BEAST und DeepRay: „Wir haben die Grenzen verschoben.“

Der Kampf gegen Cyberkriminelle gleicht einem Wettlauf gegen die Zeit.  Geschwindigkeit ist einer der wesentlichen Faktoren Cyberattacken frühzeitig zu identifizieren und abzuwehren. Um den Angreifern einen Schritt voraus zu sein, setzt G DATA einerseits mit DeepRay auf Künstliche Intelligenz, andererseits mit BEAST auf moderne Verhaltensanalyse. Nachdem DeepRay bereits seit mehr als drei Jahren im Einsatz ist und BEAST auch schon seit Herbst 2019 Kunden vor Attacken aus dem Internet schützt, zeigt sich, dass sich die Schutzwirkung der Sicherheitslösungen verbessert hat. Beide Systeme arbeiten unabhängig voneinander und verhindern eine Vielzahl von erfolgreichen Angriffen.

Die Identifizierung der Malware erfolgt mit DeepRay direkt im Arbeitsspeicher, wo sich der Code nicht verstecken kann. Der Vorteil: Die Technologie lässt sich nicht von der äußeren Hülle beeindrucken, sondern scannt den Kern. Demzufolge sind   die Signaturen wesentlich langlebiger als klassische Malware-Signaturen und über mehrere Jahre einsatzfähig. Bei anderen Virenscannern sind diese oftmals nur Stunden oder Minuten aktuell, weil sie ausschließlich die äußere Hülle scannen und Cyberkriminelle diese mit Packern nahezu im Minutentakt ändern. Aktuell sind mehr als 2.000 Signaturen von DeepRay aktiv, einige davon bereits seit dem Start. Übrigens: Wenn Signaturen von DeepRay anschlagen, kommen diese auch in anderen Schutz-Komponenten zum Einsatz. Aber auch im Alltag bieten sich weitere Vorzüge. So hilft die Technologie, neue Malware zu entdecken. Dies gelingt mit sogenannten Jagd-Signaturen. Dies sind stille Signaturen, die ausschließlich zum Senden von Telemetrie verwendet werden. Jagd-Signaturen sind aggressiver als Erkennungssignaturen, schlagen aber nicht bei Kund*innen Alarm. Sie können auf diese Weise Informationen über neue Malware liefern. Diese Informationen nutzen Virus Analyst*innen zur Verbesserung der bestehenden Erkennungssignaturen oder zum Schreiben neuer Erkennungssignaturen.

DeepRay wird zudem für die Erkennung dateiloser Malware eingesetzt. Ein Beispiel dafür ist GooLoad beziehungsweise GootLoader. Als "Initial-Access-As-a-Service"-Provider übernimmt die Malware die initiale Infektion für eine große Reihe verschiedener Malware-Familien, insbesondere Remote Access Trojaner. Sie sorgt für dateilose Persistenz in der Registry und liefert auf diesem Weg Schadprogramme der bekannten Malware-Familien Kronos, Gootkit, REvil, njRAT oder Remcos aus. Anwender*innen laden sich GooLoad beziehungsweise GootLoader über kompromittierte Webseiten runter, die mittels Search-Engine-Poisoning in Suchmaschinen für Anfragen weit oben als Resultat angezeigt werden. Nutzer*innen hegen so keine Zweifel an der Seriosität der Seite. DeepRay hat bei bekannten Malware-Familien wie Gozi, Gootkit, njRAT die Payload erkannt und über die Telemetrie konnten Virus Analysten GootLoader finden. Hier zeigt sich eine Stärke von DeepRay. Obwohl die Payload niemals auf der Festplatte landet, sondern obfuskiert in der Registry liegt, konnte DeepRay diesen Angriffsweg erkennen. Andere signaturbasierte Verfahren benötigen zur Analyse oftmals eine auf der Festplatte gespeicherte Datei für ihre Analyse.

Der Gedankengang hinter DeepRay: Cyberkriminelle nutzen typischerweise immer wieder dieselben Malware-Kerne. Um diese vor einer Entdeckung zu schützen, verwenden die Angreifer Packer, um den bösartigen Code zu komprimieren, oder sie setzen auf verschiedene Arten von Verschleierungen, um eine statische Entdeckung zu vermeiden.  Erst im Arbeitsspeicher wird der eigentliche Malware-Kern entpackt. Der Ansatz von DeepRay ist, die Anwesenheit einer äußeren Hülle mit einem neuronalen Netz zu erkennen.

Die Präsenz einer äußeren Hülle reicht aber nicht aus, um auf eine tatsächliche Schadwirkung zu schließen - auch legitime Software verwendet manchmal vergleichbare Methoden, zum Beispiel im Kontext von Kopierschutzsystemen. Deshalb führt DeepRay nach der Erkennung einer äußeren Hülle eine Tiefenanalyse des Speichers durch, um bekannte Malware-Kerne zu identifizieren.

