Tag Archives: AI

WiseVector 2.0 aka WiseVector StopX released

WiseVector, der Hersteller von WiseVector StopX, hat Wort gehalten und mit lediglich geringer Verzögerung Version 2.0 seiner Next Generation Endpoint Protection-Lösung vorgestellt. Die Namensänderung von WiseVector nach StopX ist nicht das einzige, das sofort ins Auge sticht. Ein Blick in die Optionen zeigt, dass WiseVector tatsächlich alle angekündigten Optionen auch umgesetzt hat, und dazu zählen auch Neuerungen, die Stand Juni 2019 tatsächlich im Vergleich mit anderen AV-Lösungen einzigartig sein dürften. WiseVector StopX 2.0 verfügt nun über einen erweiterten Schutz (Advanced Protection) und folgende neue Features:

  • AI-basierte Verhaltensanalyse von Programmen
  • AI-basierte Analyse von Scripts (Powershell, VBScript usw.) und file-less malware
  • Erkennung von 0-day threats
  • Verbesserter Schutz von Office-Anwendungen und dem Internet Explorer
  • DLL Hijacking detection
  • Verhaltensbasierte Analyse und Erkennung von Ransomware
  • Ransomware-Fallen
  • Schutz von Dokumenten
  • Active Memory Scan prüft nun auch den Hauptspeicher in Echtzeit auf Malware

image

image

Die Neuheiten mögen vielleicht auf den ersten Blick unscheinbar wirken, sie haben es aber in Wahrheit faustdick hinter den Ohren. WiseVector ist damit definitiv einer der innovativsten Anbieter von AV-Software bzw. einer Next Generation Endpoint Protection-Lösung, die neue Wege beschreitet und in einem bislang nicht dagewesenen Umfang auf AI (artificial intelligence/Künstliche Intelligenz) und machine learning zur Erkennung von Malware setzt. Meine ersten Erfahrungen mit WiseVector StopX sind sehr vielversprechend, ein ausführliches Produktreview sowie Videos werden in Kürze folgen. Für mich steht bereits jetzt schon fest, dass WiseVector mit StopX ein exzellentes Produkt auf den Markt gebracht hat, das den Vergleich mit bekannten Mitbewerbern wie Microsoft, Kaspersky, BitDefender usw. keinesfalls zu scheuen braucht, ganz im Gegenteil. Geplant ist seitens des Herstellers, StopX in einer Basisversion ohne Advanced Detection weiterhin kostenlos anzubieten – der Preis für die erweiterte Version, die dann alle Schutzfunktionen bieten wird, ist derzeit noch nicht bekannt.

Derzeit kann WiseVector StopX 2.x vollständig und ohne Einschränkungen verwendet werden. Der Download der englischen Version ist hier möglich.

WiseVector Advanced Antimalware mit AI-basierter Erkennung von Bedrohungen

Aus meiner Sicht ist es interessant zu sehen, wie die Entwicklung im Bereich AI-basierter Endpoint Protection-Lösungen voranschreitet und auch neue Player auf dem Radar auftauchen lässt, die bereits mit ersten Versionen ihrer EP-Lösung eine ordentliche Leistung abliefern. So hat der chinesische Hersteller WiseVector mit seinem gleichnamigen Malwareschutz vor wenigen Tagen eine englischsprachige Version veröffentlicht, die bereits beachtliche Ergebnisse liefert.

wisevector_ransomware_detection

Wie andere Hersteller kann auch WiseVector nicht zaubern und Wunder vollbringen, und so ist es auch nicht weiter verwunderlich, dass die Erkennungsraten noch nicht ganz an die bekannten Platzhirsche in diesem Bereich heranreichen – die Betonung liegt aber ganz klar auf “noch nicht”, denn WiseVector hat interessante Pläne für weitere Features. Zum einen wird es in Zukunft neben der kostenlosen Homeuser-Version auch eine Bezahlvariante geben, für die es außer einer integrierten Firewall auch eine AI-basierte Erkennung von bösartigen Scripts geben soll, und zum anderen steht auch eine gemanagete Variante für Firmenkunden auf dem Plan.

