zurück zur Übersicht

Malware Defence ohne Signaturen: Bye-bye, Petya!

Der Kampf gegen Malware wie Petya/Petwrap ist ein Kampf gegen Windmühlen? Mit KI könnte man ihn gewinnen.Don Quichotte mit einem Patch

Petya bzw. Petwrap bringt es derzeit wieder an den Tag: Man kann sein System patchen wie man will – immer tauchen neue Sicherheitslücken auf. Es wird Zeit sich den Tatsachen zu stellen. Beim heutigen Stand der IT (der ja eigentlich kein „Stand“ ist sondern vielmehr eine rasante Entwicklung, in der eine Revolution die nächste jagt) können Vulnerabilities gar nicht so schnell geschlossen werden, wie sich neue einschleichen. Apropos rasant: auch die Malware entwickelt sich rasant weiter.

Viele Endpoints sind nicht hinreichend gegen Ransomware oder Zero-Day Bedrohungen geschützt. Die Petwrap-Welle verbreitete sich nicht nur über die Ukraine und Russland sondern erfasste auch Europa und die USA. In der dänischen Reederei Maersk fielen mehrere IT-Systeme aus. Vorfälle in Spanien, Frankreich und Großbritannien häuften sich im weiteren Verlauf. Auch deutsche Unternehmen wurden vor der neuen Kampagne nicht verschont. Unser Advanced Cyber Defense Center befindet sich im Dauereinsatz um betroffenen Firmen Soforthilfe zu leisten.

Bitte nicht angreifen, wir analysieren noch….

Klassische Antiviren Lösungen können zumeist nur reaktiv, d.h. nach dem Ausbruch der Malware, auf solche Kampagnen reagieren. Größtenteils setzen Hersteller herkömmlicher im Markt befindlicher Lösungen auf den signaturbasierten Ansatz. Bei diesem Ansatz müssen als erster Schritt mehrere Samples einer Ransomware gesammelt werden. Sie werden dann kategorisiert, von einem Malware Researcher überprüft und der Hashwert (d.h. der digitale Fingerabdruck) der Samples wird in Definitionsdateien gespeichert, die am Ende in Signaturdatenbanken münden. IT-Administratoren müssen anschließend diese Datenbanken auf ihren eigenen Systemen aktualisieren indem sie ein Update auslösen. Erst dann können sie einen Scan ihrer Systeme veranlassen und Neuinfektionen verhindern.

Moderne Endpoint Protection darf nicht mehr auf diesem reaktiven Ansatz aufbauen. Zero-Day Kampagnen wie Petwrap sind heutzutage keine Ausnahme mehr, sie sind die Regel. Zahlen von renommierten Instituten wie AV-TEST oder virustotal schätzen, dass im Jahr 2016 ca. 431 Millionen neue Malware-Samples generiert wurden. Das entspricht rund 14 Samples pro Sekunde. Zusätzlich lässt sich der digitale Fingerabdruck durch Mutation sehr leicht verändern. Der potenziell maliziöse Inhalt einer Malware bleibt nach der Mutation aber bestehen. Der quälend langsame Prozess der Signaturerstellung läuft also prinzipbedingt ins Leere.

Sandboxing, Isolation, HIPS oder Mikro-Virtualisierung

Die Entwicklung hat gezeigt, dass klassische Antiviren Lösungen den heutigen Anforderungen nicht mehr genügen. Unternehmen weltweit haben als weiteren Schritt Techniken entwickelt die z.B. das Verhalten von ausführbaren Dateien untersuchen. Die Techniken lauten Sandboxing, Isolation, HIPS oder Mikro-Virtualisierung. Der Nachteil dieser Lösungen ist, dass sie erst nach Ausführung der Malware greifen können. Das birgt das Risiko, dass Malware auf einigen Endpoints zu spät erkannt wird, und der Schaden bereits angerichtet wurde.

Diese Ideen machen durchaus Sinn, um die Sicherheit zu verbessern. Aber der wirkliche Durchbruch sind sie eben nicht.

Vom tumben Türsteher zum smarten Agenten

Genau an dieser Problematik setzen innovative Lösungen und Ansätze auf Basis künstlicher Intelligenz (KI) an. Durch Anwendung von maschinellem Lernen und KI wird potenziell maliziöser Code präventiv untersucht, ohne ihn jemals ausführen zu müssen.

Maschinelles Lernen ist ein Feld der künstlichen Intelligenz bei dem es darum geht, Erfahrung oder Wissen aus bereits gelernten Beispielen zu generieren und wiederkehrende Muster auch in verschiedenen Abwandlungen zu erkennen. Das bedeutet, dass es mithilfe von KI möglich ist, in Echtzeit eine Vorhersage über ein Sample zu machen, also zu erkennen ob es gut- oder bösartig ist – ohne es auszuführen und ohne Signaturen.

Möglich wird das zum Beispiel, indem auf einem Endpoint ein Agent mit einem lokalem mathematischem Modell installiert wird. Dieses Modell extrahiert einzelne Merkmale (sog. „Features“) einer Datei. Einfache Merkmale können z.B. der Name oder die Größe der Datei sein. In weiter entwickelten KIs kann sehr tief in die Datei geschaut werden und z.B. gesagt werden, welche Programmbibliotheken geladen werden, oder welche digitalen Zertifikate benutzt werden. Diese Merkmale werden vom Agenten analysiert, extrahiert und kategorisiert. Anhand dieser Features entscheidet die KI anschließend, ob es einen maliziösen Inhalt vor sich hat, ob die Datei  quarantänisiert ausgeführ werden sollte zur weiteren Überprüfung, oder ob sie gutartig ist. Je mehr Features dabei einer KI zur Verfügung stehen, desto besser kann eine Voraussage über die Datei gemacht werden und desto treffsicherer ist damit die Entscheidung.

Fazit: Fight smarter, not harder

Statt auf ein ständiges Updaten der Signaturen zu bauen, oder jede Software ausführen zu lassen, um sie hinterher als Malware zu erkennen, kann KI schon vor der Ausführung einen guten Schutz bieten. Ergebnisse von mehreren unabhängigen Studien beweisen, dass künstliche Intelligenz in der AV-Industrie stark im Aufbau ist. Es ist heutzutage schlichtweg ohne KI nicht möglich, einen ausgewogenen präventiven Schutz mit hohen Detection Rates zu liefern.

Im Falle von Petwrap entdecken die Hersteller Cylance und Palo Alto Networks mit ihren Endpoint Protection Lösungen den Angriff und können ihn blocken, ohne dass Schaden entsteht. CylanceProtect Kunden sind vollständig geschützt, sowohl online als auch offline und das sogar, wenn jahrelang kein Update gemacht wurde (z.B. mit den alten mathematischen Modellen von Oktober 2015). Im Falle von CylanceProtect werden 2,7 Millionen Features extrahiert und analysiert. Bei Palo Alto Networks ist der Hashwert bei WildFire bekannt und es wird empfohlen zusätzlich „Child Processes“ von rundll32 temporär auszuschalten.

Für einen Vergleich zwischen innovativen Endpoint Protection Lösungen und herkömmlichen bekannten Ansätzen verweisen wir auf unseren iT-CUBE SYSTEMS Endpoint Protection Solutions Report, den Sie kostenlos unter https://info.it-cube.net/reportendpoint herunterladen können.

 


Links:

Mehr zum Petya bzw. Petwrap Incident: https://www.it-cube.net/cubespotter/neue-ransomware-welle-petya-eternalblue/
Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar