MSITC Avast Free 2017 backdoor evasion and Windows 10 privilege escalation

Warum man sich nicht ausschließlich auf herkömmliche AV-Software verlassen sollte, demonstriere ich in diesem Video:

Konkret geht es darum, dass eine Backdoor von Avast Free 2017 weder erkannt noch durch die verhaltensbasierte Analyse gestoppt wird. Gekoppelt mit einer Rechteausweitung (Privilege Escalation) ist es mir dann gelungen, die vollständige Kontrolle über das Endgerät zu erhalten, ohne dass die AV-Software Alarm geschlagen hätte.

Meine Handlungsempfehlung lautet deshalb nach wie vor, zusätzlich zu einer vorhandenen AV-Lösung auf Application Whitelisting zu setzen, denn damit erhält man eine wesentlich bessere Kontrolle über sein System. Wie gut das funktioniert, lässt sich in diesem Video deutlich erkennen:

Next-Generation Endpoint Protection solutions: Hype vs. Realität

Wie jedes Jahr gibt es in der IT auch in 2017 von Marketing-Strategen ersonnene Buzzwords, die in keinem Repertoire fehlen dürfen. Schon letztes Jahr war regelmäßig von von “machine based learning”, “artificial intelligence”,“math models” oder auch von “deep learning” die Rede. Üblicherweise werden diese Begriffe mit der nächsten Generation von AV-Software in Verbindung gebracht und signalisieren schon deutlich, dass hier keine veraltete (signaturbasierte) Technologie zum Einsatz kommt, sondern etwas weitaus leistungsfähigeres.

Hier stellt sich natürlich die Frage, ob das wirklich nur reine Buzzwords sind oder ob tatsächlich mehr dahintersteckt? Ich versuche die Frage einmal aus meiner Sicht zu beantworten: Zunächst muss man hier ganz klar die Spreu vom Weizen trennen, denn es gibt natürlich auch zunehmend Trittbrettfahrer, die sich gerne dieser Attribute bemächtigen, aber in Wahrheit nur ansatzweise oder gar keinen Gebrauch davon machen. Es gibt Hersteller wie Cylance, die ich als Pionier auf diesem Gebiet betrachte, denn bereits Ende 2015/Anfang 2016 hatte Cylance mit CylancePROTECT ein Produkt am Start, das wirklich anders war als Produkte der Mitbewerber aus dem klassischen AV-Umfeld wie Bitdefender, Kaspersky, Avira, Avast usw.

Im Jahr 2016 gesellten sich dann weitere Anbieter wie Invincea (inzwischen von Sophos akquiriert), Endgame, SparkCognition, Heilig Defense und andere dazu, die ebenfalls damit werben, Next-Gen-Techniken zu verwenden. Im Enterprise-Umfeld hat schon vor geraumer Zeit ein Paradigmenwechsel eingesetzt, der dazu geführt hat, dass man heute nicht mehr krampfhaft den Perimeter mit Firewalls, Proxies, Mailgateways oder IDS zu schützen versucht, sondern sich auf das schwächste Glied in der ganzen Kette konzentriert, und das ist nun mal das klassische Endgerät wie ein Desktop oder ein Laptop. Genau diesem Umstand wird mit Hilfe von Next-Gen-Lösungen auch Rechnung getragen, denn auf Signaturen und verhaltensbasierte Erkennung sollte man sich heutzutage nicht mehr verlassen – das mag noch bei simpel gestrickter (und bekannter!) Malware helfen, aber nicht mehr bei fortgeschrittenen Angriffen wie spear phishing oder targeted attacks, also zielgerichteten Angriffen gegen Unternehmen oder einzelne Personen.

Kurzum: Das Jahr 2017 wird mit Sicherheit weitere interessante Entwicklungen bringen. Während einige Hersteller von Next-Gen-Lösungen offensichtlich kein Interesse am Small Office- und Home-Bereich haben, weiß ich von anderen, dass sie auch an Versionen für den Heimbereich arbeiten. Vor Mitte des Jahres wird aber vermutlich nichts kommen, da wie gesagt der Enterprise-Markt im Fokus steht und nicht der Home-Bereich. Diese Entwicklung wird aus meiner Sicht dazu führen, dass die Hersteller von traditionellen AV-Lösungen nicht umhin kommen werden, ebenfalls auf neue Technologie zu setzen – andernfalls könnte es gut passieren, dass sie eines Tages mit dem Rücken an der Wand stehen.

Diese Behauptung möchte ich mit einem Beispiel untermauern: Wer schon mal Malware- und Ransomware-Tests durchgeführt hat, weiß, dass die cloudbasierte Erkennung bei vielen Herstellern von klassischer AV-Software zu einem Großteil für die Erkennung von Schadcode zuständig ist. Das setzt aber wiederum voraus, dass eine permanente Internetanbindung besteht, was normalerweise auch kein Problem darstellt. Was aber, wenn es um mobile Anwender geht, die nicht permanent mit dem Internet verbunden sind und demnach auch mit einer deutlich reduzierten Schutzwirkung leben müssen, solange kein cloudbasierter Scan möglich ist? Es gibt Firmen, deren Techniker oder Kundendienstmonteure tage- oder gar wochenlang in Regionen mit schlechter oder keiner Internetverbindung unterwegs sind – wie gut ist diese Zielgruppe wohl ohne aktuelle Signaturen und cloudbasierten Scans geschützt?

