Immer einen Schritt voraus

IT-Sicherheit setzt auf KI

Um mit der Vielzahl von neuen Malware-Ausprägungen fertig zu werden, wird in der IT-Sicherheit zunehmend auf Künstliche Intelligenz gesetzt. Neue Ansätze bei der Verhaltensanalyse können auch bei unbekannter Schadsoftware für Schutz sorgen.

  • Sicherheitsschloss Hologramm

    Cyber-Attacken stellen für Antivirenlösungen eine besondere Herausforderung dar.

  • Mann in Hintergasse

    Immer mehr Hersteller kommen Malware-Autoren mit KI-Technologie auf die Schliche.

Cybercrime ist ein Milliardengeschäft, ob durch Erpressung mit sogenannter Ransomware, Datenspionage und -hehlerei oder Manipulationen im digitalen Zahlungsverkehr. Um ihre Einnahmen nicht versiegen zu lassen, arbeiten Malware-Autoren konsequent daran, einer Erkennung durch Antivirenlösungen zu entgehen. Dazu benutzen die Kriminellen Untergrunddienste, die regelmäßig automatisiert prüfen, ob ihre Schadsoftware von einem Sicherheitshersteller erkannt wird. Ist das der Fall, wird der Schadcode automatisch verändert, bis die Erkennung ausbleibt. Um mit der zunehmenden Geschwindigkeit Schritt zu halten, setzen immer mehr Hersteller auf KI-Technologien, um neu verpackte Malware-Samples schnell und effektiv aufspüren zu können.

Doch nur bekannte und wieder neu verpackte Schädlinge aufzuspüren, reicht heute nicht aus. Angriffe, gerade gegen Unternehmen, werden immer gezielter. Dabei setzen Kriminelle immer häufiger auch bislang unbekannte Malware oder spezialisierte Schadsoftware ein, von der es nur wenige bekannte Samples gibt. Oder sie führen legitime Tools für eine Angriffskette zusammen, die in ihrer Gesamtwirkung schadhaft ist. Diese Attacken stellen für Antivirenlösungen eine besondere Herausforderung dar.

Eine Abhilfe bietet Verhaltensüberwachung, um schadhafte Prozesse zu erkennen. Diese analysiert das Verhalten von Prozessen auf dem Computer und überwacht dabei etwa Änderungen im Dateisystem und in der Registry, insbesondere an verdächtigen Stellen wie dem Autostart-Ordner. Das Problem: Bestehende verhaltensbasierte Erkennungsansätze versuchen, möglicherweise bedrohliches Verhalten in numerische Werte zu übersetzen – also einen Grad von „Badness“ festzustellen. Bei der Aggregation des numerischen Werts gehen notwendigerweise Information verloren, wodurch eine gewisse Unschärfe entsteht – selbst, wenn zum Lernen von Schwellwerten Machine Learning zum Einsatz kommt.

Das Gesamtbild im Blick

Damit lassen sich zwar durchaus auch unbekannte Malware-Familien aufspüren, die Technologie ist aber für Fehleinschätzungen anfälliger als andere Erkennungsverfahren. Entweder wird der Schwellwert für die Erkennung so hoch angesetzt, dass kaum noch Schadsoftware erkannt wird. Oder der Schwellwert wird so niedrig angesetzt, dass häufig Fehlalarme – sogenannte False-Positives – auftreten.

False-Positives treten wegen der Verwendung spezialisierter Software besonders häufig im Unternehmensumfeld auf, dort sind sie gleichzeitig ein besonders großes Problem. Ein bekanntes Phänomen: Wer unnütze Warnungen erhält, beginnt diese zu ignorieren. Im Unternehmensumfeld bedeutet das: Wenn die Beseitigung von False-Positives zumindest in der Wahrnehmung mehr Kosten verursacht als das vermutete Kostenrisiko einer Infektion, wird die Verhaltensüberwachung oft einfach abgeschaltet.

Hier setzt Software wie etwa „Beast” von G Data an.
Die Lösung wählt einen anderen Ansatz als bisherige Technologien zur Verhaltensanalyse. Denn anstatt die verdächtigen Aktionen in einem numerischen Wert zu aggregieren, zeichnet die Technologie die Prozesse in einem Graphen nach. Dazu wurde eigens eine performanceoptimierte Graphdatenbank entwickelt, die lokal auf dem Rechner der Kunden läuft.

Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig erkennen kann. Hat ein Nutzer beispielsweise Outlook gestartet und öffnet dann eine Mail mit einem angehängten Zip-Archiv, ist das nicht per se verdächtig. Ist in dem Zip-Archiv aber eine Word-Datei mit einem Makro enthalten, das Powershell öffnet und von dort aus eine ausführbare Datei aus dem Internet nachlädt und startet, liegt ein sehr bekannter Infektionsvektor von Schadsoftware vor. Gleichzeitig dürfte es keine in alltäglichen Situationen vorkommenden legitimen Verwendungen dieses Graphen geben.

Ein weiteres Beispiel ist, wenn ein Nutzer von einem Angreifer dazu gebracht wird, einen schädlichen Download aus dem Webbrowser zu öffnen – oder er Opfer einer Sicherheitslücke wird, die durch einen sogenannten Exploit ausgenutzt wurde. Beim schädlichen Download „malware.exe“ handelt es sich offenbar um eine Ransomware, die Daten des Nutzers verschlüsselt und für die Entschlüsselung ein Lösegeld fordert. Das zeigt sich darin, dass der Prozess erst eine Instanz des Systemwerkzeugs „bcdedit“ öffnet, um die Wiederherstellungsfunktion von Windows zu deaktivieren. Gleichzeitig deaktiviert ein weiteres Systemwerkzeug „vssadmin“ das Anlegen von sogenannten „Volume Shadow Copies“, die genutzt werden können, um kürzlich versehentlich überschriebene Dateien wiederherstellen zu können. Das ist eine typische Vorbereitungshandlung von Ransomware. Daraufhin beginnt der Schadcode, Dateien im Nutzerverzeichnis zu verschlüsseln.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Alles auf Anfang

Da die Informationen über verdächtige Prozesse in der Graphdatenbank für einige Zeit vorgehalten werden, können Aktionen von Malware auch nach einer Infektion zurückgerollt werden. Anders als bei herkömmlicher Verhaltenserkennung überleben die im Graphen gespeicherten Informationen auch einen Neustart des Rechners. Das bedeutet: Wird auf dem System Malware installiert, die zu diesem Zeitpunkt noch nicht erkannt wird, kann die Lösung die Installation der Malware vollständig zurückrollen. Um dieses sogenannte „Retrospective Removal“ zu ermöglichen, gleicht die Software Indikatoren aus dem aufgezeichneten Graphen mit anderen Komponenten der Sicherheitslösung ab. Das kann etwa die Filecloud sein, die Hash-Werte bekannter Malware-Samples vorhält und deren Ausführung blockiert.

Dieser Ansatz ist nicht auf infizierte Dateien beschränkt. So können auch andere Indicators of Compromise (IoCs) genutzt werden, um eine nachträgliche Bereinigung eines Systems auszulösen. Das kann neben dem Hash-Wert einer Datei etwa eine Verbindung zu einem bekannten Command-and-Control-Server sein.

Bildquelle: Gettyimages/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok