G DATA setzt mit DeepRay auf künstliche Intelligenz, um Malware-Kampagnen frühzeitig zu erkennen. Am Beispiel von Emotet erklären wir, wie das an einem exemplarischen Tag aussieht.
Ende 2018 hat G DATA die DeepRay-Technologie veröffentlicht. Der Gedankengang hinter DeepRay: Cyberkriminelle nutzen typischerweise immer wieder dieselben Malware-Kerne. Um diese vor Erkennung zu schützen, werden diese mit einer Art äußeren Hülle – sogenannten Cryptern oder Packern – ummantelt. Erst im Arbeitsspeicher wird der eigentliche Malware-Kern entpackt. Der Ansatz von DeepRay: Die Anwesenheit einer äußeren Hülle mit einem neuronalen Netz erkennen. Die Präsenz einer äußeren Hülle reicht aber noch nicht aus, um auf tatsächliche Schadwirkung zu schließen - auch legitime Software verwendet manchmal vergleichbare Methoden, zum Beispiel im Kontext von Kopierschutzsystemen. Deshalb führt DeepRay nach der Erkennung einer äußeren Hülle eine Tiefenanalyse des Speichers durch, um bekannte Malware-Kerne zu erkennen.
Dabei geht es vor allem darum, das Geschäftsmodell der Cyberkriminellen zu stören: Der Austausch der äußeren Hülle ist aus Angreifersicht relativ günstig. Bei traditionellen signaturbasierten Erkennungsmethoden muss jede Hülle einzeln erkannt werden, was aus Sicht traditioneller AV-Hersteller ein teurer Prozess ist. Die Angreifer sind also klar im Vorteil. Bei DeepRay hingegen müssen Angreifer zur Vermeidung der Erkennung immer wieder ihren Malware-Kern verändern - was für die Angreifer ein aufwändiger Prozess ist. Vorteil G DATA!
Nach mehr als einem halben Jahr wird es Zeit, Bilanz zu ziehen: Hat sich die DeepRay auch in der Praxis bewährt?
Diese Frage möchten wir in einer dreiteiligen Blog-Reihe beleuchten.
Emotet: Ein ganz normaler Tag
Eine der auffälligsten Malware-Familien der letzten Jahre ist Emotet (Siehe dazu auch: "Emotet - die Allzweckwaffe des Cybercrime"). Emotet sticht insbesondere dadurch hervor, dass die Autoren in hoher Frequenz neue Varianten produzieren. An einem exemplarischen Tag hat G DATA 16 verschiedene Varianten der Schadsoftware mit DeepRay erkannt. Wir haben die Schadsoftware dann umgehend gegen die herkömmlichen Signatur-Engines anderer Hersteller getestet.
Der erste getestete Hersteller hat acht der 16 ausgegebenen Familien sofort erkannt - also lediglich die Hälfte. Offenbar wurde gegen 11:00 Uhr eine Signatur ausgerollt, die den Angreifern bis zum Nachmittag standgehalten hat - danach hatte aber wieder Emotet die Nase vorn. Die nächsten beiden Hersteller haben eingangs nicht eine einzige Variante erkannt. Sollte jemals eine Signatur erstellt worden sein, war es bereits zu spät. Ein Hersteller hat eine einzige Variante identifiziert, was dann auch keinen großen Unterschied mehr ausmacht.
Der letzte Hersteller hat ebenfalls die Emotet-Variante um 11:09 Uhr erstmalig per Signatur erkannt. Allerdings hat diese Signatur nur drei Varianten lang gehalten. Die nächsten beiden Varianten wurden nicht erkannt, die darauffolgende schon. Danach gab es wieder ein Erkennungsloch von zwei Varianten, worauf die nächsten fünf Varianten wiedererkannt wurden. Bei der letzten Variante hat der Schutz wieder versagt. Hier sehen wir das typische Katz- und Maus-Spiel der AV-Industrie. Letztlich wurden eingangs nur 56 Prozent der Samples erkannt.
Geänderte Spielregeln: DeepRay
Genau dieses Katz- und Maus-Spiel sowie die Tage verpasster Erkennungen beendet DeepRay. Wo andere Hersteller zum Teil über eine lange Zeit Lücken in der Erkennung hatten, konnte G DATA mit DeepRay sofortigen Schutz bieten.
Die Identifizierung der Malware erfolgt mit DeepRay direkt im Arbeitsspeicher – wo sich der Code nicht verstecken kann. Die Konsequenz: Die Emotet-Erkennung durch DeepRay musste in den vergangenen sechs Monaten nur ein einziges Mal angepasst werden. Bei traditionellen Herstellern ist die Anpassung der Signaturerkennung jedoch mehrfach täglich an der Tagesordnung - oder sie wird gleich aufgegeben, möglicherweise kommt sie auch viel zu spät.
Reaktionszeiten im Vergleich
| Erkennung durch DeepRay | Hersteller1 | Hersteller 2 | Hersteller 3 | Hersteller 4 | Hersteller 5 | |
| 08:50 | - | - | - | - | - | |
| 10:57 | - | - | - | - | - | |
| 11:09 | + | - | - | - | - | |
| 11:33 | + | - | - | - | + | |
| 12:37 | + | - | - | - | + | |
| 12:51 | + | - | - | - | - | |
| 13:12 | + | - | - | + | - | |
| 13:55 | + | - | - | - | + | |
| 14:06 | + | - | - | - | - | |
| 14:53 | + | - | - | - | - | |
| 16:51 | - | - | - | - | + | |
| 16:59 | - | - | - | - | + | |
| 17:04 | - | - | - | - | + | |
| 17:33 | - | - | - | - | + | |
| 17:52 | - | - | - | - | + | |
| 19:59 | - | - | - | - | - | |
| Erkennungsrate in % | 50% | 0% | 0% | 6% | 56% |
Thomas Siebert
Head of Protection Technologies
