SparkCognition DeepArmor vs. new and dangerous wiper malware

Please use the excellent translation service Deepl for an English translation and copy & paste the text into the input field.

Ich habe heute einen sog. Wiper entdeckt, dessen Aufgabe darin besteht, sinnlos Dateien und wichtige Bereiche von Festplatten wie den MBR (Master Boot Record) zu überschreiben bzw. zu löschen und damit möglichst viel Schaden anzurichten. Bemerkenswert an diesem Sample sind für mich vor allem zwei Dinge:

1. Bekannte Namen wie KAV, Panda, EMSISOFT, Avira, Bitdefender usw. waren laut den auf Malwaretips durchgeführten Tests (nur für registrierte User sichtbar!) mit Hilfe von Verhaltenserkennung (behavior analysis) und/oder anderen dynamischen Erkennungsmethoden teilweise nicht in der Lage, diese gefährliche Malware zu erkennen und zu stoppen

2. Den vollen Schutz bieten viele konventionelle AV-Programme nur, solange ein Endgerät online ist. Sobald ein Endgerät keine Online-Verbindung mehr hat, ist der Malware-Schutz deutlich geschwächt

Die Erkennungsraten bei VirusTotal machen deutlich, dass die Erkennung von neuer Malware alleine durch Signaturen meines Erachtens in einer Sackgasse angelangt ist. DeepAmor verwendet machine learning und AI (Artificial Intelligence), um auch polymorphe Malware sowie 0-day threats wirkungsvoll erkennen und stoppen zu können.

Wie der Wiper zuschlägt, kann man in diesem Video ab 03:20 verfolgen. Als Beispiel kommt Panda Dome zum Einsatz:

SparkCognition DeepArmor stoppt diese Bedrohung sowohl im Offline- als auch im Online-Betrieb wirkungsvoll:

SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

 

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

 

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

 

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

 

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt.

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend.

image

Next-Generation AV und machine learning: Marketing-Blabla vs. Realität

Seitdem Cylance als einer der Pioniere im Next-Gen AV-Bereich mit Begriffen wie AI (Artificial Intelligence/Künstliche Intelligenz), machine learning und mathematischen Modellen im Jahr 2014 auf dem Radar auftauchte, haben Mitbewerber aus dem klassischen AV-Software-Umfeld nichts unversucht gelassen, aktuellere Technologien als die von ihnen verwendeten wie Verhaltensanalyse, Heuristik, cloudbasiertes Scannen usw. zunächst als wenig erfolgreich darzustellen. Darauf, wer sich wann wie und in welcher Form geäußert hat oder warum Hersteller A nach eigenen Angaben bedeutend besser ist als der Rest, möchte ich an dieser Stelle nicht näher eingehen. In diesem Beitrag möchte ich vielmehr erläutern, weshalb man fabelhaft klingenden Beschreibungen aus der Feder der Marketingabteilungen immer mit einer gesunden Portion Skepsis begegnen sollte und weshalb es offensichtlich unterschiedliche Formen von machine learning oder deep learning gibt, die sich hinsichtlich ihrer Effizienz doch deutlich voneinander unterscheiden.

Aus meiner Sicht ist es unabdingbar, ein Produkt selbst auf Herz und Nieren zu testen. Ich spreche hierbei nicht von AV-Software für Heimanwender, sondern von Business-Versionen für Unternehmen jeglicher Größe. Da ich mit Produkten wie DeepArmor von SparkCognition vertraut bin und aufgrund regelmäßig durchgeführter eigener Tests die Effektivität von DeepArmor kenne und beurteilen kann, habe ich im Dezember 2017 Tests mit mehreren Business-Lösungen von bekannten Herstellern durchgeführt. Grundlage dafür waren jeweils Testversionen der jeweiligen Produkte sowie Samples von testmyav.com, hybrid-analysis.com sowie aktuelle Malware und Ransomware, die ich über einen malware crawler einsammle.

Meine Testmethodik werde ich ein anderes Mal ausführlicher erläutern, momentan sollte folgende kurze Übersicht ausreichend sein:

  • Alle Samples wurden unter Windows 10 in einer virtuellen Maschine gegen die jeweilige Scan Engine getestet
  • In allen Fällen wurde die mitgelieferte und empfohlene default policy des jeweiligen Herstellers verwendet
  • Malware, die nicht bereits vom On-Access Scanner ausgesondert wurde, habe ich erneut manuell gescannt
  • Bekannte Ransomware-Samples von testmyav.com habe ich mit einem EXE-Packer behandelt, um zu prüfen, wie gut Mutationen von Ransomware erkannt werden  

