Der iTod von eVoldemort

13 Aug 2018

Märchen und Fantasiegeschichten haben dem Mythos über die Unbesiegbarkeit globaler Machthaber und Übeltäter bereits vor langer Zeit ein Ende gesetzt (auch wir entlarven nun schon seit mehr als 20 Jahren den gleichen Mythos im Cyberspace). Jeder Voldemort verlässt sich auf die Sicherheit seines Tagebuchs, seines Ringes, seiner Schlange … ich denke, Sie wissen genug über Horkruxe. Und der Erfolg Ihres Kampfes gegen die Schurkerei auf dieser Welt, ganz gleich ob im Märchen oder virtuell, hängt von zwei Schlüsselqualitäten ab: Ausdauer und Verstand (im technologischen Sinne). Heute möchte ich Ihnen erzählen, wie Ausdauer und Verstand, gepaart mit neuronalen Netzwerken, maschinellem Lernen, Cloud-Sicherheit und Fachwissen – alles in unseren Produkten integriert – Sie vor möglichen zukünftigen Cyberbedrohungen schützen können.

Wir haben bereits des Öfteren (nicht nur einmal oder zweimal, sondern gleich mehrere Male) von den Technologien zum Schutz vor zukünftigen Cyberbedrohungen berichtet. Sie fragen sich jetzt wahrscheinlich, warum wir so besessen von diesem Thema sind.

Das liegt daran, dass diese Technologien genau das sind, was einen robusten Schutz von gefälschter künstlicher Intelligenz und Produkten, die gestohlene Informationen verwenden, um Malware zu erkennen, unterscheidet. Die Codefolge mithilfe einer bekannten Signatur zu identifizieren, nachdem sich die Malware bereits in das System des Nutzers eingeschlichen und diesem bereits einen bösen Streich gespielt hat? Damit kann niemand etwas anfangen.

Aber den Denkmustern der Cyberschurken zuvorzukommen, die Schwachstellen zu erkennen, die sie attraktiv finden könnten und unsichtbare Fangnetze zu verbreiten, die zur automatischen sofortigen Erkennung ausgelegt sind – dazu sind, traurig aber wahr, nur die wenigsten Branchenakteure in der Lage. Sehr wenige, wenn man einen Blick auf die Statistiken unabhängiger Tests wirft. WannaCry, die größte Epidemie des Jahrzehnts, ist ein sehr gutes Beispiel dafür: Dank der System-Watcher-Technologie konnten unsere Produkte unsere Nutzer proaktiv vor dem Cyberangriff schützen.

Der entscheidende Punkt ist: Man kann nie genug Schutz vor zukünftigen Cyberbedrohungen haben. Es gibt kein Emulator- oder Big-Data-Experten-Analysesystem, das alle möglichen Bedrohungsvektoren abdeckt. Unsichtbare Fangnetze sollten jede Ebene und jeden Kanal so gut wie möglich abdecken und die Aktivitäten aller Objekte auf dem System bis ins kleinste Detail verfolgen, um sicherzustellen, dass von ihnen keine Gefahr ausgeht, während der Ressourcenverbrauch auf ein Minimum reduziert wird, die Fehlalarmquote bei Null liegt und sie hundertprozentig mit anderen Anwendungen kompatibel sind, um lästige Bluescreens zu vermeiden.

Auch die Malwareindustrie entwickelt sich weiter. Cyberschurken haben ihren Kreationen beigebracht (und tun das auch weiterhin), sich effektiv im System zu verbergen; ihre Struktur und ihr Verhalten zu verändern, zu „gemütlichen“ Aktionsmechanismen zu wechseln (den Einsatz von Computerressourcen zu minimieren, rechtzeitig aktiv zu werden, unmittelbar nach der Infektion keine Aufmerksamkeit zu erregen, usw.), sich tief in das System einzuschleusen, ihre Spuren zu verdecken und einwandfreie bzw. nahezu einwandfreie Methoden zu verwenden. Aber wenn ein Voldemort existiert, gibt es auch Horcruxe, die zerstört werden können, um seiner schädlichen Existenz ein Ende zu setzen. Die Frage ist, wie man sie findet.

Vor einigen Jahren haben unsere Produkte ihr Arsenal proaktiver Technologien zum Schutz vor fortgeschrittenen Cyberbedrohungen durch die Einführung einer interessanten Erfindung (Patent RU2654151) gestärkt und erweitert. Sie verwendet ein schulbares Objekt-Verhaltensmodell zur hochpräzisen Identifizierung verdächtiger Anomalien im System, zur Quellenlokalisierung und Unterdrückung der scheinbar „vorsichtigsten“ Würmer.

Wie funktioniert das Ganze?

Jedes aktive Objekt hinterlässt Spuren auf einem Computer. Egal ob durch die Nutzung der Festplatte oder des Speichers, durch den Zugriff auf die Systemressourcen oder die Übertragung von Dateien über das Netzwerk – früher oder später manifestiert sich jede Art von Malware, ganz egal, wie raffiniert sie ist; denn es ist unmöglich, alle Spuren vollständig zu entfernen. Selbst durch den Versuch, bestimmte Spuren zu verwischen, werden rekursiv mehr Spuren erzeugt, usw.

