SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

image

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

image

image

image

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

Produktankündigung: MSITC Mankerlight-Taschenlampen ab sofort im MSITC Shop verfügbar

Mankerlight ist ein Hersteller von qualitativ hochwertigen Taschenlampen, der auch schon seit mehreren Jahren im Taschenlampen-Business tätig ist und sich eine große und treue Fangemeinde aufbauen konnte. Das Portfolio bietet angefangen bei der kleinen Stiftlampe über interessante Titanium-EDC-Taschenlampen für Sammler bis hin zu großen Taschenlampen wie der aktuellen MSITC Mankerlight MK39 mit 6000 Lumen alles, was das Herz begehrt.

msitc_manker_mk39_1

msitc_manker_mk39_5

Bei Mankerlight steht nicht das pyhsikalisch machbare im Vordergrund, sondern ein praxisgerechter Kompromiss aus Helligkeit und Laufzeit. Erwähnenswert vor allem bei den kleineren EDC-Taschenlampen wie MSITC Manker U12 oder auch MSITC Manker U11 ist der Moonlight Mode sowie eine sinnvolle Abstufung der Leuchtmodi. Insgesamt betrachtet darf man Mankerlight-Taschenlampen durchaus ein gutes Preis-/Leistungsverhältnis attestieren, das den Vergleich mit Produkten von Mitbewerbern nicht scheuen muss. Auch beim Produktdesign beweist Mankerlight, dass man durchaus vom üblichen Einheitsbrei bei der Formgebung abweichen kann.

msitc_manker_u12_2

Langer Rede, kurzer Sinn: Eine erste Lieferung mit MSITC Mankerlight-Taschenlampen mit folgenden Modellen ist ab sofort bei uns im Shop verfügbar:

Manker Mini Pen
MSITC Manker MC11
MSITC Manker U11
MSITC Manker U12

MSITC Manker U22
MSITC Manker MK34 XPG-3
MSITC Manker MK39 XPG-3

msitc_manker_u22_1

Reviews folgen nach Verfügbarkeit, außerdem wird es auch wieder Videos zu den einzelnen Modellen aus unserer Serie Helle Taschenlampen@Night geben. Als besonderes Schmankerl gibt es als Einführungsangebot beim Kauf einer einzelligen MSITC Mankerlight-Taschenlampe mit 18650-Betrieb (MC11 u. U11) bis Mitte August 2018 einen hochwertigen 18650-Akku kostenlos dazu! Bei der MSITC Manker MK39 liefern wir bei allen Bestellungen bis Ende August 2018 zusätzlich den neuen taktischen Manker Mini Pen im Wert von 19,90 EUR kostenlos mit.

Quick Review: MSITC HaikeLite MT09R V2 24000 Lumen max. und MSITC HaikeLite SC26 XHP35 HD 2050 Lumen max.

Das Warten hat ein Ende, denn ab sofort sind die neuen MSITC HaikeLite-Modelle MT09R V2 und SC26 XHP35 HD lieferbar. Die MSITC HaikeLite SC26 wurde als EDC-Taschenlampe konzipiert ist, welche sich mittels 26650– oder 26350-Akku betreiben lässt und dabei beachtliche 2050 Lumen in der höchsten Leuchtstufe erzeugt. Interessant dabei ist, dass die SC26 sowohl über Ramping (stufenlose Regelung der Helligkeit) als auch über normale Leuchtmodi verfügt; beide Hauptbetriebsmodi lassen sich jeweils durch achtmaliges Drücken des Seitenschalters umswitchen. Dabei kommt die aktuelle NarsilM-Firmware zum Einsatz, die von vielen Taschenlampen-Fans als sehr gut bewertet wird und eine einfache, aber dennoch komfortable Bedienung von Taschenlampen erlaubt.

Lieferbar ist die MSITC HaikeLite SC26 XHP35 HD in den Farben navy blue, green und black. Beide Akkurohre (26650/26350) sind im Lieferumfang enthalten, was wiederum zum sehr guten Preis-/Leistungsverhältnis dieser Taschenlampe beiträgt.

