Eine auf der Blackhat-Konferenz vorgestellte KI-Malware erfährt derzeit viel Aufmerksamkeit. Das Besondere: Die Schadsoftware soll mit Hilfe von Künstlicher Intelligenz entscheiden, ob ein bestimmter Computer angegriffen wird oder nicht. Nach Ansicht von G DATA-Experten besteht aber derzeit kein Grund, in Panik zu verfallen.
Malware Researcher von IBM haben auf der Blackhat-Konferenz in Las Vegas mit DeepLocker eine Schadsoftware präsentiert, die neue Möglichkeiten aufzeigt, wie sich Schaddateien mit Hilfe von Verfahren der Künstlichen Intelligenz vor Erkennung schützen können. Bei den meisten KI-Verfahren (z.B. Neuronale Netze, Support Vector Machines, RainForests) ist es schwierig nachzuvollziehen, wie sie ihre Entscheidungen treffen und welche Aktionen dadurch ausgelöst werden. Das ist schon für KI-Forscher ein Problem. Und es ist auch für Malware-Analysten ein Problem, weil die Programmlogik nicht mehr ausschließlich durch die Analyse des Codes ersichtlich wird. Der Vortrag zeigt auf, dass das Arsenal an Analysetechniken erweitert werden muss. Er zeigt auch auf, dass Angreifern auch neue, KI-basierte Kriterien wie Gesichtserkennung oder Sprecherverifikation zur Verfügung stehen, um das richtige Zielsystem zu identifizieren. Das macht den Beitrag [PDF] der IBM-Researcher sehr wertvoll.
Andererseits muss man die Auswirkungen dieser Neuheiten auch entsprechend einordnen. Es geht darum, dass Schadprogramme sich der Analyse entziehen. Das tun sie aber schon seit über 30 Jahren und das Arsenal an Verschleierungs- und Selbstschutzverfahren ist umfangreich. Genauso lange werden die Erkennungstechnologien von IT-Sicherheitslösungen verbessert, erweitert und um neue Verfahren ergänzt.
„Die Signaturen des Virenscanners basieren üblicherweise auf dem Code der Schadroutinen. Die Nutzung von KI-Verfahren kann hier zu Problemen führen. Es ist aber möglich die KI-basierten Verfahren zu erkennen und auf dieser Basis Signaturen zu erstellen. Moderne Sicherheitslösungen setzen außerdem verstärkt auf verhaltensbasierte Erkennungsmethoden, die Deeplocker problemlos erkennen würden“ sagt Ralf Benzmüller, Executive Speaker der G DATA-Security Labs. Aus diesem Grund können Sicherheitslösungen wie G DATA Total Security auch vor solchen neuartigen Bedrohungen schützen.
WannaCry mit Gesichtserkennung
Konkret vorgeführt hat IBM eine Variante der WannaCry-Ransomware, die im vergangenen Jahr weltweit Unternehmensnetzwerke lahmgelegt hatte. Der Verschlüsselungstrojaner wurde in dem Beispiel nur aktiv, wenn eine in die Software integrierte Gesichtserkennungssoftware eine bestimmte Person identifiziert hat. Das könnte zum Beispiel der Vorstandsvorsitzende eines Unternehmens sein. „DeepLocker verändert das Verhalten der Datei im System nicht. Auch wenn wir in der Schaddatei die Entscheidungsprozesse, ob ein Rechner infiziert werden soll oder nicht, schlecht nachvollziehen können, so hätte unsere verhaltensbasierte Erkennung die Infektion mit WannaCry oder einer anderen Ransomware entdeckt und verhindert“, sagt Benzmüller.
Der G DATA Behaviour Blocker überprüft, ob im System bestimmte verdächtige Aktionen auftreten, oder nicht. Im Falle von Ransomware kann die Software zum Beispiel erkennen, wenn ein Prozess massenhaft Schattenkopien löscht, die zur Wiederherstellung gelöschter Daten genutzt werden können. Spätestens wenn ein Prozess anfängt auf einmal sehr viele Daten zu verschlüsseln, ohne dass zuvor eine Nutzereingabe stattgefunden hat, würde die Software den Prozess abbrechen oder im Zweifelsfall den Nutzer fragen, ob er derzeit Daten verschlüsseln möchte.
Verschleierung von Malware ist nichts grundsätzlich Neues
In Zukunft wird genau zu beobachten sein, ob Malware mit Methoden künstlicher Intelligenz versucht, ihre eigene Tätigkeit zu verschleiern. Es gibt aktuell etablierte Wege, die zum gleichen Ergebnis führen – wie zum Beispiel mit verschiedenen Packern, die von Virenschutzprogrammen nicht einfach ausgelesen werden können, oder mit Hilfe selbst erstellter Skriptsprachen, wie das kürzlich von G DATA entdeckte Dosfuscation-Sample zeigt. Es bleibt abzuwarten, ob Malware-Autoren tatsächlich auf die neuen Verfahren setzen.
Es ist gut von IBM, dass die Aufmerksamkeit für neue Techniken zur Verschleierung von Malware-Aktivitäten auf einer Sicherheitskonferenz wie der Blackhat demonstriert werden. Ein grundsätzliches Problem für die Sicherheitsindustrie ist das gezeigte Vorgehen allerdings nicht.
„Wir beobachten die Situation aufmerksam und sind gut gerüstet.“ sagt Benzmüller. „DeepLocker und ähnliche KI-Malware nutzt nach wie vor Dateien und Bibliotheken, die wir erkennen können.“ Indikatoren zur Erkennung könnten der Aufruf von bestimmten Funktionen aus Machine Learning Bibliotheken sein, oder noch zu definierende Prozesse mit eindeutigen Indikatoren, die von einer verdächtigen Datei gestartet werden. „Sollte solche Malware tatsächlich in freier Wildbahn auftauchen, können wir sie auch mit angepassten Signaturen oder neuen verhaltensbasierten Regeln erkennen. In den G DATA SecurityLabs nutzen wir schon seit Jahren Machine Learning und Künstliche Intelligenz, um schädliche Dateien zu entdecken. Aber wir brauchen keine neue KI-Engine, um KI-basierte Angriffe abzuwehren.“