Dabei geht es vor allem darum, das Geschäftsmodell der Cyberkriminellen auszuhebeln: Der Austausch der äußeren Hülle ist aus Angreifersicht relativ günstig. Bei traditionellen signaturbasierten Erkennungsmethoden muss jede Hülle einzeln erkannt werden, was aus Sicht traditioneller Antiviren-Hersteller ein teurer Prozess ist. Die Angreifer sind also klar im Vorteil. Bei DeepRay hingegen müssen Angreifer zur Vermeidung der Erkennung immer wieder ihren Malware-Kern verändern - was für die Cyberkriminellen ein aufwändiger Prozess ist.

Auch eine KI-basierte Technologie wie DeepRay hat seine Grenzen. Hier kommt BEAST zum Einsatz. Im Mittelpunkt der Technologie steht eine Graphdatenbank, in welcher die Aktionen der im System laufenden Programme aufgezeichnet werden. BEAST verknüpft sämtliche Aktionen miteinander in seinem Graph und versetzt so die Virus Analyst*innen in die Lage, Regeln für bösartige Verhaltensmuster auch über Prozessfolgen hinweg zu definieren.  Dadurch lässt sich auch stark verschleierte Malware erkennen. Hier ist der ausführbare Programmcode verändert, ohne dass sich das Programmverhalten geändert hat. BEAST achtet auf das Verhalten und lässt sich nicht täuschen. Auch dateilose Malware lässt sich auf diesem Weg entlarven. Im Schnitt schauen sich die Analyst*innen zwischen drei und 20 Prozessschritte an und erhalten viele Informationen über die Software und ihre Dateien. So ist auch erkennbar, ob die Dateien signiert oder unsigniert sind. Die Erfahrungen zeigen, dass viele Regeln von BEAST langlebig sind, weil sie ein bestimmtes Verhalten als schadhaft definieren, wenn beispielsweise eine Windows-Datei durch eine unsignierte Datei ausgetauscht wird. Solche Regeln lassen sich für eine Vielzahl von Angriffen anwenden und treffen zudem auf viele Malware-Familien zu. Andere Regeln bilden wiederum ein komplexeres Verhalten ab. Sie zielen auf spezielle Familien ab oder auch auf sehr spezifisches Verhalten, sodass hier die Zahl der Treffer mit der Zeit immer weiter abnimmt. Manchmal schreiben die Fachleute auch zwei Regeln, weil an verschiedenen Stellen zu unterschiedlichen Zeitpunkten sich die Software verdächtig benimmt.

Eine besondere Herausforderung in der täglichen Arbeit mit BEAST ist die Trennschärfe zwischen eindeutig gutem und eindeutig bösem Verhalten. Denn immer wieder müssen die Virus Analyst*innen sich mit der Frage beschäftigen, warum sich legitime Software so seltsam verhält, dass sie wie Malware wirkt. Insbesondere sehr spezielle Software für einzelne Berufsgruppen sorgt für solche Überraschungen. Um die Gefahr von False-Positive-Meldungen in diesem Zusammenhang zu minimieren, werden die Regeln ständig angepasst und um aktuelle Erkenntnisse erweitert.

BEAST wählt einen radikaleren Ansatz als bisherige Technologien zur Verhaltensanalyse.  Anstatt die verdächtigen Aktionen in einem numerischen Wert zu aggregieren, zeichnet die Technologie die Prozesse in einem Graphen nach. Dazu wurde eigens eine performanceoptimierte Graphdatenbank entwickelt, die lokal auf dem Rechner der G DATA Kunden läuft. Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig erkennt. Hat ein Nutzer beispielsweise Outlook gestartet und öffnet dann eine Mail mit einem angehängten Zip-Archiv, ist das nicht per se verdächtig. Ist in dem Zip-Archiv aber eine Word-Datei mit einem Makro enthalten, das Powershell öffnet und von dort eine ausführbare Datei aus dem Internet nachlädt und startet, liegt ein bekannter Infektionsvektor von Schadsoftware vor. BEAST ist außerdem in der Lage, bösartiges Verhalten der identifizierten Malware zu entfernen beziehungsweise den ursprünglichen Zustand vor der Infektion wiederherzustellen. Auch hierfür ist die Graphdatenbank nützlich, denn hier sind alle von einer Malware ausgeführten Aktionen hinterlegt, sodass man für die Wiederherstellung einfach nur auf dem Graphen “rückwärtsgehen” muss.

BEAST und DeepRay leisten wertvolle Arbeit im Kampf gegen trickreiche Cyberattacken. Als letzte Verteidigungslinie für die schwierigen Fällen schützen sie Anwender*innen vor dem letzten gefährlichen Prozent.

Wie wirkungsvoll beide Technologien sein können, zeigen Testszenarien: Kommen BEAST und DeepRay ohne weitere Schutztechnologien zum Einsatz, erkennen sie gemeinsam weit mehr als 90 Prozent der aktuellen Bedrohungen.