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

Ein deutlich größerer Klopper ist hingegen die MSITC HaikeLite MT09R V2 mit nunmehr 24000(!) Lumen. Die V2 zeichnet sich durch einen optimierten Treiber von TA aus, der vielen Taschenlampen-Fans aus dem Budgetlight-Forum (BLF) bekannt sein dürfte. Darüber hinaus kommt bei der MT09R V2 auch die aktuelle NarsilM-Firmware zum Einsatz, die adäquat zur SC26 ebenfalls die Möglichkeit bietet, sowohl Ramping als auch reguläre Leuchtmodi zu verwenden. Mit der Steigerung von ca. 15000 auf 24000 Lumen und der Verwendung von drei XHP70.2-LEDs spielt die MSITC HaikeLite MT09R V2 leistungsmäßig ganz vorne mit und bietet ebenfalls ein sehr gutes Preis-/Leistungsverhältnis. Ähnliche Taschenlampen in dieser Leistungsklasse von anderen Herstellern kosten üblicherweise deutlich über 200 Euro. Die MSITC HaikeLite MT09R V2 ist bei uns in den Farben navy blue und green erhältlich. Stand heute (Juli 2018) kann man die MT09R zwar auch in China-Shops erwerben, aber nur in den Farben silber und schwarz, und das wird laut HaikeLite auch so bleiben.

In der ersten Charge ist die MSITC HaikeLite MT09R in der begehrten Farbe navy blue nur in einer limitierten Stückzahl erhältlich; wir konnten einige davon ergattern.

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

MSITC HaikeLite MT09R V2 SC26

Ein Review zu beiden Taschenlampen wird in Kürze folgen, ebenso wie Videos aus unserer Serie Helle Taschenlampen@Night.

SparkCognition DeepArmor AI detection of weaponized documents vs. legacy AV signature-based detection

Dass die signaturbasierte Erkennung von maliziösen Office-Dokumenten mit der Vielzahl an neuen Samples, die täglich in Form von Malspam Campaigns das Licht der Welt erblicken, nicht mehr mithalten kann, dürfte mittlerweile eine bekannte Tatsache sein. Nach wie vor sind Endgeräte in Unternehmen das schwächste Glied in der Kette, deshalb ist es zwingend notwendig, diese mit einem möglichst wirkungsvollen und effektiven Schutz vor Malware auszustatten. Spam- und Mailfilter sowie Sandboxen am Perimeter sind nur ein Teil eines mehrstufigen Schutzkonzepts (“Layered Security”), und selbst teure Lösungen für den Unternehmensbereich können nicht alle schädlichen Dokumente blocken, die tagtäglich eine neue Bedrohung darstellen.

Sehen Sie in diesem Video, wie effektiv SparkCognition DeepArmor Enterprise maliziöse Dokumente (“Weaponized Documents”) mit seiner AI Engine auf Basis von machine learning erkennt und blockt. Bei einem Test mit 319 Samples aus aktuellen Malspam Campaigns hat DeepArmor 317 von 319 Word-Dokumente mit schädlichem Inhalt entdeckt, was einer Erkennungsrate von 99,37% entspricht. Dieses hervorragende Ergebnis lässt sich noch steigern, denn Schadcode in Form von ausführbaren Dateien, der beim Öffnen eines infizierten Dokuments üblicherwiese nachgeladen wird, wird üblicherweise von der DeepArmor AI Engine ebenfalls erkannt und eliminiert. Zum Vergleich mit einem rein AI-basierten Produkt wurde ein Scan mit einer signaturbasierten Lösung durchgeführt, bei dem 210 von 319 Samples entdeckt wurden – die Erkennungsrate lag dabei mit  65,83% deutlich unter dem Ergebnis von DeepArmor.

Produktankündigung: MSITC Acebeam EC65 4 x XHP35 HI 4000 Lumen max.