Das sieht mit Next-Gen AV-Lösungen ganz anders aus, denn diese funktionieren übicherweise auch im Offline-Betrieb genau gleich, da sie nicht von Signaturen oder cloud based scans abhängig sind. Für mich gehört die Zukunft ganz klar diesen Lösungen, und ich hoffe, dass ich noch ausreichend Gelegenheit haben werde, das ein oder andere Produkt in diesem Bereich gründlich zu testen und die Ergebnisse in meinem Youtube-Kanal zu präsentieren. Wie es der Zufall so möchte, habe ich dazu gerade im Blog von Cylance noch diesen recht interessanten Artikel entdeckt: https://www.cylance.com/en_us/blog/antivirus-testing-for-real-world-failure.html

Wer sich übrigens etwas genauer in das Thema machine based learning einlesen möchte, findet im Blog von Endgame eine sehr umfangreiche Schilderung der bekannten Modelle auf englisch: https://www.endgame.com/blog/its-bake-navigating-evolving-world-machine-learning-models

Review: SecureAPlus – Next Generation Endpoint Protection and Application Whitelisting

Einführung

Um mit aktuellen Bedrohungen durch Malware und Ransomware Schritt halten zu können, bedarf es heutzutage mehr als nur einer signaturbasierten AV-Lösung. Insbesondere beim Thema Ransomware kommt es regelmäßig vor, dass traditionelle AV-Software, die primär auf Signaturen basiert, kläglich versagt und Signaturen zur Erkennung von Bedrohungen teilweise erst Tage später vom jeweiligen Hersteller bereitgestellt werden. Ich möchte an dieser Stelle keine Namen erwähnen, aber seien Sie versichert, dass ich mehrfach erlebt habe, dass Ransomware in Unternehmen nicht von der dort installierten Enterprise AV-Lösung entdeckt geschweige denn geblockt wurde.

Bereits im Heimbereich ist eine Infektion mit Ransomware nicht nur sehr ärgerlich, sondern kann auch ernste Folgen haben, wenn persönliche Daten, Bilder oder Dokumente irreversibel verschlüsselt werden. Ich bin sicher, dass in den wenigsten Haushalten oder Heimnetzwerken ein vernünftiges Backupkonzept existiert, mit dessen Hilfe sich im Schadensfall wichtige Daten schnell und zuverlässig wiederherstellen lassen. Für kleine und mittelständische Unternehmen (SMB/SOHO) kann die Kombination aus nicht entdeckter Ransomware und einem nicht vorhandenen Backup dazu führen, dass der Geschäftsbetrieb unterbrochen wird und wichtige Daten (Kundenaufträge, Konstruktionszeichnungen, Buchhaltungsdaten usw.) verloren gehen – was das konkret bedeutet, überlasse ich der Phantasie jedes einzelnen. Im schlimmsten Fall muss der Geschäftsbetrieb mit allen entsprechenden Konsequenzen eingestellt werden.

Mitigationsstrategien

Ich möchte an dieser Stelle nicht allzu sehr in die Tiefe abdriften, aber zu einer Mitigationsstrategie gehören für mich ganz klar u.a. folgende Faktoren:

Wirkungsvoller Schutz vor Malware und Ransomware auf dem Endgerät – das Endgerät ist das schwächste Glied in der Kette, auf den Perimeterschutz sollte man sich nicht verlassen
Durchdachtes und funktionierendes Backup-Konzept, das auf seine Wirksamkeit hin verifiziert wurde
Im Unternehmensumfeld: Schutz vor schädlichen Downloads/URLs durch Web Gateways/Proxies und Device Control, um die (nichtauthorisierte) Verwendung von Wechselmedien u.a. an USB-Ports zentral managen und kontrollieren zu können
Arbeiten mit normalen Benutzerrechten

Da in einem großen Unternehmen üblicherweise auch eine entsprechende IT-Abteilung existiert, die sich um derartige Themen kümmert, möchte ich mich im folgenden auf den SOHO-Bereich (Small Office/Home User) konzentrieren, da SecureAPlus dort meines Erachtens ein äußerst hohes Maß an Sicherheit bietet, das von konventionellen AV-Lösungen nur teilweise erreicht wird. Warum das so ist, werde ich nachfolgend näher erläutern.

Begriffsdefinition

Bevor es nun gleich ans eingemachte geht, halte ich es für wichtig, häufig verwendete Begriffe kurz zu erläutern, um das Review verständlich zu halten.

  • Endgerät oder Endpoint: Wird in diesem Review als Abkürzung für Windows-basierte Endgeräte verwendet (keine Smartphones!)
  • Whitelisting oder Application Whitelisting: Bezeichnet eine Technik, die von vielen Fachleuten als die sicherste Methode zum Schutz der Ausführung von unbekanntem Programmcode oder Anwendungen angesehen wird. Dazu wird ein Snapshot (Bestandsaufnahme) auf einem Endgerät erstellt und anschließend das Endgerät sozusagen versiegelt, d.h. nach dem initialen Snapshot wird keine Software mehr ausführt, egal ob sie vom Internet heruntergeladen oder von einer CD oder einem USB-Stick gestartet wurde. Dies ist dann nur noch nach expliziter Zustimmung des Anwenders möglich. Betriebssystem- oder Software-Updates sind davon natürlich nicht betroffen.
  • Universal AV Scan: Diese Bezeichnung wird von SecureAge, dem Hersteller von SecureAPlus, für die Anbindung von cloudbasierten Virenscannern verwendet. SecureAPlus bietet die Möglichkeit, beliebige Dateien mit Hilfe von 12 verschiedenen Scan Engines (u.a. von Eset, AVG, McAfee usw.) zu überprüfen. Dazu werden in der Standardeinstellung ausführbare Dateien in die Cloud zur Analyse hochgeladen, was sich aber auch deaktivieren lässt, falls man das nicht möchte. Der Universal AV Scan setzt eine Internetverbindung voraus, ansonsten kann diese Option nicht verwendet werden.
  • Offline AV Scan: Ist für Situationen gedacht (z.B. mobile Anwender ohne bestehende Internetverbindung), in denen der Universal AV Scan nicht zur Verfügung steht und dennoch Dateien gescannt werden sollen. In diesem Fall kommt der Open Source-Virenscanner ClamAV zum Einsatz. Ich möchte an dieser Stelle eindrücklich darauf hinweisen, dass ClamAV mittlerweile zwar auch brauchbare Ergebnisse erzielt, aber unter keinen Umständen als gleichwertiger Ersatz für ein kommerzielles AV-Programm betrachtet werden sollte. Hinter ClamAV steckt kein Hersteller, der regelmäßig neue Signaturen bereitstellt, sondern eine Community, in der Freiwillige diesen Job übernehmen.
  • Traditionelle AV-Software: Vor ungefähr zwei Jahren begann eine sehr interessante Entwicklung im AV-Bereich, die bis heute andauert. Die meisten AV-Programme wurden zwar im Laufe der Jahre weiterentwickelt, aber dennoch arbeitet ein Großteil immer noch mit Signaturen zur Erkennung von Bedrohungen. Signaturen alleine reichen heute aber nicht mehr aus, wenn man sich vor Augen hält, dass Stand Februar 2017 täglich über 300.000(!) neue Malware-Samples generiert werden, und selbst mit heuristischer oder verhaltensbasierter Analyse hinken traditionelle AV-Programme denen der nächsten Generation (Next-Gen AV) hinterher.

Next-Gen AV-Software: Lässt sich auf deutsch am besten mit “AV-Software der nächsten Generation” übersetzen. Next-Gen AV kommt vollständig ohne Signaturen aus und arbeitet üblicherweise mit fortschrittlichen Methoden wie maschinenbasiertem Lernen, mathematischen Modellen oder künstlicher Intelligenz (AI). Das klingt zunächst nach vielen Marketing-Buzzwords, und genau das ist es bei einigen Herstellern auch. Insbesondere bekannte Namen aus dem Bereich der traditionellen AV versuchen nun auch auf diesen gewinnbringenden Zug aufzuspringen, aber in der Regel bleibt es bei diesem Versuch. Ohne Namen zu nennen, kann ich an dieser Stelle sagen, dass ich die Möglichkeit hatte, über mehrere Monate hinweg einen Proof Of Concept zu begleiten, in dem es um die Evaluierung einer Next-Gen-Lösung für den Unternehmenseinsatz ging, und bei sämtlichen Tests – egal, ob es sich um Trojaner, 0-day malware, Backdoors oder Ransomware handelte – lag die Next-Gen-Lösung stets vor der traditonellen AV-Lösung und lieferte absolut überzeugende Ergebnisse.

Natürlich könnte ich noch viel mehr dazu schreiben, aber ich belasse an dieser Stelle beim gesagten. Fakt ist aber, dass traditionelle AV-Programme für mich keine Zukunft haben – die Zukunft gehört ganz klar Next-Gen AV-Lösungen, da hier neue Methoden zur Erkennung von Malware und Ransomware zum Einsatz kommen und die neben einer ausgezeichnten Erkennungsrate auch deutlich ressourcenschonder ans Werk gehen als konventionelle AV-Programme. Noch wichtiger: Für mich ist uninteressant, mit welchen Buzzwords Hersteller um sich werfen, ich mache mir lieber ein eigenes Bild, und meine persönlichen Erfahrungen mit Next-Gen AV-Software sind einfach äußerst vielversprechend.

SecureAPlus, eine interessante Endpoint Protection-Lösung?

Ja, definitiv. SecureAPlus vereint nämlich mehrere Konzepte unter einer Haube:

  • Application Whitelisting
  • Universal AV Scan
  • Offline Scan

Ich möchte gleich beim ersten Punkt beginnen, und zwar beim Thema (Application) Whitelisting. Wer sich damit bereits auseinandergesetzt hat, weiß, dass Whitelisting zwar den bestmöglichen Schutz auf Endgeräten bietet, aber gleichzeitig mit einem immensen Pflegeaufwand verbunden ist. Das gilt zwar weniger für den SOHO-Bereich, aber dafür umso mehr im Unternehmensumfeld, denn dort heißt es bei jedem Applikationsupdate die Whitelist zu pflegen. Glücklicherweise bietet SecureAPlus einen ebenso einfachen wie wirkungsvollen Ansatz, um den Pflegeaufwand so gering wie möglich zu halten – dazu gleich noch mehr.

Den zweiten Punkt hatte ich auch schon erläutert, möchte aber dennoch etwas näher darauf eingehen. Stellen Sie sich folgende Situation vor: Sie laden eine Datei aus dem Internet herunter und prüfen diese mit Ihrem Virenscanner. Dieser kann nichts schädliches entdecken, und somit kann der Download als sicher gelten. Oder etwa doch nicht? Was, wenn Ihr Virenscanner schädlichen Programmcode einfach nicht entdeckt hat? Sie können die heruntergeladene Datei beispielsweise nun manuell zu Virustotal hochladen, um sie dort mit über 55 Virenscannern überprüfen zu lassen, doch ganz ehrlich: Wer macht das schon? Wer nimmt diesen Aufwand auf sich? Meiner Erfahrung nach so gut wie niemand.

Anders hingegen sieht es aus, wenn die Überprüfung per Kontextmenü und Mausklick über den Windows Explorer stattfinden kann, denn genau diese Funktionalität bietet SecureAPlus mit dem Universal AV Scan. Darüber hinaus wird der Universal AV Scan auch bei der Erstinstallation von SecureAPlus aktiv, um sicherzustellen, dass sich keine Malware im System befindet. Würde die Überprüfung nicht stattfinden, dann könnte dies im worst case dazu führen, dass bereits aktive Malware nicht erkannt wird und stattdessen auf der Whitelist landet. Mittels Universal AV Scan lassen sich Dateien mit 12 Scan Engines in der Cloud überprüfen, was die Wahrscheinlichkeit deutlich erhöht, auch aktuelle Malware zu erkennen.

Den Offline Scan möchte ich nur der Vollständigkeit halber erwähnen, weil hier ClamAV zum Einsatz kommt. ClamAV ist ein Open Source-Virenscanner, dessen Erkennungsrate nicht mit der von kommerziellen Produkten mithalten kann – er ist sicher besser als nichts, aber ich würde jederzeit dem Univeral AV Scan den Vorzug geben.

Das schärfste Schwert im Sortiment ist für mich ganz klar das Whitelisting. Ich habe SecureAPlus in meinem Lab mit hunderten von Samples getestet, darunter waren sowohl brandheiße Malware als auch aktuelle Ransomware. In keinem einzigen Fall wurde ein unbekanntes Programm ausgeführt, was einer Erfolgsquote von 100% entspricht. Natürlich besteht immer die Möglichkeit, dass ein findiger Hacker Mittel und Wege findet, auch eine Whitelisting-Lösung zu umgehen, doch dazu bedarf es eines erheblichen Aufwandes, und Wald- und Wiesen-Malware wird definitiv durch das Whitelisting-Konzept abgewehrt, was im übrigen auch für Ransomware gilt.