Ohne lange um den heißen Brei herumreden zu wollen, waren die Ergebnisse sehr durchwachsen. Besonders irritiert hat mich ein Produkt eines amerikanischen Herstellers hinsichtlich der beworbenen Erkennungsmöglichkeiten und den tatsächlich erkannten Samples. Ich muss zugeben, dass sich die Produktbeschreibung wirklich gut anhört: Small footprint des Agents, geringe Systemauslastung, machine learning zur Erkennung von völlig neuer und unbekannter Malware usw. Wenn ein Hersteller mit machine learning oder deep learning wirbt, dann erwarte ich, dass auch relativ simpel manipulierte Malware oder Ransomware problemlos erkannt werden, denn das gibt die Technik tatsächlich her, wenn sie richtig implentiert ist. Erschreckend war aber speziell in diesem einen Fall, dass manipulierte Malware-Samples weder erkannt noch in der Ausführung gestoppt wurden. Mehr noch: der vom Hersteller versprochene Remediation-Mechanismus für verschlüsselte Dateien, die durch nicht erkannte Ransomware entstanden sind, hat bei mir schlicht und ergreifend nicht funktioniert. Einen Fehler in der Konfiguration der Software schließe ich aus, weil ich die vom Hersteller empfohlene default policy verwendet habe. Noch krasser wird das ganze, wenn man sich die Reviews für das Produkt bei Gartner peer review (Registrierung erforderlich) anschaut und die Bewertungen durchliest, denn die basieren meiner Meinung nicht auf selbst durchgeführten Tests. Wer glaubt, dass ein gutes Endpoint Protection-Produkt schon alleine deshalb super ist, weil es drei Tage alte Malware-Samples erkennt, der sollte sich ernsthaft die Frage stellen, ob er auf das richtige Pferd gesetzt hat.

Last but not least möchte ich in diesem Kontext nicht unerwähnt lassen, dass dieses augenscheinlich hervorragende Produkt auf anderen Webseiten ganz anders abgeschnitten hat und bewertet wurde, und zwar im Bereich der negativen Leistung.

Warum schreibe ich das nun alles? Ganz einfach: Verlassen Sie sich niemals auf vollmundiges Marketing-Blabla von Herstellern von AV-Software, sondern testen Sie Produkte im Endpoint Security-Umfeld intensiv und selbst auf Herz und Nieren, bevor sie im Unternehmen eingeführt werden. Gerne berate und unterstütze ich Sie diesbezüglich auch mit meinem Know How.

Ordinypt: Effektiver Ransomware-Schutz durch SparkCognition DeepArmor

For our international audience: you might want to use deepl for translation.

Einführung

Im Dezember 2016 machte eine Ransomware namens Goldeneye insbesondere deshalb Schlagzeilen, weil diese sich als vorgebliche Bewerbung tarnte und primär Personalabteilungen von deutschen Unternehmen im Visier hatte. Im November 2017 ist nun etwas ähnliches zu beobachten: Wieder geht es um Ransomware, die sich ebenfalls als Anhang hinter einer Bewerbung verbirgt.

An dieser Stelle möchte ich nicht näher auf die Details eingehen, da diese bereits im Blog von G-Data ausreichend beschrieben sind. Mittlerweile hat sich übrigens herausgestellt, dass man sich die Zahlung des Lösegeldes sparen kann, denn aktuelle Erkenntnisse deuten darauf hin, dass Odinypt keine Ransomware, sondern ein Wiper ist. Ein Wiper verschlüsselt keine Daten, sondern überschreibt diese so, dass eine Wiederherstellung in der Regel nicht mehr möglich ist, es sei denn, man kann diese aus einem Backup restoren, aber das ist ein anderes Thema.

Erkennung von Ordinypt durch signaturbasierte Virenscanner und SparkCognition DeepArmor

Dass Ordinypt mittlerweile von einer Mehrheit der bei VirusTotal zum Einsatz kommenden Scan Engines erkannt wird, dürfte nicht weiter verwunderlich sein. Dies gilt jedoch nur für das aktuell bekannte Sample; die spannende Frage lautet deshalb, wie sich signaturbasierte Virenscanner bei der Erkennung von neuen Varianten oder Mutationen von Ordinypt schlagen und wie SparkCognition DeepArmor als signaturenlose Next-Generation-Lösung für den Malwareschutz damit umgeht.