Die MSITC Acebeam EC65 ist eine vielseitig verwendbare kompakte Taschenlampe im EDC-Format, die hinsichtlich der Leuchtkraft so manch größere Taschenlampe problemlos in die Tasche steckt. Mit der integrierten schnellen Lademöglichkeit (USB-C) sowie vier modernen CREE XHP35 HI-LEDs bietet sie eine maximale Leuchtleistung von 4000(!) Lumen bei Betrieb mit dem mitgelieferten 21700-Akku mit 5100 mAh oder einem hochstromfähigen 18650 IMR-Akku, was für eine Taschenlampe in dieser Größenklasse als Sensation bezeichnet werden darf – vergleichen Sie selbst, was andere Lampen in dieser Größen- und Preisklasse üblicherweise an Output liefern können. Zweifelsohne ist die MSITC Acebeam EC65 ein Meisterwerk der Ingenieurskunst und Acebeam zeigt wieder einmal mehr, weshalb sie sich einen exzellenten Ruf als Hersteller von innovativen und qualitativ hochwertigen Taschenlampen erworben haben.

msitc_acebeam_EC65-1

msitc_acebeam_EC65-3

msitc_acebeam_EC65-4

Mit ihren knapp 12 cm Länge erreicht die EC65 eine Leuchtkraft, die schon fast unglaublich ist. Wer auf der Suche nach einer kompakten EDC-Taschenlampe mit dem modernen 21700-Akkuformat ist, der liegt mit der neuen MSITC Acebeam EC65 absolut richtig. Mit dem im Lieferumfang enthaltenen 21700-Akku und der integrierten Lademöglich in der Lampe via USB-C-Anschluss kann sofort losgelegt werden.

msitc_acebeam_EC65-10

Bezugsquelle

Voraussichtlich ab 4. Juni 2018 ist die MSITC Acebeam EC65 im MSITC Shop verfügbar.

Produktankündigung: MSITC HaikeLite SC26 XP-L HI 1200 Lumen max.

Die MSITC HaikeLite SC26 wurde als kompakter Allrounder konzipiert, der mit einer modernen CREE XP-L HI-LED ausgestattet ist und mit einem 26650- sowie einem 26350-Akku betrieben werden kann. Im Lieferumfang der MSITC HaikeLite SC26 “Fatty” befindet sich ein Akkurohr für den kompakten Betrieb mit einem 26350-Akku. Diese Format ist aktuell eher noch unüblich, es bietet aber durchaus auch Vorteile. Die SC26 erhalten Sie bis uns in den Farben blau und grün; bitte geben Sie dies bei der Bestellung im Kommentarfeld an. Bei uns erhalten Sie außerdem noch einen kostenlosen (ungeschützten) 26350-Akku dazu, um auch mit diesem Akkuformat gleich loslegen zu können.

msitc_haikelite_sc26_fatty_green_1

msitc_haikelite_sc26_fatty_green_2

Reichweitenmäßig liegt die MSITC HaikeLite SC26 im Bereich von ca. 480 Meter, was für einen kompakten Thrower in dieser Größenordnung eine beachtliche Leistung ist. Ein besonderer Leckerbissen ist aber zweifelsohne der effiziente Treiber der MSITC HaikeLite SC26, der für eine konstante und nahezu gleichbleibende Helligkeit über die gesamte Laufzeit sorgt und neben Ramping (stufenlose Regulierung der Helligkeit) auch fünf fest definierte Leuchtgruppen bietet.

msitc_haikelite_sc26_fatty_prototype_3

 

Bezugsquelle

Die MSITC HaikeLite SC26 ist voraussichtlich ab Ende KW21/18 im MSITC Shop und im HaikeLite Shop verfügbar.

