Category Archives: Endpoint Security

MSITC SecureAPlus Application Whitelisting vs. Cerber Ransomware – securedsector.com

SecureAPlus ist ein weiteres Endpoint Security-Produkt, das primär auf Application Whitelisting setzt. Dazu wird einmalig eine Art Snapshot erstellt, in dem alle bekannten Applikationen und Systemdateien aufgezeichnet werden.

Alle nachfolgenden Änderungen wie die Installation neuer Software müssen dann explizit erlaubt werden, andernfalls werden sie geblockt. Application Whitelisting bietet einen extrem hohen Level an Sicherheit und wird von vielen Experten sogar als das sicherste Mittel betrachtet, wenn es um den Schutz vor Malware und Ransomware auf Endgeräten geht.

VoodooShield: Next-Generation AV-Software zum effektiven Schutz vor Malware und Ransomware

In einem früheren Blogbeitrag habe ich erläutert, weshalb traditionelle Antiviren-Software im Vergleich mit AV-Lösungen der nächsten Generation nicht mehr mithalten kann. Allerdings muss man auch fairerweise erwähnen, dass die bekannten Anbieter in diesem Bereich wie Cylance, Invincea oder auch SentinelOne primär im Enterprise-Bereich (sprich: große Firmen) unterwegs sind und zumindest derzeit (Stand Januar 2017) keine Versionen für den SOHO/SMB-Markt (Small Office und Home users) anbieten. Mir ist  ein Anbieter bekannt, der auch an einer Version für Endkunden arbeitet, aber ein Releasedatum kenne ich nicht.

Da ich unseren Kunden einen wirkungsvollen Schutz insbesondere vor Ransomware anbieten möchte, habe ich nach weiteren Lösungen gesucht und bin dabei auf ein Produkt namens VoodooShield gestoßen, das aus meiner Sicht sehr interessant ist. VoodooShield arbeitet entweder standalone oder als Ergänzung zu einem vorhandenen Virenschutz und kombiniert Whitelisting mit AI (Artifical Intelligence = künstliche Intelligenz) sowie einem cloudbasierten Blacklist Scan mit über 50 Scan Engines. Whitelisting ist nach Meinung vieler Experten die sicherste Möglichkeit, einen Computer vor Malware oder bösartigem Code zu schützen, denn beim Whitelisting-Ansatz wird nur bekannte (sprich: sichere) Software ausgeführt. Ich teile diese Einschätzung, denn angesichts der Tatsache, dass täglich über 200.000(!) neue Malwaresamples erscheinen, kann man nachvollziehen, dass signaturbasierte Virenschutzlösungen mit der Erkennung von Malware nicht mehr hinterherkommen.

vs_1_blocked

Wie Whitelisting in VoodooShield genau funktioniert, werde ich in einem anderen Beitrag detaillierter erläutern; an dieser Stelle möchte ich deshalb nur kurz erwähnen, dass ein Endgerät dazu in einem sog. Trainingsmodus für eine bestimmte Zeitspanne operieren muss, um zu lernen, welche Programme und Prozesse legitim sind. Wenn diese Lernphase abgeschlossen ist, dann ist das Whitelisting aktiv und die Ausführung von unbekanntem Programmcode wird unterbunden. VoodooShield wurde sowohl für den privaten Bereich als auch für den Einsatz im Firmenumfeld konzipiert und ist schon seit längerem auf dem Markt; man merkt der Software ihren hohen Entwicklungsgrad auch an.

Das einzige Manko aus meiner Sicht ist die Tatsache, dass VoodooShield derzeit nur in englisch verfügbar ist, was aber andererseits keine unüberwindbare Hürde darstellt. Zum einen arbeitet der Hersteller daran, VoodooShield im Lauf des Jahres mehrsprachig zu machen, und zum anderen wird man – wenn überhaupt – nur wenige Änderungen an der Konfiguration vornehmen müssen.

