BEAST macht es einfach, auch trickreiche Cyber­attacken zu durchschauen

5. Mai 2020 - Mit der BEAST-Technologie beschreitet G DATA CyberDefense einen neuen Weg in der Verhaltensanalyse. Mittels einer Graphdatenbank zeichnet die Technologie verdächtige Prozesse in einem Graphen nach. So erkennt BEAST auch komplexe Cyberattacken. Selbst Schadsoftware, die jede einzelne Aktion auf einen eigenen Prozess verteilt, lässt sich eindeutig identifizieren.

Cybercrime ist ein Milliardengeschäft. Ob durch Erpressung mit sogenannter Ransomware, Datenspionage und -hehlerei oder Manipulationen im digitalen Zahlungsverkehr. Um ihre Einnahmen nicht versiegen zu lassen, arbeiten Malware-Autoren konsequent daran, einer Erkennung durch Antivirenlösungen zu entgehen. Dazu benutzen die Kriminellen spezielle Untergrund-Dienste, die regelmäßig automatisiert prüfen, ob ihre Schadsoftware von einem Sicherheitshersteller erkannt wird.

Aber auch Antivirenhersteller nutzen innovative Technologien, um ihre Gegner zu entlarven und Angriffe zu stoppen. Grundsätzlich setzen Cyber-Defense-Unternehmen in der Malware-Bekämpfung statische und dynamische Analyseverfahren ein. Statische Verfahren analysieren die Eigenschaften von verdächtigen Dateien wie Hashwerte, Zeichenketten, Codefragmente, Dateigrösse oder Header-Eigenschaften. Der Vorteil: Bei der Analyse wird die Malware nicht ausgeführt. Bei dynamischen Verfahren hingegen führen Viren-Analysten die potenziell schädliche Datei aus und beobachten ihr Verhalten. Der Unterschied zwischen beiden Methoden ist, dass sich bei der statischen Analyse das Schadprogramm bereits vor der Ausführung blockieren lässt. Bei den dynamischen Verfahren erkennen die Experten erst nachgelagert das schädliche Verhalten und stoppen die Malware dann.

Der Haken daran: Die statischen Eigenschaften von Malware lassen sich sehr leicht verändern. So setzen Cyberkriminelle oft Packer ein und verändern so etwa die Dateigrösse und das Dateiaussehen, sodass Sicherheitslösungen sie nicht mehr sofort erkennen. Mit DeepRay setzt G DATA bereits eine Technologie ein, die auf Basis von Machine Learning auch verhüllte Schadsoftware zuverlässig erkennt, indem sie auf den entpackten Daten scannt. Das Verhalten von Malware lässt sich dagegen deutlich schwerer ändern, als der Programmcode. Denn dann richten sie keinen Schaden mehr an. ()


Attacken mit Graphen aufspüren

Verhaltensanalyse ist seit vielen Jahren ein fester Bestandteil in den Sicherheitslösungen von G DATA. Der Behaviour Blocker war dabei eine sehr stabile und über die Jahre ausgereifte Verhaltensanalyse mit sehr guten Ergebnissen. Allerdings war das Potenzial für die verhaltensbasierte Erkennung von Schadprogrammen noch lange nicht ausgeschöpft. Daher hat sich G DATA für eine zukunftsfähige Neuentwicklung entschieden. Der Name BEAST steht dabei für BEhAviour STorage. Der grosse Vorteil von BEAST ist die Nachvollziehbarkeit, so dass alle Erkennungen sehr genau zu verstehen sind. Denn die Grundlage von BEAST ist eine leistungsfähige Graphdatenbank, um alle Vorgänge visualisieren zu können. Dadurch lässt sich schädliches Verhalten gezielt erkennen, sodass keine False Positives entstehen.

Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig und trennscharf erkennen kann. Hat ein Nutzer beispielsweise Outlook gestartet und öffnet dann eine Mail mit einem angehängten Zip-Archiv, ist das nicht per se verdächtig. Ist in dem Zip-Archiv aber eine Word-Datei mit einem Makro enthalten, das Powershell öffnet und von dort aus eine ausführbare Datei aus dem Internet nachlädt und startet, liegt ein sehr bekannter Infektionsvektor von Schadsoftware vor.

Ein weiteres Beispiel findet sich in der untenstehenden Abbildung. Der Nutzer wurde offenbar von einem Angreifer dazu gebracht, einen schädlichen Download aus dem Webbrowser zu öffnen – oder er wurde Opfer einer Sicherheitslücke, die durch einen sogenannten Exploit ausgenutzt wurde. Beim schädlichen Download «malware.exe» handelt es sich offenbar um eine Ransomware, die Daten des Nutzers verschlüsselt und für die Entschlüsselung ein Lösegeld fordert. Das zeigt sich darin, dass der Prozess erst eine Instanz des Systemwerkzeugs «bcdedit» öffnet, um die Wiederherstellungsfunktion von Windows zu deaktivieren. Gleichzeitig deaktiviert ein weiteres Systemwerkzeug «vssadmin» das Anlegen von sogenannten «Volume Shadow Copies», die genutzt werden können, um kürzlich versehentlich überschriebene Dateien wiederherstellen zu können. Das ist eine typische Vorbereitungshandlung von Ransomware. Daraufhin beginnt der Schadcode, Dateien im Nutzerverzeichnis zu verschlüsseln.

