Category Archives: IT Security

Alles zum Thema IT Security

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor AI detection of weaponized documents vs. legacy AV signature-based detection

Dass die signaturbasierte Erkennung von maliziösen Office-Dokumenten mit der Vielzahl an neuen Samples, die täglich in Form von Malspam Campaigns das Licht der Welt erblicken, nicht mehr mithalten kann, dürfte mittlerweile eine bekannte Tatsache sein. Nach wie vor sind Endgeräte in Unternehmen das schwächste Glied in der Kette, deshalb ist es zwingend notwendig, diese mit einem möglichst wirkungsvollen und effektiven Schutz vor Malware auszustatten. Spam- und Mailfilter sowie Sandboxen am Perimeter sind nur ein Teil eines mehrstufigen Schutzkonzepts (“Layered Security”), und selbst teure Lösungen für den Unternehmensbereich können nicht alle schädlichen Dokumente blocken, die tagtäglich eine neue Bedrohung darstellen.

Sehen Sie in diesem Video, wie effektiv SparkCognition DeepArmor Enterprise maliziöse Dokumente (“Weaponized Documents”) mit seiner AI Engine auf Basis von machine learning erkennt und blockt. Bei einem Test mit 319 Samples aus aktuellen Malspam Campaigns hat DeepArmor 317 von 319 Word-Dokumente mit schädlichem Inhalt entdeckt, was einer Erkennungsrate von 99,37% entspricht. Dieses hervorragende Ergebnis lässt sich noch steigern, denn Schadcode in Form von ausführbaren Dateien, der beim Öffnen eines infizierten Dokuments üblicherwiese nachgeladen wird, wird üblicherweise von der DeepArmor AI Engine ebenfalls erkannt und eliminiert. Zum Vergleich mit einem rein AI-basierten Produkt wurde ein Scan mit einer signaturbasierten Lösung durchgeführt, bei dem 210 von 319 Samples entdeckt wurden – die Erkennungsrate lag dabei mit  65,83% deutlich unter dem Ergebnis von DeepArmor.

SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

Kurzvorstellung: Webroot SecureAnywhere, Teil 1

In letzter Zeit bin ich häufiger über Webroot SecureAnywhere gestolpert, und da ich es bislang eher als Vertreter der Kategorie Legacy AV/signaturbasierter AV-Scanner auf dem Radar hatte, habe ich diesem Produkt ehrlich gesagt keine große Bedeutung beigemessen, da mein Schwerpunkt auf signaturenloser Next Generation AV-Software wie SparkCognition DeepArmor liegt. Nachdem ich mich allerdings in das Funktionsprinzip von Webroot SecureAnywhere eingelesen hatte, ist mein Interesse nun doch erwacht, denn Webroot SecureAnywhere (oder abgekürzt WSA) bietet einige interessante Merkmale, die ich so von anderen Anti-Malware-Produkten nicht kenne.

Um mir selbst ein Bild von WSA zu machen, habe ich eine virtuelle Maschine damit bestückt und die große Malwareschatzkiste geöffnet, um zu sehen, wie gut Webroot SecureAnywhere damit umgehen kann.

Einführung

Nun, um der Wahrheit die Ehre zu geben, sind für Dinge wie Phishing-Schutz oder ein Webfilter, der vor dem Besuch von infizierten Webseiten schützen soll, kein Alleinstellungsmerkmal mehr und für mich persönlich auch unwichtig. Damit möchte ich diese sicher nicht unwichtigen Funktionen keinesfalls in Abrede stellen, denn der “normale” Anwender ist eben in der Regel nun mal kein IT Security-Experte, der in der Lage ist, diese Art von Bedrohungen im Schlaf zu erkennen. Ich für meinen Teil lege allerdings mehr Wert auf die Erkennung von Malware jeglicher Coleur, um im privaten Bereich und im geschäftlichen Bereich ein Höchstmaß an Endgerätesicherheit zu erzielen. Dazu gehört für mich Ransomware als größter Bedrohungsfaktor, dicht gefolgt von Banking-Trojanern oder sehr gut getarnter Malware, die von konventionellen Virenscannern nicht erkannt und geblockt werden.

Ich erspare mir an dieser Stelle eine vollständige Aufzählung aller Produktmerkmale und Features und verweise stattdessen auf die Übersicht auf der deutschen Webroot-Homepage. Das dort gesagte gilt mehr oder weniger auch für die Homeversion von Webroot SecureAnywhere für Privatkunden.

Was ist Webroot SecureAnywhere und wie unterscheidet es sich von anderen AV-Produkten?

Hier möchte ich direkt auf den Punkt kommen und die wesentlichen Merkmale erwähnen, die WSA aus meiner Sicht ziemlich interessant machen und in denen sich SecureAnywhere von Mitwerberprodukten unterscheidet:

  • Webroot SecureAnywhere kommt ohne Signaturen aus und greift auf einen Mix aus Verhaltensanalyse (Behavior Analysis), aktuellen Bedrohungsdaten in Echtzeit aus der Cloud (Webroot Intelligence Network) sowie machine learning zurück
  • Der SecureAnywhere Agent ist im Vergleich mit anderer AV-Software ein echter Winzling, was sich in der Größe des Agents (nur 750 KB!) und dem geringen Ressourcenverbrauch niederschlägt
  • Für den Fall, dass Ransomware tatsächlich einmal nicht erkannt werden sollte, steht eine Rollback-Funktion zur Verfügung, die verschlüsselte Dateien in den Ursprungszustand versetzen kann (Journaling)

Was WSA sonst noch zu bieten hat, kann hier nachgelesen werden.

Wie schlägt sich Webroot SecureAnywhere im praktischen Einsatz?

Ich möchte darauf hinweisen, dass es sich hier um eine Kurzvorstellung und nicht um einen vollständigen Produkttest handelt. Aus diesem Grund habe ich zunächst die üblichen Verdächtigen getestet, wie beispielsweise die Ransomware-Samples von testmyav.com. Hier hat WSA schon mal ordentliche Ergebnisse abgeliefert, denn alle 50 Ransomware-Samples wurden erkannt und eliminiert. Auch mit mpress modifizierte Samples wurden erkannt und abgeräumt, was insofern erwähnenswert ist, weil signaturbasierte Scanner mit der Erkennung von modifizierten Samples des öfteren Probleme haben.

image

Die Systemauslastung hielt sich während dem Scan der Samples in Grenzen und erreichte zu keinem Zeitpunkt einen Auslastungsgrad zwischen 50-100%, wie es bei anderen Lösungen durchaus vorkommen kann.

image

Damit möchte ich es für heute gut sein lassen, mehr folgt dann in Teil 2 meiner Kurzvorstellung.

Threema im Vergleich mit WhatsApp

Ich gebe zu, dass ich WhatsApp-Verweigerer bin – die Gründe dafür werde ich gerne mal in einem anderen Artikel darlegen. Nach dem ganzen “Wow, WhatsApp verschlüsselt ab sofort durchgängig!”-Hype in den letzten Tagen habe ich einen lesenswerten Vergleich zwischen Threema (mein bevorzugter Messenger) und WhatsApp entdeckt, den man sich unbedingt mal reinziehen sollte. Ja, der Vergleich stammt von Threema, dem Hersteller der App – deswegen ändert sich aber die Faktenlage nicht, und viele WhatsApp-Nutzer sind sich nach wie vor nicht darüber im klaren, dass ihre Metadaten eben NICHT verschlüsselt werden:

Auch Messenger-Apps, deren Betreiber in erster Linie vom Verkauf von zielgerichteter Werbung leben, bieten neuerdings eine Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte an. Etwas, was Threema schon seit dem Start im Jahr 2012 standardmässig mitbringt.  

Der Verzicht auf die Inhalte, sofern die Ende-zu-Ende-Verschlüsselung überhaupt korrekt implementiert ist, wird das Geschäftsmodell dieser Anbieter allerdings kaum tangieren. Es handelt sich hier um ein Scheingefecht, denn die interessantesten Daten werden nach wie vor erhoben, gesammelt, ausgewertet und aggregiert. Es geht um die sogenannten Metadaten.

Ein ernstzunehmender Schutz der Privatsphäre umfasst nicht nur die reinen Nachrichteninhalte, sondern vor allem diese Metadaten. Unter Metadaten versteht man alle bei der Kommunikation anfallenden Daten, ausser dem Nachrichteninhalt. Metadaten ermöglichen es, Nutzer eindeutig zu identifizieren, ihr Verhalten zu analysieren, ihre Freundeskreise und bevorzugten Standorte kennenzulernen und ihr Kommunikationsverhalten zu überwachen. Zusammengeführt mit Daten aus anderen Plattformen entsteht so ein umfassenderes Bild über die Person, als es die reinen Nachrichteninhalte je vermitteln können.  

Quelle: https://threema.ch/press-files/content/the-threema-advantage_de.html

Mir ist klar, dass es ein Kampf gegen Windmühlen ist, wenn man versucht, jemanden sichere Alternativen zu WhatsApp nahezubringen. Nichtsdestotrotz: Gebt die Hoffnung nicht auf und bleibt standhaft! Das kleine gallische Dorf hat es ja schließlich auch geschafft…;)