Category Archives: Endpoint Security

WiseVector 2.0 aka WiseVector StopX released

WiseVector, der Hersteller von WiseVector StopX, hat Wort gehalten und mit lediglich geringer Verzögerung Version 2.0 seiner Next Generation Endpoint Protection-Lösung vorgestellt. Die Namensänderung von WiseVector nach StopX ist nicht das einzige, das sofort ins Auge sticht. Ein Blick in die Optionen zeigt, dass WiseVector tatsächlich alle angekündigten Optionen auch umgesetzt hat, und dazu zählen auch Neuerungen, die Stand Juni 2019 tatsächlich im Vergleich mit anderen AV-Lösungen einzigartig sein dürften. WiseVector StopX 2.0 verfügt nun über einen erweiterten Schutz (Advanced Protection) und folgende neue Features:

  • AI-basierte Verhaltensanalyse von Programmen
  • AI-basierte Analyse von Scripts (Powershell, VBScript usw.) und file-less malware
  • Erkennung von 0-day threats
  • Verbesserter Schutz von Office-Anwendungen und dem Internet Explorer
  • DLL Hijacking detection
  • Verhaltensbasierte Analyse und Erkennung von Ransomware
  • Ransomware-Fallen
  • Schutz von Dokumenten
  • Active Memory Scan prüft nun auch den Hauptspeicher in Echtzeit auf Malware

image

image

Die Neuheiten mögen vielleicht auf den ersten Blick unscheinbar wirken, sie haben es aber in Wahrheit faustdick hinter den Ohren. WiseVector ist damit definitiv einer der innovativsten Anbieter von AV-Software bzw. einer Next Generation Endpoint Protection-Lösung, die neue Wege beschreitet und in einem bislang nicht dagewesenen Umfang auf AI (artificial intelligence/Künstliche Intelligenz) und machine learning zur Erkennung von Malware setzt. Meine ersten Erfahrungen mit WiseVector StopX sind sehr vielversprechend, ein ausführliches Produktreview sowie Videos werden in Kürze folgen. Für mich steht bereits jetzt schon fest, dass WiseVector mit StopX ein exzellentes Produkt auf den Markt gebracht hat, das den Vergleich mit bekannten Mitbewerbern wie Microsoft, Kaspersky, BitDefender usw. keinesfalls zu scheuen braucht, ganz im Gegenteil. Geplant ist seitens des Herstellers, StopX in einer Basisversion ohne Advanced Detection weiterhin kostenlos anzubieten – der Preis für die erweiterte Version, die dann alle Schutzfunktionen bieten wird, ist derzeit noch nicht bekannt.

Derzeit kann WiseVector StopX 2.x vollständig und ohne Einschränkungen verwendet werden. Der Download der englischen Version ist hier möglich.

WiseVector Advanced Antimalware mit AI-basierter Erkennung von Bedrohungen

Aus meiner Sicht ist es interessant zu sehen, wie die Entwicklung im Bereich AI-basierter Endpoint Protection-Lösungen voranschreitet und auch neue Player auf dem Radar auftauchen lässt, die bereits mit ersten Versionen ihrer EP-Lösung eine ordentliche Leistung abliefern. So hat der chinesische Hersteller WiseVector mit seinem gleichnamigen Malwareschutz vor wenigen Tagen eine englischsprachige Version veröffentlicht, die bereits beachtliche Ergebnisse liefert.

wisevector_ransomware_detection

Wie andere Hersteller kann auch WiseVector nicht zaubern und Wunder vollbringen, und so ist es auch nicht weiter verwunderlich, dass die Erkennungsraten noch nicht ganz an die bekannten Platzhirsche in diesem Bereich heranreichen – die Betonung liegt aber ganz klar auf “noch nicht”, denn WiseVector hat interessante Pläne für weitere Features. Zum einen wird es in Zukunft neben der kostenlosen Homeuser-Version auch eine Bezahlvariante geben, für die es außer einer integrierten Firewall auch eine AI-basierte Erkennung von bösartigen Scripts geben soll, und zum anderen steht auch eine gemanagete Variante für Firmenkunden auf dem Plan.

Ich persönlich bin auf die AI-basierte Erkennung von maliziösen Skripten schon sehr gespannt, denn das ist ein Bereich, der von vielen traditionellen und auch Next Generation-Lösungen, die mehr oder weniger auf machine learning basieren, häufig vernachlässigt wird. An dieser Stelle möchte ich nicht näher auf dieses Thema angehen, da es andernfalls den Rahmen sprengen würde, deshalb fasse ich mich kurz und weise darauf hin, dass die Erkennung von maliziösen Payloads in Form von ausführbaren Dateien nur ein Teil der Geschichte ist, die Erkennung von obfuskierten Powershell-Scripts oder Windows-Bordmitteln (LOLBIN/LOLBAS) aber eine andere. Diesem Thema werde ich mich in einem anderen Blogpost näher widmen.