Ein weiterer wichtiger Punkt ist für mich das Thema Systemauslastung. Generell bremst ein Virenscanner bedingt durch seine Funktionsweise jedes System aus, auf älteren Endgeräten macht sich das allerdings noch viel stärker bemerkbar als auf einem Rechner der neuesten Generation. Das ist bei SecureAPlus anders, denn im Vergleich mit einem traditionellen AV-Programm ist es eher ein Leichtgewicht und lässt sich deshalb auch problemlos auf älteren Endgeräten einsetzen.

Installation und Konfiguration

Das Setup steht in zwei Varianten zur Verfügung. Bei der einen werden zu Beginn der Installation weitere Komponenten aus dem Internet nachgeladen, und bei der anderen befindet sich bereits alles benötigte im Setup. Nach der Installation beginnt SecureAPlus mit der Überprüfung des Systems, um eine Kompromittierung durch aktive Malware auszuschließen. Anschließend beginnt der Whitelisting-Prozess, der je nach Rechnergeneration bis zu mehreren Stunden dauern kann. Dieser Vorgang ist einmalig (Initial Full Scan) und die Grundlage für Application Whitelisting. Ab diesem Zeitpunkt ist ein Endgerät vollständig geschützt, d.h. die Ausführung von Programmen oder Scripts wird nun defaultmäßig unterbunden. Die Installation bzw. die Ausführung von neuen Programmen oder Scripts muss explizit erlaubt werden, damit sie der Whitelist hinzugefügt und als legitime Anwendung betrachtet werden; das ist am Anfang vielleicht etwas umständlich, aber dafür erhält man im Gegenzug einen Security Level, den ein traditioneller AV-Scanner nicht bieten kann.

SecureAPlus verfügt übrigens über ein deutsches Sprachpaket, das nach der Installation aktiviert werden kann. Leider steht die Support-Webseite von SecureAge nur auf englisch zur Verfügung, es lohnt sich aber definitiv, dort die Einführung in die Funktionsweise von SecureAPlus durchzulesen: https://support.secureaplus.com/

sap_language_settings

Arbeiten mit SecureAPlus

Wie ich bereits erwähnte, ist das Endgerät nach der Installation sozusagen versiegelt und lässt ohne explizite Erlaubnis weder die Installationv von Software noch die Ausführung von Scripts zu. Im Klartext bedeutet das, dass z.B. auch Ransomware, die üblicherweise durch maliziöse Dokumente verbreitet wird, keine Chance mehr hat, aktiv zu werden. Um bei diesem Beispiel zu bleiben, möchte ich kurz den Infektionsverlauf skizzieren:

1. Anwender erhält ein maliziöses Office-Dokument per Mail und wird per Social Engineering dazu gebracht, die Ausführung von Office-Makros in Dokumenten zu erlauben, die aus dem Internet heruntergeladen wurden

2. Im nächsten Schritt wird bösartiger Makrocode ausgeführt, der entweder direkt eine ausführbare .exe-Datei oder ein Script (Powershell oder Javascript) aus dem Office-Dokument extrahiert oder aus dem Internet nachlädt und ausführt

3. Was jetzt folgt, ist hinlänglich bekannt: Entweder wird der Schadcode vom Virenscanner erkannt oder eben auch nicht. Man sollte sich auch nicht verlassen, dass die User Account Control (UAC) von Windows zuschlägt, denn aktuelle Ransomware kennt auch üble Tricks, um die UAC zu umgehen (https://www.bleepingcomputer.com/news/security/erebus-ransomware-utilizes-a-uac-bypass-and-request-a-90-ransom-payment/). Damit bekommt der Anwender noch nicht einmal mehr mit, dass im Hintergrund möglicherweise etwas läuft, das dort besser nicht laufen sollte.

Im worst case – und das ist es in den meisten Fällen – hat der Anwender nun den Schaden und verschlüsselte Dateien auf der Festplatte.

Glücklicherweise schlägt genau diese Vorgehensweise bei Verwendung von SecureAPlus fehl, und zwar aus dem simplen Grund, weil die extrahierten oder heruntergeladenen Dateien nicht auf der Whitelist stehen und deshalb auch nicht ausgeführt werden. Soll eine legitime Software installiert werden, dann wird einfach das entsprechende Installationsprogramm gestartet und im Whitelist-Dialog die Option “Freigeben & Vertrauen” angeklickt. Damit wird die Whitelist um diese Anwendung erweitert, außerdem besteht an dieser Stelle die Möglichkeit, heruntergeladene Dateien direkt über den Universal/AV Cloud Scan auf Malware prüfen zu lassen. Selbstverständlich ist auch der Import und Export von Whitelists möglich.

sap_whitelisting_app

Für Anwender im Firmenumfeld gibt es auch noch die Möglichkeit, eine Freigabe von Anwendungen über das SecureAgePlus-Portal beim zuständigen Administrator zu beantragen; darauf möchte ich an dieser Stelle aber nicht näher eingehen, da Software in der Regel dort zentral gemanaged und verteilt wird und somit auch das Application Whitelisting durch die IT und nicht durch den Anwender erfolgt. Hinzu kommt, dass SecureAge die zentralen Managementmöglichkeiten gerade stark überarbeitet und in Zukunft das Portal zur Verwaltung von mehreren Endgeräten mit SecureAPlus über das Internet um weitere Funktionalitäten erweitern wird.

Sonstiges

Ich habe es schon mehrfach zum Ausdruck gebracht, deshalb mache ich es an dieser Stelle kurz: Application Whitelisting bietet ein Schutzniveau, das von einer herkömmlichen AV-Lösung nicht erreicht werden kann. Obwohl damit zumindest rein theoretisch ein 100%-Schutz vor Malware und Ransomware möglich ist, möchte ich zu bedenken gaben, dass es immer ein Wettlauf bleiben wird.