Aber wie erkennen wir, welche Spuren zu legitimen Anwendungen und welche zu Malware gehören, ohne dabei übermäßig Rechenleistung zu beanspruchen? So funktioniert’s:

Das Antivirus-Produkt erfasst Informationen über die Aktivitäten der Apps (ausgeführte Befehle, deren Parameter, Zugang zu kritischen Systemressourcen, usw.) und verwendet diese Informationen, um Verhaltensmodelle zu erstellen, Anomalien zu erkennen und den Bosheitsfaktor zu berechnen. Ich möchte allerdings, dass Sie einen genaueren Blick auf die Methode, mit der das erreicht wird, werfen. Denken Sie daran, wir haben es nicht nur auf die Zuverlässigkeit, sondern auch auf die Geschwindigkeit der Operation abgesehen. Und genau an dieser Stelle kommen mathematische Hashwerte ins Spiel.

Das resultierende Verhaltensmodell wird relativ klein gepackt – so wird einerseits die erforderliche Tiefe der objektspezifischen Verhaltensinformationen erhalten und andererseits keine wesentlichen Systemressourcen verbraucht. Selbst jemand, der die Rechenleistung genau überwacht, wird keinerlei Anzeichen dieser Technologie erkennen.

Hier ein anschauliches Beispiel:

Die Berechnung des Bosheitsfaktors beruht auf vier externen Attributen:

  • Objekttyp (ausführbar/nicht ausführbar);
  • Größe (über/unter 100kB);
  • Quelle (aus dem Internet heruntergeladen oder ein entpacktes USB-Archiv);
  • Reichweite (mehr/weniger als 1.000 Installationen basierend auf KSN-Statistiken)

Und auf vier Verhaltensattributen:

  • Ob das Objekt Daten über das Netzwerk überträgt;
  • Ob das Objekt Daten von der Festplatte liest;
  • Ob das Objekt Daten zum Register hinzufügt;
  • Ob das Objekt über eine Fensterschnittstelle mit dem Benutzer interagiert.

Jede dieser Fragen kann mit „Nein“ (0) oder „Ja“ (1) beantwortet werden.

So wird die Datei app.exe (21kB groß, extrahiert aus der komprimierten Datei otherstuff.zip, entdeckt auf 2113 Computern, liest keine HDD-Daten, überträgt Daten über das Netzwerk, keine Fenster-Schnittschnelle, fügt dem Register Daten hinzu) folgendermaßen angezeigt:

1 0 0 1 1 0 1 0

Wenn wir dies als 8-Bit-Integer darstellen, erhalten wir 0b10011010 = 154. Und genau das bezeichnen wir als Hashwert. Aber im Gegensatz zur klassischen Hashfunktion (wie z. B. MD5 oder SHA-1) ist unsere Hash-Technologie deutlich smarter. In Wirklichkeit werden Tausende von Objektattributen registriert, wobei jedes dieser Attribute in mehreren Hashwerten resultiert, die von einem trainierbaren Modell verwendet werden, um bestimmte Muster zu identifizieren. Auf diese Weise wird ein sehr präzises Verhaltensmuster erstellt.

Der Bosheitsfaktor ist eine völlig andere Geschichte; sowohl Malware als auch legitime Apps können ein vollkommen identisches Verhalten zeigen. Viele Anwendungen fügen dem Systemordner beispielsweise Daten hinzu. Woher wissen wir, welche Anwendungen dies als Teil ihrer legitimen Aufgaben tun und bei welchen eine böswillige Absicht dahintersteckt?

Der Faktor hat vor allem einen kumulativen Effekt bzw. wächst monoton. Im Laufe der Zeit wird so die Erkennung von Malware mit sehr niedrigem Profil ohne jegliche Fehlalarme ermöglicht – kurze Ausbrüche verdächtiger Aktivitäten (wie die Änderung der Systemregistrierung, die bei jeder Installation einer Anwendung auftritt) lösen das AV-Programm dabei nicht aus. Der resultierende Hashwert wird über ein geschultes neuronales Netzwerk gespeist, das ein Urteil darüber abgibt, ob das Verhalten des Objekts bösartig ist oder nicht.

Und natürlich profitiert die Technologie von KSN – dieses cloudbasierte System ermöglicht den Austausch verdächtiger Samples, deren automatisierte Analyse sowie die Verbesserung der Technologie selbst, um die Genauigkeit ihrer Urteile zu verbessern. Die Fähigkeiten von KSN werden laufend genutzt, um das neuronale Netzwerk zu optimieren und durch andere Algorithmen und Experten zu trainieren. Dies hilft uns, nicht nur gefährliche Dateien, sondern auch Netzwerksitzungen, Komponenten und andere Nanoelemente des Puzzles zu erkennen, die uns letztendlich den richtigen Weg zu eVoldemort weisen.