Bereits in der aktuellen Version 1.29 (Stand: Dezember 2018) erkennt WiseVector folgende Bedrohungen:

  • Ausführbare Dateien (32-/64-Bit)
  • Office-Dateien mit maliziösen Makros
  • PDF-Dokumente mit Schadcode
  • Manipulierte RTF-Dokumente

Wie immer gilt: Nahezu jede Endpoint Protection-Lösung lässt sich umgehen oder aushebeln. Das ist lediglich eine Frage des Angreifer-Skillsets und des Toolsets, das zum Einsatz kommt. Man kann einem Angreifer das Leben aber deutlich erschweren. Ich werde WiseVector einem intensiven Test unterziehen und berichten, wie es sich schlägt.

SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

image

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

image

image

image

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor AI detection of weaponized documents vs. legacy AV signature-based detection

Dass die signaturbasierte Erkennung von maliziösen Office-Dokumenten mit der Vielzahl an neuen Samples, die täglich in Form von Malspam Campaigns das Licht der Welt erblicken, nicht mehr mithalten kann, dürfte mittlerweile eine bekannte Tatsache sein. Nach wie vor sind Endgeräte in Unternehmen das schwächste Glied in der Kette, deshalb ist es zwingend notwendig, diese mit einem möglichst wirkungsvollen und effektiven Schutz vor Malware auszustatten. Spam- und Mailfilter sowie Sandboxen am Perimeter sind nur ein Teil eines mehrstufigen Schutzkonzepts (“Layered Security”), und selbst teure Lösungen für den Unternehmensbereich können nicht alle schädlichen Dokumente blocken, die tagtäglich eine neue Bedrohung darstellen.

Sehen Sie in diesem Video, wie effektiv SparkCognition DeepArmor Enterprise maliziöse Dokumente (“Weaponized Documents”) mit seiner AI Engine auf Basis von machine learning erkennt und blockt. Bei einem Test mit 319 Samples aus aktuellen Malspam Campaigns hat DeepArmor 317 von 319 Word-Dokumente mit schädlichem Inhalt entdeckt, was einer Erkennungsrate von 99,37% entspricht. Dieses hervorragende Ergebnis lässt sich noch steigern, denn Schadcode in Form von ausführbaren Dateien, der beim Öffnen eines infizierten Dokuments üblicherwiese nachgeladen wird, wird üblicherweise von der DeepArmor AI Engine ebenfalls erkannt und eliminiert. Zum Vergleich mit einem rein AI-basierten Produkt wurde ein Scan mit einer signaturbasierten Lösung durchgeführt, bei dem 210 von 319 Samples entdeckt wurden – die Erkennungsrate lag dabei mit  65,83% deutlich unter dem Ergebnis von DeepArmor.

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

image

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

image

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. new and dangerous wiper malware

Please use the excellent translation service Deepl for an English translation and copy & paste the text into the input field.

Ich habe heute einen sog. Wiper entdeckt, dessen Aufgabe darin besteht, sinnlos Dateien und wichtige Bereiche von Festplatten wie den MBR (Master Boot Record) zu überschreiben bzw. zu löschen und damit möglichst viel Schaden anzurichten. Bemerkenswert an diesem Sample sind für mich vor allem zwei Dinge:

1. Bekannte Namen wie KAV, Panda, EMSISOFT, Avira, Bitdefender usw. waren laut den auf Malwaretips durchgeführten Tests (nur für registrierte User sichtbar!) mit Hilfe von Verhaltenserkennung (behavior analysis) und/oder anderen dynamischen Erkennungsmethoden teilweise nicht in der Lage, diese gefährliche Malware zu erkennen und zu stoppen

2. Den vollen Schutz bieten viele konventionelle AV-Programme nur, solange ein Endgerät online ist. Sobald ein Endgerät keine Online-Verbindung mehr hat, ist der Malware-Schutz deutlich geschwächt

Die Erkennungsraten bei VirusTotal machen deutlich, dass die Erkennung von neuer Malware alleine durch Signaturen meines Erachtens in einer Sackgasse angelangt ist. DeepAmor verwendet machine learning und AI (Artificial Intelligence), um auch polymorphe Malware sowie 0-day threats wirkungsvoll erkennen und stoppen zu können.

Wie der Wiper zuschlägt, kann man in diesem Video ab 03:20 verfolgen. Als Beispiel kommt Panda Dome zum Einsatz:

SparkCognition DeepArmor stoppt diese Bedrohung sowohl im Offline- als auch im Online-Betrieb wirkungsvoll:


SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line