Dem Einfallsreichtum von Angreifern sind keine Grenzen gesetzt, deshalb hinken die Verteider immer hinterher. Gleichwohl gilt, dass es aus meiner Sicht deutlich schwieriger ist, eine Application Whitelisting-Lösung zu unterlaufen als eine tradtionelle AV-Lösung. Da SecureAPlus sehr leichtgewichtig ist und kaum Systemressourcen verbraucht, lässt es sich zusätzlich zu einem vorhandenen Virenscanner betreiben. Beachten Sie jedoch bitte, dass keine vollständige Kompatibilität zu sämtlicher AV-Software gewährleistet werden kann, deshalb möchte ich an dieser Stelle keine Empfehlungen für eine bestimmte AV-Lösung aussprechen – hier hilft notfalls nur testen und ggf. auch Ausschlüsse im Virenscanner definieren, falls doch Probleme beim Parallelbetrieb auftreten sollten.

Sobald die ersten Next-Gen AV-Lösungen auf Basis von machine based/deep learning für den SOHO-Bereich verfügbar sind (ich gehe von Mitte des Jahres aus), kann ich jedem Anwender nur empfehlen, auf eine derartige Lösung umzusteigen und diese als optimale Ergänzung zum Application Whitelisting zu verwenden. Ich hatte im vergangenen Jahr die Möglichkeit, an einem längeren Proof Of Concept einer Next-Gen-Lösung teilzunehmen, und die Ergebnisse dieses PoCs haben für mich ganz klar gezeigt, wem die Zukunft gehört – es sind definitiv nicht signaturbasierte traditionelle AV-Lösungen. Sobald Verfahren wie machine based learning und AI (Artifical Intelligence) zum Einsatz kommen, kann signaturbasierte AV einpacken, aber dazu ein anderes Mal mehr.

Videos

Der Anfang ist bereits gemacht, und für die Zukunft habe ich schon weitere Videos geplant, in denen SecureAPlus im Einsatz zu sehen sein wird. Ein Bild sagt bekanntlich mehr als tausend Worte, für ein Video gilt das natürlich umso mehr. Vergleichen Sie selbst, wie leistungsfähig SecureAPlus im Vergleich mit adäquaten Programmen oder diversen Antiviren-Lösungen ist. Abonnieren Sie unseren MSITC Youtube-Kanal, um keine neuen Videos zu verpassen.

SecureAPlus vs Cerber Ransomware

Fazit

Als Incident Responder und IT Security Analyst bin ich bestens mit digitalen Bedrohungen jeglicher Art vertraut, denen Endgeräte heutzutage ausgesetzt sind. Da ein zuverlässiger und sicherer Endgeräteschutz immer wichtiger wird, um mit der permanent wachsenden Zahl von Bedrohungen Schritt halten zu können, bietet eine Application Whitelisting-Lösung ein sehr hohes und adäquates Schutzniveau. Egal, ob Ransomware, Malware, Backdoors, drive-by-downloads, phishing mails oder maliziöse Office-Dokumente: Ich habe SecureAPlus lange und intensiv getestet und kann daher sagen, dass in keinem einzigen Fall schädlicher Code ausgeführt werden konnte. Während moderne AV-Scanner von Avast, Avira, Bitdefender, Kaspersky usw. zwar auch gute Erkennungsleistungen zeigen, besteht dennoch immer die Möglichkeit, dass ein gut getarntes und erst wenige Minuten oder Stunden altes Malware- oder Ransomware-Sample nicht erkannt wird. Da spielt es dann auch keine Rolle, ob die Erkennungsrate ansonsten bei 99% oder höher liegt – das eine Ransomware-Sample schlägt ein und führt dann zu den bekannten unangenehmen Konsequenzen für den Anwender.

Da mir der Hersteller von SecureAPlus einen Einblick in die Entwicklungspläne zuteil werden ließ, kann ich an dieser Stelle nur sagen, dass noch sehr interessante Dinge kommen werden, die den jetzt schon sehr guten Schutz, den SecureAPlus bietet, noch weiter erhöhen werden. Auch für das zentrale Management in Firmen wird es in naher Zukunft deutlich mehr Möglichkeiten geben; ich werde darauf in einem follow-up eingehen, sobald es spruchreif ist.

Wenn man den Leistungsumfang betrachtet, den man mit dem Erwerb einer Premium-Lizenz von SecureAPlus erhält, dann bekommt man aus meiner Sicht ein Komplettpaket mit einem Rundumschutz vor aktuellen Bedrohungen zu einem sehr guten Preis-/Leistungsverhältnis.

Bezugsquelle

Wir sind offizieller SecureAPlus Reseller, SecureAPlus Premium-Lizenzen sind bei uns im Shop erhältlich. Für weitere Fragen zu SecureAPlus oder Supportanfragen können Sie uns gerne über das Kontaktformular im Shop .

MSITC SecureAPlus Application Whitelisting vs. Cerber Ransomware – securedsector.com

SecureAPlus ist ein weiteres Endpoint Security-Produkt, das primär auf Application Whitelisting setzt. Dazu wird einmalig eine Art Snapshot erstellt, in dem alle bekannten Applikationen und Systemdateien aufgezeichnet werden.

Alle nachfolgenden Änderungen wie die Installation neuer Software müssen dann explizit erlaubt werden, andernfalls werden sie geblockt. Application Whitelisting bietet einen extrem hohen Level an Sicherheit und wird von vielen Experten sogar als das sicherste Mittel betrachtet, wenn es um den Schutz vor Malware und Ransomware auf Endgeräten geht.

VoodooShield: Next-Generation AV-Software zum effektiven Schutz vor Malware und Ransomware

In einem früheren Blogbeitrag habe ich erläutert, weshalb traditionelle Antiviren-Software im Vergleich mit AV-Lösungen der nächsten Generation nicht mehr mithalten kann. Allerdings muss man auch fairerweise erwähnen, dass die bekannten Anbieter in diesem Bereich wie Cylance, Invincea oder auch SentinelOne primär im Enterprise-Bereich (sprich: große Firmen) unterwegs sind und zumindest derzeit (Stand Januar 2017) keine Versionen für den SOHO/SMB-Markt (Small Office und Home users) anbieten. Mir ist  ein Anbieter bekannt, der auch an einer Version für Endkunden arbeitet, aber ein Releasedatum kenne ich nicht.