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

image

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

image

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. 1000 (mutated) malware samples

Viele Hersteller von AV-Software erwecken den Eindruck, als würden ihre Lösungen sämtliche Malware erkennen und stoppen können, die auf einem Endgerät auftauchen. Ich bin geneigt, das bei Next Generation AV-Lösungen von Cylance, Endgame, Cybereason usw. auch zu glauben, weil ich aus eigener Erfahrung weiß, wie gut machine learning und AI bei der Malwareerkennung funktioniert, aber bei signaturbasierter Legacy AV-Software, die noch mit Heuristik und Behavior Analysis arbeitet, tue ich mir da ehrlich gesagt schwer. Ich möchte deshalb anhand eines Tests mit 1000 Malware-Samples die Leistungsfähigkeit von SparkCognition DeepArmor demonstrieren. Dazu gelten folgende Rahmenbedingungen:

  • Bei den 1000 Samples handelt es sich um .exe-Dateien und alle Arten von Malware, wie Ransomware, Cryptominer, Trojaner, Adware usw. 
  • Im ersten Durchgang werden die Samples mit DeepArmor sowie dem Emsisoft Emergency Kit gescannt, das zwei leistungsfähige Scan Engines (Bitdefender/Emsisoft) im Bauch hat. Selbstverständlich wurden alle Signaturen vor dem Test aktualisiert.
  • Nach dem ersten Durchgang werden alle 1000 Samples mit mpress modifiziert, um polymorphe Samples zu simulieren
  • Im zweiten Durchgang werden alle nun mutierten Samples erneut mit DeepArmor und EEK gescannt. Ich möchte an dieser Stelle nicht zuviel vorweg nehmen, aber der Unterschied ist deutlich erkennbar.

Scan mit SparkCognition DeepArmor (unmodified samples)

image

image

Von 999 Samples wurden 998 erkannt, was einer detection rate von 99,89% entspricht. Die Samples wurden von der DeepArmor AI Engine erkannt, der Confidence Level lag in allen Fällen zwischen 95% und 100%.

Scan mit Emsisoft EEK (unmodified samples)

image

image

image

Von 999 Samples wurden 929 erkannt, was einer detection rate von 92,99% entspricht. Grundsätzlich ist das ein gutes Ergebnis für einen signaturbasierten Scanner, es bedeutet aber gleichzeitig auch, dass Malware nicht erkannt wurde und möglicherweise auch durch Verhaltensanalyse, Sandboxing oder Heuristik nicht gestoppt worden wäre.


Polymorphic/Mutated Samples

Der spannende Teil beginnt hier. Mit Hilfe des .exe-Packers mpress wurden alle Samples so modifiziert, dass die Erkennung durch signaturbasierte AV-Scanner massiv erschwert wird.

image 

image

Scan mit SparkCognition DeepArmor (mutated samples)

image

Ob die 1007 findings nur ein Darstellungsfehler sind oder ob DeepArmor tatsächlich mutierte Samples nun mehrfach erkennt, ist momentan noch unklar. Fakt ist aber, dass es keine Einbrüche hinsichtlich der Erkennungsrate gibt und DeepArmor hier tatsächlich nur mit machine learning und künstlicher Intelligenz (AI) auch die mutierten Bedrohungen souverän erkannt und eliminiert hat.

Im Vergleich dazu nun die Scanergebnisse mit EEK:

image

Von 999 mutierten Samples wurden 674 erkannt, was einer detection rate von 67,47% bei einem signaturbasierten Scan entspricht.


Fazit

In diesem Test wollte ich die Unterschiede zwischen einer modernen, auf machine learning und AI basierenden Next Generation Endpoint Protection-Lösung wie SparkCognition DeepArmor und traditioneller AV-Software verdeutlichen. Auch Next Generation-Lösungen bieten keinen hundertprozentigen Schutz, sie sind aber meines Erachtens konventionellen Lösungen bereits jetzt schon deutlich überlegen, wenn es um die Erkennung von unbekannten Bedrohungen oder 0-day threats geht. Endpoint Protection ist nur ein Bestandteil des Layered Security-Konzepts, aber der wird mit SparkCognition DeepArmor definitiv sehr gut abgedeckt. Wenn Sie mehr über DeepArmor erfahren wollen: Kontaktieren Sie uns unter info AT deeparmor.de oder über das Kontaktformular. Wir sind offizieller deutscher SparkCognition-Partner und beraten Sie gerne.