21.11.2018, Autor: Hauke Gierow

DeepRay versaut Cyberkriminellen das Geschäft

Mit Machine Learning gegen Malware: G DATA hat seine neueste Next-Generation-Technologie vorgestellt. DeepRay kann Verschleierung von Malwaresamples effektiv erkennen und Kunden so in Echtzeit vor neuen Bedrohungen schützen.

Mit einer kompletten Neuentwicklung geht G DATA gegen die wachsende Bedrohung durch Cybercrime vor. Anstatt Malware mit klassischen Signaturen zu fangen, setzt der Deutsche IT-Security-Hersteller auf eine selbst entwickelte Machine-Learning-Lösung, um sich schnell verändernde Malware kurzfristig, effektiv und ressourcenschonend zu identifizieren und deren Ausführung zu blockieren. Die DeepRay-Technologie klassifiziert die möglichen Schaddateien mit Hilfe von künstlicher Intelligenz anhand von mehreren hundert Faktoren und berechnet einen Risikowert für jede einzelne ausführbare Datei.

DeepRay ist notwendig geworden, weil sich die Cybercrime-Szene in den vergangenen Jahren massiv weiterentwickelt hat: Schadsoftware ist zum Dienstleistungsgut geworden. Kriminelle können spezialisierte Schadsoftware-Pakete auf einschlägigen Untergrund-Plattformen kaufen und anschließend verbreiten. Dabei benötigen sie weit weniger Spezialwissen als früher. Das führt dazu, dass immer mehr Kriminelle sich dieser Angebote bedienen und dadurch immer mehr Schadsoftware im Internet verbreitet wird. Zudem ist die Schadsoftware selbst auch noch technologisch hochwertiger. Ausgeklügelte Tarn-Mechanismen erschweren eine Erkennung durch Antiviren-Software. Klassische Algorithmen zum Auffinden solcher Schadsoftware sind dadurch in ihrer Wirksamkeit stark eingeschränkt.

Neue Iteration der Next-Gen-Technologien

Die DeepRay-Technologie ergänzt dabei das bereits umfangreiche Portfolio an Next-Generation-Technologien in den G DATA-Sicherheitslösungen. Mit der Exploit Protection kann bereits die Ausnutzung von Sicherheitslücken in Betriebssystem und Software unterbunden werden, der G DATA BankGuard schützt Nutzer beim Online-Banking. Eine komplette Übersicht aller Next-Gen-Komponenten finden sich in diesem Blogpost.

„Mit DeepRay ändern wir die Spielregeln und nehmen den Cyberkriminellen ihre wirtschaftliche Grundlage. Dank dieser neuen Technologie schauen wir hinter die Tarnung der Schadsoftware und können schnelllebige Malware-Kampagnen effektiv abwehren. Damit verbessern wir den Schutz für unsere Kunden entscheidend“, erläutert Andreas Lüning, Gründer und Vorstand der G DATA Software AG.

DeepRay basiert auf der über 30-jährigen Erfahrung, die G DATA im Antivirus-Geschäft hat. Das Know-how in der Analyse und Klassifizierung von Malware fließen direkt in das Training der neuen Machine-Learning-Komponenten ein. Dabei nutzt G DATA ein neuronales Netzwerke mit mehreren Perzeptrons, um ausführbare Dateien schnell und effizient zu klassifizieren.

Insgesamt verrichten in der G DATA-Sicherheitslösung rund 20 unterschiedlich trainierte Machine-Learning-Modelle ihren Dienst, um mittels DeepRay eine optimale Erkennung schadhafter Dateien zu gewährleisten. Dabei werden ausführbare Dateien verschiedener Art (Portable Executables wie .exe / MSIL/.Net oder VB6) anhand von vorab von unseren Analysten festgelegten statischen Indikatoren analysiert. Das Trainingsset umfasst mehr als 150 solcher Indikatoren, darunter etwa das Verhältnis von Dateigröße und ausführbarem Code, die verwendete Compiler-Version oder die Anzahl der importierten Systemfunktionen.

20 Machine-Learning-Modelle im Dienst der Kunden

Anhand von verschiedenen Trainingssets analysieren die Modelle die Prozesse und ermitteln einen Risikowert. Wird die Datei von einem der Modelle als möglicherweise schadhaft eingestuft, veranlasst die Machine-Learning-Technologie eine tiefere Analyse der Datei. Diese Analyse erfolgt im Arbeitsspeicher des Kunden. Somit kann Malware sich nicht, wie häufig gesehen, in einer Analyse-Umgebung anders verhalten und so der Erkennung entkommen. Die DeepRay-Technologie ermöglicht es daher, auch bislang unbekannte Malware anhand von bestimmten im Arbeitsspeicher vorkommenden Merkmalen zu erkennen.

Dabei nutzt es den Cyberkriminellen auch nichts, ihren Schadcode mit Hilfe bestimmter Packer oder anderer Verschleierungstechniken unkenntlich zu machen. Denn erstens kann schon die Verwendung bestimmter Packer in Kombination mit anderen Merkmalen eine ausführbare Datei als bösartig verraten. Und zweitens läuft der Code spätestens im Arbeitsspeicher des Rechners im Klartext und kann so analysiert werden.

Wenn neue Malwarefamilien oder ganz neue Bedrohungen aufkommen, ist ein weiterer Lernprozess aber weiter unabdingbar. Dafür nutzt DeepRay adaptives Lernen. Die aus der Technologie gewonnenen Erkenntnisse werden deutlich stabiler und langfristiger einsetzbar sein als einzelne Signaturen oder heuristische Erkennungsverfahren.

Der Vorteil der Technologie liegt auf der Hand: Mit ihr können nicht nur Malware-Samples erkannt werden, die zuvor von Analysten als schädlich eingestuft wurden, sondern auch bislang unbekannte Programme. Zudem ist es nicht mehr notwendig, für jede einzelne Erkennung jeweils eine eigene Signatur zu schreiben. Durch ein wachsendes Datenset und einen langfristigen Lernprozess können die aus DeepRay gewonnenen Erkenntnisse langfristig für effektiven Schutz der Nutzer vor Malware sorgen.


Share this article

G DATA | Trust in German Sicherheit