Da ich unseren Kunden einen wirkungsvollen Schutz insbesondere vor Ransomware anbieten möchte, habe ich nach weiteren Lösungen gesucht und bin dabei auf ein Produkt namens VoodooShield gestoßen, das aus meiner Sicht sehr interessant ist. VoodooShield arbeitet entweder standalone oder als Ergänzung zu einem vorhandenen Virenschutz und kombiniert Whitelisting mit AI (Artifical Intelligence = künstliche Intelligenz) sowie einem cloudbasierten Blacklist Scan mit über 50 Scan Engines. Whitelisting ist nach Meinung vieler Experten die sicherste Möglichkeit, einen Computer vor Malware oder bösartigem Code zu schützen, denn beim Whitelisting-Ansatz wird nur bekannte (sprich: sichere) Software ausgeführt. Ich teile diese Einschätzung, denn angesichts der Tatsache, dass täglich über 200.000(!) neue Malwaresamples erscheinen, kann man nachvollziehen, dass signaturbasierte Virenschutzlösungen mit der Erkennung von Malware nicht mehr hinterherkommen.

vs_1_blocked

Wie Whitelisting in VoodooShield genau funktioniert, werde ich in einem anderen Beitrag detaillierter erläutern; an dieser Stelle möchte ich deshalb nur kurz erwähnen, dass ein Endgerät dazu in einem sog. Trainingsmodus für eine bestimmte Zeitspanne operieren muss, um zu lernen, welche Programme und Prozesse legitim sind. Wenn diese Lernphase abgeschlossen ist, dann ist das Whitelisting aktiv und die Ausführung von unbekanntem Programmcode wird unterbunden. VoodooShield wurde sowohl für den privaten Bereich als auch für den Einsatz im Firmenumfeld konzipiert und ist schon seit längerem auf dem Markt; man merkt der Software ihren hohen Entwicklungsgrad auch an.

Das einzige Manko aus meiner Sicht ist die Tatsache, dass VoodooShield derzeit nur in englisch verfügbar ist, was aber andererseits keine unüberwindbare Hürde darstellt. Zum einen arbeitet der Hersteller daran, VoodooShield im Lauf des Jahres mehrsprachig zu machen, und zum anderen wird man – wenn überhaupt – nur wenige Änderungen an der Konfiguration vornehmen müssen.

Um es auf den Punkt zu bringen: Technologisch ist VoodooShield dank seines Whitelisting-Ansatzes traditionellen AV-Lösungen überlegen. Während andere Lösungen bei einer nicht vorhandenen Internet-Anbindung auf einem Auge schon blind sind, weil dadurch kein cloudbasierter Scan möglich ist, funktioniert das Whitelisting auch offline. Ich habe VoodoShield in meinem Lab intensiv mit frischen Malwaresamples jeglicher Coleur getestet (0-day, Ransomware, Backdoors usw.), und in allen(!) Fällen wurde die Ausführung von schädlichem Programmcode erfolgreich unterbunden. Weitere Vorteile von VoodooShield sind:

  • Extrem schnell und ressourcenschonend
  • Übertragung von ausführbaren Programmen zur detaillierten Analyse in eine cloudbasierte Sandbox
  • Sehr gutes Preis-/Leistungsverhältnis

Sowohl das Funktionsprinzip als auch die Leistungsfähigkeit von VoodoShield haben mich voll und ganz überzeugt, und deswegen habe ich VoodooShield in unser Portfolio aufgenommen. Beim Kauf von VoodooShield-Lizenzen über unseren Shop erhalten Sie außerdem Installationssupport (max. 15 Minuten). Darüber hinaus gibt es in wenigen Wochen auch die Möglichkeit eines zentralen Managements über eine Webkonsole, womit ich unseren Kunden VoodooShield dann auch als managed solution anbieten kann; dazu aber mehr, sobald es spruchreif ist.

MSITC VoodooShield vs Bitdefender Free Powershell backdoor detection

In this video I demonstrate the difference between VoodooShield and Bitdefender Free concerning blocking succesfully an obfuscated backdoor payload in a Powershell script – or not.
Please understand that this is no product bashing, I just want to demonstrate the effectiveness of a next-generation AV solution with whitelisting capability.

 

In diesem Video demonstriere ich den Unterschied zwischen VoodooShield and Bitdefender Free bezüglich des Verhaltens beim Blockieren eines Powershell-Scripts, das eine verschlüsselte Backdoor enthält.
Ich weise ausdrücklich darauf hin, dass es mir nicht darum geht, das eine Produkt gut aussehen zu lassen, während das andere schlecht abschneidet. Es geht mir schlicht und ergreifend darum, die Effektivität einer Next-Generation AV-Lösung wie VoodooShield darzustellen, die ohne Virensignaturen und u.a. auf Basis von Whitelisting arbeitet.

https://www.ms-it-consulting.biz
https://www.securedsector.com
https://www.msitc-shop.com/hardware/voodooshield-pro-1-jahres-lizenz/a-939/

Bedrohungen durch Ransomware reißen auch in 2017 nicht ab

2017 fängt aus IT Security-Sicht nicht anders an, wie das alte Jahr aufgehört hat. Nachdem sich Ransomware nach wie vor als sehr profitables Geschäftsmodell etabliert, kann von einem nachlassenden Bedrohungspotential nicht die Rede sein, ganz im Gegenteil: Es wird aus meiner Sicht deutlich schlimmer.

Dass der Einfallsreichtum von Cyberkriminellen keine Grenzen kennt, zeigt die neue Ransomware Doxware. Diese verschlüsselt nämlich nicht nur Dokumente oder Bilder, sondern droht zusätzlich noch damit, private Daten wie Chatprotokolle, Dokumente oder sonstige sensible Daten öffentlich zu machen, um damit den Druck auf das Opfer der Ransomware-Attacke noch zu erhöhen:

With doxware, hackers hold computers hostage until the victim pays the ransom, similar to ransomware. But doxware takes the attack further by compromising the privacy of conversations, photos, and sensitive files, and threatening to release them publicly unless the ransom is paid. Because of the threatened release, it’s harder to avoid paying the ransom, making the attack more profitable for hackers.

Ich möchte an dieser Stelle noch einmal deutlich auf die von mir in einem anderen Beitrag erwähnten Mitigationsmaßnahmen zur Risikoreduzierung aufmerksam machen, denn auf eine traditionelle Virenschutzlösung sollte man sich heutzutage nicht mehr verlassen. Moderne Ransomware arbeitet aus technischer Sicht auf einem meistens sehr hochen Niveau (von einzelnen Ausnahmen abgesehen), und es werden alle Möglichkeiten seitens der Ransomware-Entwickler ausgeschöpft, um vor allem AV-Software zu unterlaufen. 

