SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor: AI-basierte Erkennung von maliziösen PowerShell-Scripts

DeepArmor Enterprise ist ein leistungsfähiger Vertreter aus dem Bereich der Next Generation AV-Lösungen. Next Gen-Lösungen verwenden in der Regel künstliche Intelligenz (AI) sowie machine learning oder deep learning, um auch neue und unbekannte Bedrohungen wirkungsvoll erkennen und stoppen zu können. In der aktuellen Version 1.44 ist DeepArmor die erste Lösung, die maliziöse PowerShell-Scripts ausschließlich mit Hilfe der AI Engine erkennt. Die sog. “in-memory protection” sorgt dafür, dass selbst stark obfuskierte Scripte erkannt und geblockt werden. In unserem Demovideo sehen Sie, wie DeepArmor Enterprise sowohl unbehandelte als auch modifizierte PowerShell-Scripts problemlos erkennt und die Ausführung wirkungsvoll verhindert, während im Vergleich dazu eine signaturbasierte AV-Lösung die obfuskierten Versionen nicht erkennt und demnach auch nicht blocken würde.

Warum ist das ganze so interessant? Zum einen sind bösartige PowerShell-basierte Scripts mittlerweile stark verbreitet und kommen sowohl bei aktuellen Malspam-Kampagnen zum Einsatz (meist in Form von weaponized documents, also präparierte Office-Dokumente) als auch bei gezielten Angriffen gegen Unternehmen (APT = Advanced Persistant Threat). Die Bedrohung durch maliziöse PowerShell-Scripts wird laut einem Bericht von Symantec noch weiter wachsen. Um es anhand von Zahlen zu verdeutlich: Die Verwendung von maliziösen PowerShell-Scripts ist im Zeitraum der zweiten Jahreshälfte 2017 bis zum Ende des ersten Halbjahrs 2018 um 661(!) Prozent gestiegen

Angreifer passen ihre TTPs (Tools, Tactics and Procedures) regelmäßig an. Dass insbesondere in Unternehmen das Whitelisting bzw. Blacklisting von Scripts zu einem hohen administrativen Aufwand mit entsprechenden Personalaufwand und Kosten führen kann und deshalb häufig vermieden wird, wissen professionelle Angreifer natürlich auch. Hinzu kommt, dass PowerShell ein Betriebssystembestandteil ist und bösartige Scripts deshalb auf jedem Endgerät ausgeführt werden können, auf dem PowerShell installiert ist. Konventionelle Lösungen versuchen mit Hilfe von Behavior Monitoring (Verhaltensanalyse von Anwendungen), Sandboxing oder HIPS die Ausführung von maliziösen Scripts zu verhindern. Hierbei kommt es allerdings oft zu false positives und damit verbunden auch zu einem hohen administrativen Aufwand. SparkCognition DeepArmor hingegen verwendet ausschließlich seine AI Engine und wurde mit einem umfangreichen Dataset trainiert, um bösartige von legitimen PowerShell-Scripts unterscheiden zu können.

Machen Sie sich selbst ein Bild von der Leistungsfähigkeit von SparkCognition DeepArmor, denn AI ist die Zukunft.

Kontaktieren Sie uns, wenn Sie mehr über SparkCognition DeepArmor Enterprise erfahren wollen. Wir sind offizieller DeepArmor-Partner und helfen gerne weiter.

SparkCognition DeepArmor vs. 1000 (mutated) malware samples

Viele Hersteller von AV-Software erwecken den Eindruck, als würden ihre Lösungen sämtliche Malware erkennen und stoppen können, die auf einem Endgerät auftauchen. Ich bin geneigt, das bei Next Generation AV-Lösungen von Cylance, Endgame, Cybereason usw. auch zu glauben, weil ich aus eigener Erfahrung weiß, wie gut machine learning und AI bei der Malwareerkennung funktioniert, aber bei signaturbasierter Legacy AV-Software, die noch mit Heuristik und Behavior Analysis arbeitet, tue ich mir da ehrlich gesagt schwer. Ich möchte deshalb anhand eines Tests mit 1000 Malware-Samples die Leistungsfähigkeit von SparkCognition DeepArmor demonstrieren. Dazu gelten folgende Rahmenbedingungen:

  • Bei den 1000 Samples handelt es sich um .exe-Dateien und alle Arten von Malware, wie Ransomware, Cryptominer, Trojaner, Adware usw. 
  • Im ersten Durchgang werden die Samples mit DeepArmor sowie dem Emsisoft Emergency Kit gescannt, das zwei leistungsfähige Scan Engines (Bitdefender/Emsisoft) im Bauch hat. Selbstverständlich wurden alle Signaturen vor dem Test aktualisiert.
  • Nach dem ersten Durchgang werden alle 1000 Samples mit mpress modifiziert, um polymorphe Samples zu simulieren
  • Im zweiten Durchgang werden alle nun mutierten Samples erneut mit DeepArmor und EEK gescannt. Ich möchte an dieser Stelle nicht zuviel vorweg nehmen, aber der Unterschied ist deutlich erkennbar.

Scan mit SparkCognition DeepArmor (unmodified samples)

image

image

Von 999 Samples wurden 998 erkannt, was einer detection rate von 99,89% entspricht. Die Samples wurden von der DeepArmor AI Engine erkannt, der Confidence Level lag in allen Fällen zwischen 95% und 100%.

Scan mit Emsisoft EEK (unmodified samples)

image

image

image

Von 999 Samples wurden 929 erkannt, was einer detection rate von 92,99% entspricht. Grundsätzlich ist das ein gutes Ergebnis für einen signaturbasierten Scanner, es bedeutet aber gleichzeitig auch, dass Malware nicht erkannt wurde und möglicherweise auch durch Verhaltensanalyse, Sandboxing oder Heuristik nicht gestoppt worden wäre.


Polymorphic/Mutated Samples

Der spannende Teil beginnt hier. Mit Hilfe des .exe-Packers mpress wurden alle Samples so modifiziert, dass die Erkennung durch signaturbasierte AV-Scanner massiv erschwert wird.

image 

image

Scan mit SparkCognition DeepArmor (mutated samples)

image

Ob die 1007 findings nur ein Darstellungsfehler sind oder ob DeepArmor tatsächlich mutierte Samples nun mehrfach erkennt, ist momentan noch unklar. Fakt ist aber, dass es keine Einbrüche hinsichtlich der Erkennungsrate gibt und DeepArmor hier tatsächlich nur mit machine learning und künstlicher Intelligenz (AI) auch die mutierten Bedrohungen souverän erkannt und eliminiert hat.

Im Vergleich dazu nun die Scanergebnisse mit EEK:

image

Von 999 mutierten Samples wurden 674 erkannt, was einer detection rate von 67,47% bei einem signaturbasierten Scan entspricht.


Fazit

In diesem Test wollte ich die Unterschiede zwischen einer modernen, auf machine learning und AI basierenden Next Generation Endpoint Protection-Lösung wie SparkCognition DeepArmor und traditioneller AV-Software verdeutlichen. Auch Next Generation-Lösungen bieten keinen hundertprozentigen Schutz, sie sind aber meines Erachtens konventionellen Lösungen bereits jetzt schon deutlich überlegen, wenn es um die Erkennung von unbekannten Bedrohungen oder 0-day threats geht. Endpoint Protection ist nur ein Bestandteil des Layered Security-Konzepts, aber der wird mit SparkCognition DeepArmor definitiv sehr gut abgedeckt. Wenn Sie mehr über DeepArmor erfahren wollen: Kontaktieren Sie uns unter info AT deeparmor.de oder über das Kontaktformular. Wir sind offizieller deutscher SparkCognition-Partner und beraten Sie gerne.


SparkCognition DeepArmor vs. new and dangerous wiper malware

Please use the excellent translation service Deepl for an English translation and copy & paste the text into the input field.

Ich habe heute einen sog. Wiper entdeckt, dessen Aufgabe darin besteht, sinnlos Dateien und wichtige Bereiche von Festplatten wie den MBR (Master Boot Record) zu überschreiben bzw. zu löschen und damit möglichst viel Schaden anzurichten. Bemerkenswert an diesem Sample sind für mich vor allem zwei Dinge:

1. Bekannte Namen wie KAV, Panda, EMSISOFT, Avira, Bitdefender usw. waren laut den auf Malwaretips durchgeführten Tests (nur für registrierte User sichtbar!) mit Hilfe von Verhaltenserkennung (behavior analysis) und/oder anderen dynamischen Erkennungsmethoden teilweise nicht in der Lage, diese gefährliche Malware zu erkennen und zu stoppen

2. Den vollen Schutz bieten viele konventionelle AV-Programme nur, solange ein Endgerät online ist. Sobald ein Endgerät keine Online-Verbindung mehr hat, ist der Malware-Schutz deutlich geschwächt

Die Erkennungsraten bei VirusTotal machen deutlich, dass die Erkennung von neuer Malware alleine durch Signaturen meines Erachtens in einer Sackgasse angelangt ist. DeepAmor verwendet machine learning und AI (Artificial Intelligence), um auch polymorphe Malware sowie 0-day threats wirkungsvoll erkennen und stoppen zu können.

Wie der Wiper zuschlägt, kann man in diesem Video ab 03:20 verfolgen. Als Beispiel kommt Panda Dome zum Einsatz:

SparkCognition DeepArmor stoppt diese Bedrohung sowohl im Offline- als auch im Online-Betrieb wirkungsvoll:

MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line