Für die Tests hat G DATA eine grosse Datenbank mit bekannten schädlichen Verhaltensmustern aufgebaut und kann darauf die bestehenden Regeln testen und die Erkennung permanent optimieren. Zeitgleich kommen gutartige Graphen zum Einsatz, mit denen sichergestellt ist, dass dort keine Erkennungen stattfinden. Die Pflege dieser Datenbank sichert gute Erkennungsergebnisse und vermeidet Fehlalarme. Sobald einmal ein Verhalten als False Positive klassifiziert ist, werden die Informationen in der Datenbank gespeichert, sodass BEAST denselben Fehler nie zweimal macht.

Mit Retrospective Removal Infektionen rückgängig machen


BEAST schaut auch zurück, was in der Vergangenheit passiert ist. Daher lassen sich jetzt auch Prozesse in Betracht ziehen, die schon lange nicht mehr existieren. Indicators of Compromise wie etwa ein besuchter Server oder eine geöffnete Datei gibt es im Verlauf von Infektionen immer. Bis diese Indikatoren aber als schadhaft identifiziert werden, sind sie häufig auf dem betroffenen System nicht mehr verfügbar, weil etwa die Malware zum Beginn der Infektionskette zugehörende Dateien gelöscht hat. Bei BEAST existieren diese noch im Graphen, so dass die gesamte Infektionskette verfügbar ist und rückgängig gemacht werden kann.

Im Graph bleiben diese Informationen erhalten und die verbliebenen Artefakte im System lassen sich trotzdem aufspüren. Denn mit dem Retrospective Removal lässt sich, ausgehend von einem Knoten, der bereits als schädlich erkannt wurde, der ursprüngliche Parent-Prozess identifizieren und im Nachgang genauer untersuchen. Hat er etwa verdächtige Dateien heruntergeladen und weitere Programme gestartet? Dann liegen genügend Informationen vor, um die Infektion vollständig zu bereinigen. Solche komplexen Zusammenhänge bleiben gewöhnlichen verhaltensbasierten Technologien verborgen. Das bietet insbesondere Vorteile, wenn die Malware nicht direkt nach der Infektion zu arbeiten beginnt oder auf ein Kommando des Botnet-Operators wartet, aber noch keine schädlichen Aktionen durchgeführt hat. Solche schädlichen Aktionen erkennt nun BEAST zuverlässig. ()


Technologie mit grossem Potenzial

Bereits kurz nach dem Release von BEAST hat sich gezeigt, wie gut die neue Technologie mit anderen Security-­Komponenten wie etwa DeepRay zusammenarbeitet. Zusätzlich kommt die Graphdatenbank auch im Backend zum Einsatz und generiert dort Daten. Damit wurden die Backend-Prozesse verbessert, sodass nun eine noch schnellere Erkennung und ein besseres Blacklisting möglich ist. Die Ergebnisse der dynamischen Erkennung kommen direkt der statischen Erkennung zugute. Damit lässt sich verhindern, dass bereits bekannte Malware erneut ausgeführt wird.

Das Potenzial von BEAST ist noch lange nicht ausgeschöpft. Es bildet die Grundlage für weitere Technologien Denn das Erkennen von Schadprogrammen alleine reicht heute nicht mehr aus. Es geht vielmehr darum, Infektionen zu bereinigen, damit der Kunde nicht im Regen steht. BEAST entfaltet erst im Zusammenspiel mit den anderen Komponenten sein volles Potenzial.

Ausgezeichnete G DATA Lösungen


Wie gut die neuen Technologien von G DATA schützen, zeigen auch aktuelle Untersuchungen von unabhängigen Test­instituten. So erzielte die Internet Security von G DATA im aktuellen Vergleichstest des renommierten Testlabors AV-TEST ein überzeugendes Ergebnis und wurde als «TOP Product» ausgezeichnet. In den Kategorien Schutzwirkung und Benutzbarkeit erhielt die Sicherheitslösung jeweils die Höchstpunktzahl 6,0.

Auch im aktuellen Malware Protection Test von AV-Comparatives belegte G DATA Internet Security einen Spitzenplatz. Die Sicherheitslösung von G DATA überzeugte mit den besten Erkennungsraten im gesamten Testfeld und erhielt das höchstmögliche Rating «ADVANCED+».

Diese Top-Leistungen zeigen, dass sich Kunden auf Endpoint Protection von
G DATA verlassen können und sie zuverlässig vor aktuellen und auch künftigen Bedrohungen geschützt sind. ()

Copyright by Swiss IT Media 2024