Ich persönlich bin auf die AI-basierte Erkennung von maliziösen Skripten schon sehr gespannt, denn das ist ein Bereich, der von vielen traditionellen und auch Next Generation-Lösungen, die mehr oder weniger auf machine learning basieren, häufig vernachlässigt wird. An dieser Stelle möchte ich nicht näher auf dieses Thema angehen, da es andernfalls den Rahmen sprengen würde, deshalb fasse ich mich kurz und weise darauf hin, dass die Erkennung von maliziösen Payloads in Form von ausführbaren Dateien nur ein Teil der Geschichte ist, die Erkennung von obfuskierten Powershell-Scripts oder Windows-Bordmitteln (LOLBIN/LOLBAS) aber eine andere. Diesem Thema werde ich mich in einem anderen Blogpost näher widmen.

Bereits in der aktuellen Version 1.29 (Stand: Dezember 2018) erkennt WiseVector folgende Bedrohungen:

  • Ausführbare Dateien (32-/64-Bit)
  • Office-Dateien mit maliziösen Makros
  • PDF-Dokumente mit Schadcode
  • Manipulierte RTF-Dokumente

Wie immer gilt: Nahezu jede Endpoint Protection-Lösung lässt sich umgehen oder aushebeln. Das ist lediglich eine Frage des Angreifer-Skillsets und des Toolsets, das zum Einsatz kommt. Man kann einem Angreifer das Leben aber deutlich erschweren. Ich werde WiseVector einem intensiven Test unterziehen und berichten, wie es sich schlägt.

SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

image

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

image

image

image

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor AI detection of weaponized documents vs. legacy AV signature-based detection

Dass die signaturbasierte Erkennung von maliziösen Office-Dokumenten mit der Vielzahl an neuen Samples, die täglich in Form von Malspam Campaigns das Licht der Welt erblicken, nicht mehr mithalten kann, dürfte mittlerweile eine bekannte Tatsache sein. Nach wie vor sind Endgeräte in Unternehmen das schwächste Glied in der Kette, deshalb ist es zwingend notwendig, diese mit einem möglichst wirkungsvollen und effektiven Schutz vor Malware auszustatten. Spam- und Mailfilter sowie Sandboxen am Perimeter sind nur ein Teil eines mehrstufigen Schutzkonzepts (“Layered Security”), und selbst teure Lösungen für den Unternehmensbereich können nicht alle schädlichen Dokumente blocken, die tagtäglich eine neue Bedrohung darstellen.

Sehen Sie in diesem Video, wie effektiv SparkCognition DeepArmor Enterprise maliziöse Dokumente (“Weaponized Documents”) mit seiner AI Engine auf Basis von machine learning erkennt und blockt. Bei einem Test mit 319 Samples aus aktuellen Malspam Campaigns hat DeepArmor 317 von 319 Word-Dokumente mit schädlichem Inhalt entdeckt, was einer Erkennungsrate von 99,37% entspricht. Dieses hervorragende Ergebnis lässt sich noch steigern, denn Schadcode in Form von ausführbaren Dateien, der beim Öffnen eines infizierten Dokuments üblicherwiese nachgeladen wird, wird üblicherweise von der DeepArmor AI Engine ebenfalls erkannt und eliminiert. Zum Vergleich mit einem rein AI-basierten Produkt wurde ein Scan mit einer signaturbasierten Lösung durchgeführt, bei dem 210 von 319 Samples entdeckt wurden – die Erkennungsrate lag dabei mit  65,83% deutlich unter dem Ergebnis von DeepArmor.

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

image

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

image

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. 1000 (mutated) malware samples

Viele Hersteller von AV-Software erwecken den Eindruck, als würden ihre Lösungen sämtliche Malware erkennen und stoppen können, die auf einem Endgerät auftauchen. Ich bin geneigt, das bei Next Generation AV-Lösungen von Cylance, Endgame, Cybereason usw. auch zu glauben, weil ich aus eigener Erfahrung weiß, wie gut machine learning und AI bei der Malwareerkennung funktioniert, aber bei signaturbasierter Legacy AV-Software, die noch mit Heuristik und Behavior Analysis arbeitet, tue ich mir da ehrlich gesagt schwer. Ich möchte deshalb anhand eines Tests mit 1000 Malware-Samples die Leistungsfähigkeit von SparkCognition DeepArmor demonstrieren. Dazu gelten folgende Rahmenbedingungen:

  • Bei den 1000 Samples handelt es sich um .exe-Dateien und alle Arten von Malware, wie Ransomware, Cryptominer, Trojaner, Adware usw. 
  • Im ersten Durchgang werden die Samples mit DeepArmor sowie dem Emsisoft Emergency Kit gescannt, das zwei leistungsfähige Scan Engines (Bitdefender/Emsisoft) im Bauch hat. Selbstverständlich wurden alle Signaturen vor dem Test aktualisiert.
  • Nach dem ersten Durchgang werden alle 1000 Samples mit mpress modifiziert, um polymorphe Samples zu simulieren
  • Im zweiten Durchgang werden alle nun mutierten Samples erneut mit DeepArmor und EEK gescannt. Ich möchte an dieser Stelle nicht zuviel vorweg nehmen, aber der Unterschied ist deutlich erkennbar.

Scan mit SparkCognition DeepArmor (unmodified samples)

image

image

Von 999 Samples wurden 998 erkannt, was einer detection rate von 99,89% entspricht. Die Samples wurden von der DeepArmor AI Engine erkannt, der Confidence Level lag in allen Fällen zwischen 95% und 100%.

Scan mit Emsisoft EEK (unmodified samples)

image

image

image

Von 999 Samples wurden 929 erkannt, was einer detection rate von 92,99% entspricht. Grundsätzlich ist das ein gutes Ergebnis für einen signaturbasierten Scanner, es bedeutet aber gleichzeitig auch, dass Malware nicht erkannt wurde und möglicherweise auch durch Verhaltensanalyse, Sandboxing oder Heuristik nicht gestoppt worden wäre.


Polymorphic/Mutated Samples

Der spannende Teil beginnt hier. Mit Hilfe des .exe-Packers mpress wurden alle Samples so modifiziert, dass die Erkennung durch signaturbasierte AV-Scanner massiv erschwert wird.

image 

image

Scan mit SparkCognition DeepArmor (mutated samples)

image

Ob die 1007 findings nur ein Darstellungsfehler sind oder ob DeepArmor tatsächlich mutierte Samples nun mehrfach erkennt, ist momentan noch unklar. Fakt ist aber, dass es keine Einbrüche hinsichtlich der Erkennungsrate gibt und DeepArmor hier tatsächlich nur mit machine learning und künstlicher Intelligenz (AI) auch die mutierten Bedrohungen souverän erkannt und eliminiert hat.

Im Vergleich dazu nun die Scanergebnisse mit EEK:

image

Von 999 mutierten Samples wurden 674 erkannt, was einer detection rate von 67,47% bei einem signaturbasierten Scan entspricht.


Fazit

In diesem Test wollte ich die Unterschiede zwischen einer modernen, auf machine learning und AI basierenden Next Generation Endpoint Protection-Lösung wie SparkCognition DeepArmor und traditioneller AV-Software verdeutlichen. Auch Next Generation-Lösungen bieten keinen hundertprozentigen Schutz, sie sind aber meines Erachtens konventionellen Lösungen bereits jetzt schon deutlich überlegen, wenn es um die Erkennung von unbekannten Bedrohungen oder 0-day threats geht. Endpoint Protection ist nur ein Bestandteil des Layered Security-Konzepts, aber der wird mit SparkCognition DeepArmor definitiv sehr gut abgedeckt. Wenn Sie mehr über DeepArmor erfahren wollen: Kontaktieren Sie uns unter info AT deeparmor.de oder über das Kontaktformular. Wir sind offizieller deutscher SparkCognition-Partner und beraten Sie gerne.