Produktvorstellung: Next-Generation Antivirus X by Invincea

Einleitung

Ich hatte in meinem Artikel Next-generation AV-Software vs. traditionelle AV-Software schon kurz das Thema Next-Generation AV angeschnitten und möchte heute etwas mehr in die Tiefe gehen. Seit kurzem teste ich X by Invincea ausführlich und kann an dieser Stelle bereits vorweg nehmen, dass ich ziemlich beeindruckt bin, aber dazu nachher noch mehr. X by Invincea gibt es in drei Geschmacksrichtungen, wobei die umfangreichste Variante noch zusätzliche Funktionen wie eine isolierte Umgebung zum sicheren Öffnen von Dateien bzw. Attachments (Spear Phishing Attacks) mitbringt; mein Fokus beim Test liegt aber auf der Variante X by Invincea Prevent.. X by Invincea kann entweder zusätzlich zu einer schon vorhandenen AV-Lösung oder als Ablösung für eine bestehende AV-Lösung eingesetzt werden, wobei ich für meinen Teil die zweite Variante empfehlen würde.

Da ich bereits in meinem vorhergehenden Artikel auf die wesentlichen Unterschiede zwischen traditionellen AV- und Next-Gen-Lösungen eingegangen bin, möchte ich das an dieser Stelle nicht wiederholen und empfehle zum besseren Verständnis, den bereits erwähnten Artikel durchzulesen.

Bekannte und unbekannte Malware ohne Signaturen erkennen

Invincea setzt auf maschinenbasiertes Lernen, um verdächtige Dateien zu identifizieren und zu verhindern, dass sie gestartet werden. Jedes ausführbare Programm auf einem Endgerät wird dazu automatisch analysiert. X by Invincea extrahiert dazu eindeutige Merkmale aus dem Programmcode. Anschließend werden die extrahierten Attribute von einem mehrstufigen “Deep Learning“-Algorithmus hinsichtlich ihrer Ähnlichkeit zu anderen Malware-Familien untersucht. Als Ergebnis wird eine Bewertung (Score) zurückgeliefert; je höher der Score, desto höher ist die Wahrscheinlichkeit, dass es sich um Malware bzw. bösartigen Code handelt.

Wenn der Score für ein Programm einen gewissen Schwellwert (risk threshold) überschreitet, dann wird es als bösartig eingestuft und entweder in die Quarantäne verschoben oder gelöscht. X by Invincea kann sogar die Malware-Familie (z.B. Ransomware) erkennen, zu der die Datei gehört. Für den kompletten Prozess, der mit der Extraktion der Merkmale beginnt und mit dem Verschieben einer bösartigen Datei in die Quarantäne endet, werden gerade einmal 20 Millisekunden(!) benötigt. Diesen Wert kann ich bestätigen, denn ausführbare Dateien werden sehr schnell gescannt. Ich werde dazu auch noch Beispiele in Form eines Reviews oder Videos liefern.

Deep learning ahmt die Funktionsweise des menschlichen Gehirns nach

Unter machine (based) learning – oder wie es bei Invincea heißt – deep learning wird die Funktionsweise des menschlichen Gehirns nachgeahmt. Zusätzlich findet man bei Next-Generation Antivirus-Lösungen auch noch den Begriff  AI (artifical intelligence), also künstliche Intelligenz. Vereinfacht gesagt, geht es aber bei allen Methoden in die gleiche Richtung, und die Resultate sind in der Tat sehr beeindruckend. X by Invincea setzt auf deep learning, um Malware von gutartigen Programmen zu unterscheiden. Dadurch können auch unbekannte Malware oder polymorphe Varianten erkannt werden, mit deren Erkennung traditionelle signaturbasierte Lösungen oftmals Probleme haben.

Zusammengefasst lässt sich sagen, dass X by Invincea Malware stoppt, bevor sie auf einem Endgerät ausgeführt wird. Dabei bleibt die Systemauslastung im Vergleich mit anderen traditionellen AV-Lösungen minimal. Die Erkennung umfasst neben bekannter und unbekannter Malware auch Ransomware, Office-Dokumente mit Schadcode und weitere Bedrohungen, denen ein Endgerät tagtäglich ausgesetzt ist.     

Dateilose Angriffe

Die Anzahl der Angriffsvektoren bei Endgeräten ist groß, und so ist es auch nicht weiter verwunderlich, dass sog. “File-less Attacks” (Dateilose Angriffe) immer mehr zunehmen. Diese Art von Angriff ist teilweise nur sehr schwer zu erkennen, da keine Spuren in Form von Dateien mehr hinterlassen werden, d.h. auf dem Endgerät werden keine Dateien mehr erzeugt, sondern Schadcode wird direkt in den Speicher geschrieben und dort ausgeführt. Bekannte Vertreter von dateilosen Angriffen sind Office-Dokumente, die bösartigen Schadcode in Form eine Makros enthalten.

X by Invincea nutzt neben deep learning auch noch behavioral monitoring. Dahinter verbirgt sich die verhaltensbasierte Kontrolle/Überwachung von gutartigen bzw. als sicher geltenden Programmen, bei denen eine Abweichung vom normalen Verhalten als verdächtig eingestuft wird. Wird eine derartige Abweichung erkannt (z.B. beim Versuch, Malware oder Ransomware aus einem manipulierten Office-Dokument nachzuladen oder auszuführen), dann wird der entsprechende Prozess (z.B. word.exe) in Echtzeit automatisch beendet und die Ausführung von Schadcode verhindert.

Deep learning und behavioral monitoring ergänzen sich hervorragend und erhöhen den Schutz vor Bedrohungen auf Endgeräten drastisch.