image

Mutierte Ordinypt-Ransomware

Um diese Frage beantworten zu können, habe ich eine mutierte Variante von Ordinypt mit Hilfe von VMProtect erstellt. Ich habe bewusst VMProtect für diesen Test ausgewählt, weil es als harte Nuss unter Crackern gilt. VMProtect dient normalerweise dazu, kommerzielle Software vor dem Knacken zu schützen, es lässt sich aber auch prima dazu verwenden, ausführbare Dateien so zu verändern, dass signaturbasierte Virenscanner Schadcode nicht mehr erkennen können. Dazu kommen sehr fortschrittliche Techniken zur Verschleierung von Programmcode zum Einsatz; für die Erstellung des mutierten Ordinypt-Samples habe ich den Ultra Protection Mode verwendet, der nicht nur den Programmcode modifiziert, sondern das geschützte Programm außerdem auch noch in einer eigenen virtuellen Umgebung ausführt:

image

Das Ergebnis ist eine ausführbare Datei, die für signaturbasierte Virenscanner nicht mehr erkennbar ist. Um das zu verifizieren, habe ich das mutierte Sample mit Kaspersky Free gescannt und auf nodistribute.com hochgeladen – die Ergebnisse sprechen für sich. Während das Original-Sample noch erkannt wird, sieht es bei der neuen Variante anders aus:

image

image

image

Wirkungsvoller Schutz vor Malware und Ransomware durch SparkCognition DeepArmor

Es ist aus meiner Sicht leicht erkennbar, dass signaturbasierte Lösungen hier keinen wirkungsvollen Schutz mehr bieten können. Hier sind schlagkräftigere Lösungen gefragt, in diesem Fall ist es DeepArmor von SparkCognition. DeepArmor arbeitet vollständig ohne Signaturen und basiert auf machine learning und Künstlicher Intelligenz (AI), um auch unbekannte und neue Bedrohungen sicher und effizient stoppen zu können. Die folgenden Screenshots sprechen für sich:

image

Das mutierte Sample wird problemlos erkannt, und das sogar noch mit einer Wahrscheinlichkeit von über 99%!

image

image

Fazit

Die Zeit der primär signaturbasierten AV-Lösungen (“Legacy AV”) ist meines Erachtens vorbei. Experten sprechen mittlerweile von ungefähr 500.000 neuen Malware-Samples pro Tag, Tendenz weiterhin steigend, deshalb ist der Schutz von Assets in Unternehmen jeglicher Größe ein Thema, das immer mehr an Bedeutung gewinnt. Endgeräte sind der “weak point” und benötigen deshalb den bestmöglichen Schutz. SparkCognition DeepArmor als Next-Generation-AV-Lösung ist eine leichtgewichtige Lösung für den Einsatz im Enterprise- und SOHO-Bereich, die auch vor neuen und unbekannten Bedrohungen (0-day) wirkungsvoll und äußerst effizient schützt. Sie möchten DeepArmor evaluieren und sich selbst von der Leistungsfähigkeit von DeepArmor überzeugen? Senden Sie eine Mail an info AT ms-it-consulting.biz, wir beraten Sie gerne.

MSITC SparkCognition DeepArmor Ransomware mutations vs. legacy AV

Es ist in der Tat erschreckend, wie einfach signaturbasierte Virenscanner ausgehebelt werden können. Als weiteres Beispiel dafür demonstriere ich in meinem neuen Video, wie innerhalb weniger Sekunden aktuelle Ransomware dergestalt getarnt bzw. mutiert werden kann, dass die Erkennungsrate von signaturbasierten Scannern ganz schnell von 100% auf 12%(!) sinkt, während DeepArmor als Vertreter der Next-Generation-Fraktion selbst mutierte Samples problemlos als solche erkennt und zuverlässig funktioniert.

SparkCognition DeepArmor vs. Trojaner Chifrax.a (Erkennungsrate bei VT: 2/64!)

Ich bin auf der Suche nach neuen Malware Samples über zwei Seiten gestolpert, die mit Trojanern nur so gespickt waren. Natürlich war ich gespannt, ob die Samples bereits bekannt oder eher als 0-day samples einzustufen waren:

image

image

Ein erster Check mit Sigcheck ergab, dass es größtenteils bereits bekannte Samples waren:

c:\!malware\ransomware\testmyav\148.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    54/64
     VT link:    https://www.virustotal.com/file/85229484decfcc5617af77367c12ba62e8653b9fd5cf076b7e72473aa6a457e3/analysis/
c:\!malware\ransomware\testmyav\cmd.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\DhlServer.exe:
     Verified:    Unsigned
     Link date:    02:54 17.08.2017
     Publisher:    n/a
     Company:    n/a
     Description:    LightGame Microsoft ???????
     Product:    LightGame ????
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    48/64
     VT link:    https://www.virustotal.com/file/c495ce656589abb406a4d1506141487f467b014eee4dc79eb99587ab39410232/analysis/
c:\!malware\ransomware\testmyav\hfs2.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\las.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\lasss.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb32w.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb4.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    47/64
     VT link:    https://www.virustotal.com/file/942eecf3356f9c016e99c60cb5bb1d5f82f212d30e82be1ca555300b261bde55/analysis/
c:\!malware\ransomware\testmyav\ppx.exe:
     Verified:    Unsigned
     Link date:    15:38 30.07.2017
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\serv.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a

