösungen zumindest am Anfang eher schlecht als recht, und teilweise dauert es bei manchen Herstellern sogar deutlich länger als 24 Stunden, bis eine aktuelle Signatur bereitgestellt und verteilt wird. Sicher muss ich an dieser Stelle nicht weiter ausführen, was das speziell bei Ransomware bedeutet…

 

Was verbirgt sich hinter dem Begriff Next-Generation AV-Software?

Die einen halten es für ein Buzzword aus den Marketingabteilungen, die anderen verbinden den Begriff next-generation tatsächlich auch mit dem, für was er steht, nämlich für fortgeschrittene Erkennungsmethoden der nächsten Generation, die auch mit aktuellen Bedrohungen zurecht kommen. Signaturen kommen dort nicht mehr zum Einsatz, stattdessen setzen Hersteller wie SentinelOne, Cylance oder Invincea auf maschinenbasiertes Lernen und verhaltensbasierte Analysen. Kurz gesagt kann man sich maschinenbasiertes Lernen in etwa so vorstellen, dass die Hersteller von Next-Gen-Lösungen über einen sehr großen Datenbestand im Petabyte-Bereich verfügen, wozu bekannte und “gute” Software ebenso gehört wie Malware bzw. “bösartige” Software.

Anhand dieses Datenbestandes wird die Engine dann “trainiert” und lernt guten Code von schlechtem Code zu unterscheiden. Und um es gleich vorweg zu nehmen (ich werde in weiteren Artikeln noch detaillierter auf das Thema eingehen): Ja, es funktioniert. Es funktioniert sogar hervorragend, wenngleich auch hier mit false positives gerechnet werden muss, aber dazu ein ein andermal mehr. Namen erwähne ich vorerst nicht, aber ich kann zumindest soviel dazu sagen, dass ich bei einem Produkt an einem längeren Proof of Concept beteiligt war und aktuell eine weitere Next-Generation-Lösung teste, die mich bislang ebenfalls sehr begeistert, und diese Lösung werde ich auch in meinem nächsten Blogbeitrag ausführlicher vorstellen.

Als kleinen Appetizer bis zur Produktvorstellung möchte ich Ihnen noch ein paar Zahlen hinterlassen.

1. Erkennung von 100 aktuellen Malware-Samples (.exe) aus diversen Repositories, die alle 24 Stunden in einem ZIP-Archiv aktualisiert werden:

 

a) Next-Gen-Lösung: 100 von 100 Samples wurden erkannt und in die Quarantäne verschoben

 

image

 

image

 

 

b) Avira Free als traditionelle AV-Software: 14 von 100 Samples wurden beim Extrahieren aus dem ZIP-Archiv vom On Access-Scanner als malicious erkannt und gelöscht. Ein weiterer Scan mit dem On Demand-Scanner liefert keine weiteren Ergebnisse:

 

image

image