Cybercrime ist ein Milliardengeschäft. Ob durch Erpressung mit sogenannter Ransomware, Datenspionage und -hehlerei oder Manipulationen im digitalen Zahlungsverkehr. Um ihre Einnahmen nicht versiegen zu lassen, arbeiten Malware-Autoren konsequent daran, einer Erkennung durch Antiviren-Lösungen zu entgehen. Dazu benutzen die Kriminellen Untergrund-Dienste, die regelmäßig automatisiert prüfen, ob ihre Schadsoftware von einem Sicherheitshersteller erkannt wird. Ist das der Fall, wird der Schadcode automatisch verändert, bis die Erkennung ausbleibt. Um mit der zunehmenden Geschwindigkeit Schritt zu halten, setzen immer mehr Hersteller auf KI-Technologien, um neu verpackte Malware-Samples schnell und effektiv aufspüren zu können. Doch nur bekannte und immer wieder neu verpackte Schädlinge aufzuspüren, reicht heute nicht mehr aus. Angriffe, gerade gegen Unternehmen, werden immer gezielter. Statt Massenmails werden Opfer gezielt ausgekundschaftet. Zum Beispiel wird auf Social-Media-Plattformen nach Veranstaltungen gesucht, die ein Mitarbeiter des angegriffenen Unternehmens besucht hat und die Täter beziehen sich in den Mails darauf. Das ist für die Opfer extrem schwer zu durchschauen. Dabei setzen Kriminelle immer häufiger auch bislang unbekannte Malware oder spezialisierte Schadsoftware ein, von der es nur wenige bekannte Samples gibt. Oder sie führen legitime Tools für eine Angriffskette zusammen, die in ihrer Gesamtwirkung schadhaft ist. Diese Attacken stellen für Antivirenlösungen eine besondere Herausforderung dar. Eine Abhilfe bietet Verhaltensüberwachung, um schadhafte Prozesse zu erkennen. Diese analysiert das Verhalten von Prozessen auf dem Computer und überwacht dabei etwa Änderungen im Dateisystem und in der Registry, insbesondere an verdächtigen Stellen wie dem Autostart-Ordner. Das Problem: Bestehende verhaltensbasierte Erkennungsansätze versuchen, möglicherweise bedrohliches Verhalten in numerische Werte zu übersetzen – also einen Grad von „Badness“ festzustellen. Bei der Aggregation des numerischen Werts gehen notwendigerweise immer Information verloren, wodurch eine gewisse Unschärfe entsteht – selbst, wenn zum Lernen von Schwellwerten Machine Learning zum Einsatz kommt. Damit lassen sich zwar durchaus auch unbekannte Malware-Familien aufspüren, die Technologie ist aber für Fehleinschätzungen anfälliger als andere Erkennungsverfahren. Entweder wird der Schwellwert für die Erkennung so hoch angesetzt, dass kaum noch Schadsoftware erkannt wird. Oder der Schwellwert wird so niedrig angesetzt, dass häufig Fehlalarme – sogenannte False-Positives – auftreten. Solche False-Positives treten wegen der Verwendung spezialisierter Software besonders häufig im Unternehmensumfeld auf, dort sind sie gleichzeitig ein besonders großes Problem. Ein bekanntes Phänomen: Wer unnütze Warnungen erhält, beginnt diese zu ignorieren. Im Unternehmensumfeld bedeutet das: Wenn die Beseitigung von False-Positives zumindest in der Wahrnehmung mehr Kosten verursacht als das vermutete Kostenrisiko einer Infektion, wird die Verhaltensüberwachung oft einfach abgeschaltet. Um dieses Problem zu lösen, hat G DATA „BEAST“ entwickelt. BEAST wählt einen radikal anderen Ansatz als bisherige Technologien zur Verhaltensanalyse. Denn anstatt die verdächtigen Aktionen in einem numerischen Wert zu aggregieren, zeichnet die Technologie die Prozesse in einem Graphen nach. Dazu wurde eigens eine performanceoptimierte Graphdatenbank entwickelt, die lokal auf dem Rechner der G DATA Kunden läuft. Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig erkennen kann. Hat ein Nutzer beispielsweise Outlook gestartet und öffnet dann eine Mail mit einem angehängten Zip-Archiv, ist das nicht per se verdächtig. Ist in dem Zip-Archiv aber eine Word-Datei mit einem Makro enthalten, das Powershell öffnet und von dort aus eine ausführbare Datei aus dem Internet nachlädt und startet, liegt ein sehr bekannter Infektionsvektor von Schadsoftware vor. Gleichzeitig dürfte es keine in alltäglichen Situationen vorkommenden legitimen Verwendungen dieses Graphen geben. BEAST kann aber auch deutlich komplexere und weniger bekannte Kombinationen von Prozessen erkennen und bearbeiten. Selbst Schadsoftware, die jede einzelne Aktion auf einen eigenen Prozess verteilt, lässt sich identifizieren. Ein weiterer Vorteil der BEAST-Technologie: Da die Informationen über verdächtige Prozesse in der Graphdatenbank für einige Zeit vorgehalten werden, können Aktionen von Malware auch nach einer Infektion zurückgerollt werden. Anders als bei herkömmlicher Verhaltenserkennung überleben die im Graph gespeicherten Informationen auch einen Neustart des Rechners. Das bedeutet: Wird auf dem System Malware installiert, die zu diesem Zeitpunkt noch nicht erkannt wird – typischerweise, weil sie noch kein Kommando erhalten hat, mit schadhaften Aktionen zu beginnen – kann BEAST die Installation der Malware vollständig zurückrollen. Um dieses sogenannte „Retrospective Removal“ zu ermöglichen, gleicht BEAST Indikatoren aus dem aufgezeichneten Graphen mit anderen Komponenten der G DATA Sicherheitslösung ab. Das kann etwa die Filecloud sein, die Hashwerte bekannter Malware-Samples vorhält und deren Ausführung blockiert. Stellt die Filecloud fest, dass auf dem Rechner eines Kunden eine Malware installiert ist, kann diese Information an BEAST weitergegeben werden, um die Spuren der Infektion rückgängig zu machen. Dieser Ansatz ist nicht auf infizierte Dateien beschränkt. So können auch andere Indicators of Compromise (IoCs) genutzt werden, um eine nachträgliche Bereinigung eines Systems auszulösen. Das kann neben dem Hashwert einer Datei etwa eine Verbindung zu einem bekannten Command-and-Control-Server sein. Mit dem neuartigen Ansatz profitieren G DATA Kunden von einer Technologie, die der deutsche Cyber Defense Anbieter bereits seit mehreren Jahren im Backend nutzt. In einer großen Graphdatenbank, die täglich um mehrere Millionen Knoten und Kanten wächst, werden Informationen zu aktuellen Bedrohungen gesammelt und die Beziehungen verschiedener Samples und IoCs analysiert. So entsteht ein umfassendes Bild der aktuellen Bedrohungslage. Graphdatenbanken sind daher ein wichtiger Baustein in der Malwareanalyse. BEAST nutzt diesen Datenstamm und bietet Kunden einen vollständig automatisierten Schutz. Die moderne Technologie bietet ein umfassendes Bild der Bedrohungslage. Mehr Informationen: www.gdata.de/beast