c:\!malware\ransomware\testmyav\start.exe
:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xm.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xz.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/64
     VT link:    https://www.virustotal.com/file/fdf6d666f652750944097bbc884b06a0cc5ef9da85ccb2a42eaf99e9019b7872/analysis/
c:\!malware\ransomware\testmyav\xz32.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/65
     VT link:    https://www.virustotal.com/file/153383b05a484845b3eb39915098fa6c8d68fcb639ade54215cda7fcbdeda14a/analysis/

Nachdem also die Mehrheit der Samples als Trojaner erkannt wurde, war ich durchaus etwas verwundert, dass es auch .exe-Dateien gab, die nicht als Malware eingestuft wurden. Ein weiterer Test mit DeepArmor und einer Datei namens start.exe förderte schnell erstaunliche Ergebnisse ans Tageslicht, denn DeepArmor stufte dieses File mit einer Wahrscheinlichkeit von 98,30% als malicious ein und verschob es in die Quarantäne:

image

Der Gegencheck bei VirusTotal ergab, dass die Erkennungsrate mit 2/64(!) für dieses Sample (Trojaner Chifrax.A) erschreckend niedrig war:

image

Um zu verifizieren, dass es kein false positive war, habe ich das Sample zur weiteren Analyse in eine Sandbox hochgeladen, und siehe da: Wäre der Inhalt des SFX-Archivs extrahiert und automatisch gestartet worden, dann wäre ein ziemlicher Scherbenhaufen auf dem Endgerät die Folge gewesen:

image

Fazit: Malware in SFX-Archiven zu verstecken, ist schon seit einiger Zeit in Mode. Wie dieser Test deutlich zeigt, gelingt es Cyberkriminellen schon mit relativ geringem Aufwand, ihre Malware vor der Entdeckung durch konventionelle AV-Software zu verbergen. Mit etwas Glück gibt es eine Signatur, die zumindest bekannte Samples erkennt, aber sobald diese modifiziert werden, ist mit der statischen Erkennung Schluss.

Moderner Malwareschutz der nächsten Generation, wie ihn DeepArmor von SparkCognition bietet, funktioniert ohne Signaturen und verwendet dafür Methoden aus dem Bereich Künstliche Intelligenz (AI) sowie mathematische Modelle, um auch unbekannte Malware erkennen zu können. DeepArmor hatte dieses Sample noch nie zuvor gesehen und es trotzdem mit einer Wahrscheinlichkeit von über 98% als schädlich klassifiziert, was aus meiner Sicht als hervorragende Leistung einzustufen ist.

SparkCognition DeepArmor vs. Ransomware Mega V1

Es vergeht ja mittlerweile kaum ein Tag, an dem nicht neue Ransomware-Samples das Licht der Welt erblicken. Heute habe ich einen kurzen Test mit DeepArmor und einem Sample der Ransomware Mega V1 durchgeführt. Ob es sich um ein 0-day sample handelt oder nicht, kann ich momentan nicht sagen – wenn man sich die derzeitigen Erkennungsraten auf VirusTotal zu diesem Sample anschaut, dann spricht jedoch alles ganz stark dafür:

image

Wie man gut erkennen kann, wurde das Sample heute Mittag um 13:43h UTC hochgeladen. Einige Stunden später (12.07.17 22:16 MEST) wird dieses Sample gerade einmal von 7 von 63(!) Scan Engines erkannt, die signaturbasiert arbeiten. Und so geht SparkCognition DeepArmor mit dem Mega V1 Ransomware Sample um:

image

image

Um es zusammenzufassen: Nach dem Download und Entpacken des Samples hat DeepArmor nach dem Real-Time File Monitoring (überwacht u.a. neu angelegte Dateien) die Ransomware mit einer Wahrscheinlichkeit von 97,31% erkannt und sie sofort in die Quarantäne verschoben. Vergleichen Sie selbst die Scanergebnisse der traditionellen Virenscanner mit dem, was DeepArmor als leistungsfähige Anti-Malware-Lösung der nächsten Generation bietet, die kognitive Algorithmen und machine learning zur Erkennung von Malware und Ransomware einsetzt.

Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann: