Tag Archives: file-less malware

WiseVector 2.0 aka WiseVector StopX released

WiseVector, der Hersteller von WiseVector StopX, hat Wort gehalten und mit lediglich geringer Verzögerung Version 2.0 seiner Next Generation Endpoint Protection-Lösung vorgestellt. Die Namensänderung von WiseVector nach StopX ist nicht das einzige, das sofort ins Auge sticht. Ein Blick in die Optionen zeigt, dass WiseVector tatsächlich alle angekündigten Optionen auch umgesetzt hat, und dazu zählen auch Neuerungen, die Stand Juni 2019 tatsächlich im Vergleich mit anderen AV-Lösungen einzigartig sein dürften. WiseVector StopX 2.0 verfügt nun über einen erweiterten Schutz (Advanced Protection) und folgende neue Features:

  • AI-basierte Verhaltensanalyse von Programmen
  • AI-basierte Analyse von Scripts (Powershell, VBScript usw.) und file-less malware
  • Erkennung von 0-day threats
  • Verbesserter Schutz von Office-Anwendungen und dem Internet Explorer
  • DLL Hijacking detection
  • Verhaltensbasierte Analyse und Erkennung von Ransomware
  • Ransomware-Fallen
  • Schutz von Dokumenten
  • Active Memory Scan prüft nun auch den Hauptspeicher in Echtzeit auf Malware

image

image

Die Neuheiten mögen vielleicht auf den ersten Blick unscheinbar wirken, sie haben es aber in Wahrheit faustdick hinter den Ohren. WiseVector ist damit definitiv einer der innovativsten Anbieter von AV-Software bzw. einer Next Generation Endpoint Protection-Lösung, die neue Wege beschreitet und in einem bislang nicht dagewesenen Umfang auf AI (artificial intelligence/Künstliche Intelligenz) und machine learning zur Erkennung von Malware setzt. Meine ersten Erfahrungen mit WiseVector StopX sind sehr vielversprechend, ein ausführliches Produktreview sowie Videos werden in Kürze folgen. Für mich steht bereits jetzt schon fest, dass WiseVector mit StopX ein exzellentes Produkt auf den Markt gebracht hat, das den Vergleich mit bekannten Mitbewerbern wie Microsoft, Kaspersky, BitDefender usw. keinesfalls zu scheuen braucht, ganz im Gegenteil. Geplant ist seitens des Herstellers, StopX in einer Basisversion ohne Advanced Detection weiterhin kostenlos anzubieten – der Preis für die erweiterte Version, die dann alle Schutzfunktionen bieten wird, ist derzeit noch nicht bekannt.

Derzeit kann WiseVector StopX 2.x vollständig und ohne Einschränkungen verwendet werden. Der Download der englischen Version ist hier möglich.

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt. 

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend. 

image