Need to know

Die wichtigsten Punkte rund um X by Invicea möchte ich stichwortartig zusammenfassen:

  • Verhindert die Ausführung von bekannter und unbekannter Malware ohne Signaturen
  • Funktioniert auch offline, d.h. ohne Internetverbindung
  • Bietet effektiven Schutz vor Malware und Ransomware
  • Kombiniert mehrere fortschrittliche Erkennungsmethoden in einem schlanken Agent (200 MB RAM, <1% CPU)
  • Analysiert Dateien und entscheidet in 20 Millisekunden, ob eine Datei bösartig ist, bevor sie ausgeführt wird
  • Unterstützte Betriebssysteme: Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2

More to come

Da man bekanntlich viel erzählen kann, wenn der Tag lang ist, werde ich noch das eine oder andere Video folgen lassen. Mir geht es dabei nicht um Produktbashing, sondern um den direkten Vergleich zwischen Next-Gen- und traditioneller AV-Lösung. Besonderen Wert lege ich auf die Erkennung von Ransomware und speziell präparierten Samples, die eine Backdoor-Funktion beinhalten und üblicherweise so lange “behandelt” werden, bis sie kein Virenscanner mehr erkennt. Hier kann ich vorab schon sagen, dass X by Invincea überzeugende Resultate liefert, aber dazu in einem anderen Artikel bzw. Video mehr.

Next-generation AV-Software vs. traditionelle AV-Software

Ransomware – die digitale Plage der Gegenwart

Das Jahr 2016 war aus malwaretechnischer Sicht primär vom Thema Ransomware geprägt, und das wird meines Erachtens auch in 2017 nicht anders werden. Warum das so ist, habe ich bereits in einem anderen Blog-Artikel ausführlich erläutert, deshalb fasse ich mich an dieser Stelle kurz: Ransomware verspricht nach wie vor hohe Gewinne für Cyberkriminelle und üblicherweise ein geringes Risiko, geschnappt zu werden. Die entsprechende Infrastruktur lässt sich als “Software as a service” in Untergrundforen anmieten, der mögliche Profit durch gezahltes Lösegeld liegt üblicherweise um ein vielfaches höher als die Kosten für die Miete der Infrastruktur.

Last but not least wird Ransomware auch aus technischer Sicht immer hinterhältiger und effektiver, was das Unterlaufen von Schutzmaßnahmen auf dem Endgerät angeht. Aus der bekannten Cerber-Ransomwarefamilie gibt es beispielsweise die sog. Cerber Hash Factory, die in der Lage ist, in 15-Sekunden-Intervallen neue bzw. polymorphe Varianten zu erzeugen, die von AV-Lösungen, die hauptsächlich signaturbasierend und mit Hashwerten arbeiten, in der Regel nicht erkannt werden – wie denn auch, denn das gibt die Technik schlicht und ergreifend nicht her.

 

Warum versagt traditionelle Antiviren-Software (AV-Software) bei Ransomware in den meisten Fällen?

Ich hatte gerade schon ein Beispiel dafür geliefert, weshalb sog. traditionelle AV-Software immer mehr ins Hintertreffen gerät. Die meisten bekannten Hersteller wie Avira, Efest, Kaspersky, Bitdefender usw. arbeiten nach wie vor primär signaturbasiert und ergänzen diesen Schutz um weitere Funktionen wie verhaltensbasierte Erkennung von unbekannten ausführbaren Dateien oder cloudbasierten Abfragen, um Hashwerte für unbekannte Dateien zu erhalten. Diese Methoden sind geeignet, um bekannte Malware zu identifizieren – bei Malware oder Ransomware, die erst wenige Minuten oder Stunden alt ist, ist die Erkennungsrate bei signaturbasierten AV-Lösungen zumindest am Anfang eher schlecht als recht, und teilweise dauert es bei manchen Herstellern sogar deutlich länger als 24 Stunden, bis eine aktuelle Signatur bereitgestellt und verteilt wird. Sicher muss ich an dieser Stelle nicht weiter ausführen, was das speziell bei Ransomware bedeutet…

 

Was verbirgt sich hinter dem Begriff Next-Generation AV-Software?

Die einen halten es für ein Buzzword aus den Marketingabteilungen, die anderen verbinden den Begriff next-generation tatsächlich auch mit dem, für was er steht, nämlich für fortgeschrittene Erkennungsmethoden der nächsten Generation, die auch mit aktuellen Bedrohungen zurecht kommen. Signaturen kommen dort nicht mehr zum Einsatz, stattdessen setzen Hersteller wie SentinelOne, Cylance oder Invincea auf maschinenbasiertes Lernen und verhaltensbasierte Analysen. Kurz gesagt kann man sich maschinenbasiertes Lernen in etwa so vorstellen, dass die Hersteller von Next-Gen-Lösungen über einen sehr großen Datenbestand im Petabyte-Bereich verfügen, wozu bekannte und “gute” Software ebenso gehört wie Malware bzw. “bösartige” Software.

Anhand dieses Datenbestandes wird die Engine dann “trainiert” und lernt guten Code von schlechtem Code zu unterscheiden. Und um es gleich vorweg zu nehmen (ich werde in weiteren Artikeln noch detaillierter auf das Thema eingehen): Ja, es funktioniert. Es funktioniert sogar hervorragend, wenngleich auch hier mit false positives gerechnet werden muss, aber dazu ein ein andermal mehr. Namen erwähne ich vorerst nicht, aber ich kann zumindest soviel dazu sagen, dass ich bei einem Produkt an einem längeren Proof of Concept beteiligt war und aktuell eine weitere Next-Generation-Lösung teste, die mich bislang ebenfalls sehr begeistert, und diese Lösung werde ich auch in meinem nächsten Blogbeitrag ausführlicher vorstellen.

Als kleinen Appetizer bis zur Produktvorstellung möchte ich Ihnen noch ein paar Zahlen hinterlassen.

1. Erkennung von 100 aktuellen Malware-Samples (.exe) aus diversen Repositories, die alle 24 Stunden in einem ZIP-Archiv aktualisiert werden:

 

a) Next-Gen-Lösung: 100 von 100 Samples wurden erkannt und in die Quarantäne verschoben

 

image

 

image

 

 

b) Avira Free als traditionelle AV-Software: 14 von 100 Samples wurden beim Extrahieren aus dem ZIP-Archiv vom On Access-Scanner als malicious erkannt und gelöscht. Ein weiterer Scan mit dem On Demand-Scanner liefert keine weiteren Ergebnisse:

 

image

image