Tag Archives: Endpoint Security

SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

image

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

image

image

image

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt. 

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend. 

image