Um es auf den Punkt zu bringen: Technologisch ist VoodooShield dank seines Whitelisting-Ansatzes traditionellen AV-Lösungen überlegen. Während andere Lösungen bei einer nicht vorhandenen Internet-Anbindung auf einem Auge schon blind sind, weil dadurch kein cloudbasierter Scan möglich ist, funktioniert das Whitelisting auch offline. Ich habe VoodoShield in meinem Lab intensiv mit frischen Malwaresamples jeglicher Coleur getestet (0-day, Ransomware, Backdoors usw.), und in allen(!) Fällen wurde die Ausführung von schädlichem Programmcode erfolgreich unterbunden. Weitere Vorteile von VoodooShield sind:

  • Extrem schnell und ressourcenschonend
  • Übertragung von ausführbaren Programmen zur detaillierten Analyse in eine cloudbasierte Sandbox
  • Sehr gutes Preis-/Leistungsverhältnis

Sowohl das Funktionsprinzip als auch die Leistungsfähigkeit von VoodoShield haben mich voll und ganz überzeugt, und deswegen habe ich VoodooShield in unser Portfolio aufgenommen. Beim Kauf von VoodooShield-Lizenzen über unseren Shop erhalten Sie außerdem Installationssupport (max. 15 Minuten). Darüber hinaus gibt es in wenigen Wochen auch die Möglichkeit eines zentralen Managements über eine Webkonsole, womit ich unseren Kunden VoodooShield dann auch als managed solution anbieten kann; dazu aber mehr, sobald es spruchreif ist.

MSITC VoodooShield vs Bitdefender Free Powershell backdoor detection

In this video I demonstrate the difference between VoodooShield and Bitdefender Free concerning blocking succesfully an obfuscated backdoor payload in a Powershell script – or not.
Please understand that this is no product bashing, I just want to demonstrate the effectiveness of a next-generation AV solution with whitelisting capability.

 

In diesem Video demonstriere ich den Unterschied zwischen VoodooShield and Bitdefender Free bezüglich des Verhaltens beim Blockieren eines Powershell-Scripts, das eine verschlüsselte Backdoor enthält.
Ich weise ausdrücklich darauf hin, dass es mir nicht darum geht, das eine Produkt gut aussehen zu lassen, während das andere schlecht abschneidet. Es geht mir schlicht und ergreifend darum, die Effektivität einer Next-Generation AV-Lösung wie VoodooShield darzustellen, die ohne Virensignaturen und u.a. auf Basis von Whitelisting arbeitet.

https://www.ms-it-consulting.biz
https://www.securedsector.com
https://www.msitc-shop.com/hardware/voodooshield-pro-1-jahres-lizenz/a-939/

Bedrohungen durch Ransomware reißen auch in 2017 nicht ab

2017 fängt aus IT Security-Sicht nicht anders an, wie das alte Jahr aufgehört hat. Nachdem sich Ransomware nach wie vor als sehr profitables Geschäftsmodell etabliert, kann von einem nachlassenden Bedrohungspotential nicht die Rede sein, ganz im Gegenteil: Es wird aus meiner Sicht deutlich schlimmer.

Dass der Einfallsreichtum von Cyberkriminellen keine Grenzen kennt, zeigt die neue Ransomware Doxware. Diese verschlüsselt nämlich nicht nur Dokumente oder Bilder, sondern droht zusätzlich noch damit, private Daten wie Chatprotokolle, Dokumente oder sonstige sensible Daten öffentlich zu machen, um damit den Druck auf das Opfer der Ransomware-Attacke noch zu erhöhen:

With doxware, hackers hold computers hostage until the victim pays the ransom, similar to ransomware. But doxware takes the attack further by compromising the privacy of conversations, photos, and sensitive files, and threatening to release them publicly unless the ransom is paid. Because of the threatened release, it’s harder to avoid paying the ransom, making the attack more profitable for hackers.

Ich möchte an dieser Stelle noch einmal deutlich auf die von mir in einem anderen Beitrag erwähnten Mitigationsmaßnahmen zur Risikoreduzierung aufmerksam machen, denn auf eine traditionelle Virenschutzlösung sollte man sich heutzutage nicht mehr verlassen. Moderne Ransomware arbeitet aus technischer Sicht auf einem meistens sehr hochen Niveau (von einzelnen Ausnahmen abgesehen), und es werden alle Möglichkeiten seitens der Ransomware-Entwickler ausgeschöpft, um vor allem AV-Software zu unterlaufen. 

Produktvorstellung: Next-Generation Antivirus X by Invincea

Einleitung

Ich hatte in meinem Artikel Next-generation AV-Software vs. traditionelle AV-Software schon kurz das Thema Next-Generation AV angeschnitten und möchte heute etwas mehr in die Tiefe gehen. Seit kurzem teste ich X by Invincea ausführlich und kann an dieser Stelle bereits vorweg nehmen, dass ich ziemlich beeindruckt bin, aber dazu nachher noch mehr. X by Invincea gibt es in drei Geschmacksrichtungen, wobei die umfangreichste Variante noch zusätzliche Funktionen wie eine isolierte Umgebung zum sicheren Öffnen von Dateien bzw. Attachments (Spear Phishing Attacks) mitbringt; mein Fokus beim Test liegt aber auf der Variante X by Invincea Prevent.. X by Invincea kann entweder zusätzlich zu einer schon vorhandenen AV-Lösung oder als Ablösung für eine bestehende AV-Lösung eingesetzt werden, wobei ich für meinen Teil die zweite Variante empfehlen würde.

Da ich bereits in meinem vorhergehenden Artikel auf die wesentlichen Unterschiede zwischen traditionellen AV- und Next-Gen-Lösungen eingegangen bin, möchte ich das an dieser Stelle nicht wiederholen und empfehle zum besseren Verständnis, den bereits erwähnten Artikel durchzulesen.

Bekannte und unbekannte Malware ohne Signaturen erkennen

Invincea setzt auf maschinenbasiertes Lernen, um verdächtige Dateien zu identifizieren und zu verhindern, dass sie gestartet werden. Jedes ausführbare Programm auf einem Endgerät wird dazu automatisch analysiert. X by Invincea extrahiert dazu eindeutige Merkmale aus dem Programmcode. Anschließend werden die extrahierten Attribute von einem mehrstufigen “Deep Learning“-Algorithmus hinsichtlich ihrer Ähnlichkeit zu anderen Malware-Familien untersucht. Als Ergebnis wird eine Bewertung (Score) zurückgeliefert; je höher der Score, desto höher ist die Wahrscheinlichkeit, dass es sich um Malware bzw. bösartigen Code handelt.

Wenn der Score für ein Programm einen gewissen Schwellwert (risk threshold) überschreitet, dann wird es als bösartig eingestuft und entweder in die Quarantäne verschoben oder gelöscht. X by Invincea kann sogar die Malware-Familie (z.B. Ransomware) erkennen, zu der die Datei gehört. Für den kompletten Prozess, der mit der Extraktion der Merkmale beginnt und mit dem Verschieben einer bösartigen Datei in die Quarantäne endet, werden gerade einmal 20 Millisekunden(!) benötigt. Diesen Wert kann ich bestätigen, denn ausführbare Dateien werden sehr schnell gescannt. Ich werde dazu auch noch Beispiele in Form eines Reviews oder Videos liefern.

Deep learning ahmt die Funktionsweise des menschlichen Gehirns nach

Unter machine (based) learning – oder wie es bei Invincea heißt – deep learning wird die Funktionsweise des menschlichen Gehirns nachgeahmt. Zusätzlich findet man bei Next-Generation Antivirus-Lösungen auch noch den Begriff  AI (artifical intelligence), also künstliche Intelligenz. Vereinfacht gesagt, geht es aber bei allen Methoden in die gleiche Richtung, und die Resultate sind in der Tat sehr beeindruckend. X by Invincea setzt auf deep learning, um Malware von gutartigen Programmen zu unterscheiden. Dadurch können auch unbekannte Malware oder polymorphe Varianten erkannt werden, mit deren Erkennung traditionelle signaturbasierte Lösungen oftmals Probleme haben.

Zusammengefasst lässt sich sagen, dass X by Invincea Malware stoppt, bevor sie auf einem Endgerät ausgeführt wird. Dabei bleibt die Systemauslastung im Vergleich mit anderen traditionellen AV-Lösungen minimal. Die Erkennung umfasst neben bekannter und unbekannter Malware auch Ransomware, Office-Dokumente mit Schadcode und weitere Bedrohungen, denen ein Endgerät tagtäglich ausgesetzt ist.     

Dateilose Angriffe

Die Anzahl der Angriffsvektoren bei Endgeräten ist groß, und so ist es auch nicht weiter verwunderlich, dass sog. “File-less Attacks” (Dateilose Angriffe) immer mehr zunehmen. Diese Art von Angriff ist teilweise nur sehr schwer zu erkennen, da keine Spuren in Form von Dateien mehr hinterlassen werden, d.h. auf dem Endgerät werden keine Dateien mehr erzeugt, sondern Schadcode wird direkt in den Speicher geschrieben und dort ausgeführt. Bekannte Vertreter von dateilosen Angriffen sind Office-Dokumente, die bösartigen Schadcode in Form eine Makros enthalten.

X by Invincea nutzt neben deep learning auch noch behavioral monitoring. Dahinter verbirgt sich die verhaltensbasierte Kontrolle/Überwachung von gutartigen bzw. als sicher geltenden Programmen, bei denen eine Abweichung vom normalen Verhalten als verdächtig eingestuft wird. Wird eine derartige Abweichung erkannt (z.B. beim Versuch, Malware oder Ransomware aus einem manipulierten Office-Dokument nachzuladen oder auszuführen), dann wird der entsprechende Prozess (z.B. word.exe) in Echtzeit automatisch beendet und die Ausführung von Schadcode verhindert.

Deep learning und behavioral monitoring ergänzen sich hervorragend und erhöhen den Schutz vor Bedrohungen auf Endgeräten drastisch.

Need to know

Die wichtigsten Punkte rund um X by Invicea möchte ich stichwortartig zusammenfassen:

  • Verhindert die Ausführung von bekannter und unbekannter Malware ohne Signaturen
  • Funktioniert auch offline, d.h. ohne Internetverbindung
  • Bietet effektiven Schutz vor Malware und Ransomware
  • Kombiniert mehrere fortschrittliche Erkennungsmethoden in einem schlanken Agent (200 MB RAM, <1% CPU)
  • Analysiert Dateien und entscheidet in 20 Millisekunden, ob eine Datei bösartig ist, bevor sie ausgeführt wird
  • Unterstützte Betriebssysteme: Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2

More to come

Da man bekanntlich viel erzählen kann, wenn der Tag lang ist, werde ich noch das eine oder andere Video folgen lassen. Mir geht es dabei nicht um Produktbashing, sondern um den direkten Vergleich zwischen Next-Gen- und traditioneller AV-Lösung. Besonderen Wert lege ich auf die Erkennung von Ransomware und speziell präparierten Samples, die eine Backdoor-Funktion beinhalten und üblicherweise so lange “behandelt” werden, bis sie kein Virenscanner mehr erkennt. Hier kann ich vorab schon sagen, dass X by Invincea überzeugende Resultate liefert, aber dazu in einem anderen Artikel bzw. Video mehr.

Next-generation AV-Software vs. traditionelle AV-Software

Ransomware – die digitale Plage der Gegenwart

Das Jahr 2016 war aus malwaretechnischer Sicht primär vom Thema Ransomware geprägt, und das wird meines Erachtens auch in 2017 nicht anders werden. Warum das so ist, habe ich bereits in einem anderen Blog-Artikel ausführlich erläutert, deshalb fasse ich mich an dieser Stelle kurz: Ransomware verspricht nach wie vor hohe Gewinne für Cyberkriminelle und üblicherweise ein geringes Risiko, geschnappt zu werden. Die entsprechende Infrastruktur lässt sich als “Software as a service” in Untergrundforen anmieten, der mögliche Profit durch gezahltes Lösegeld liegt üblicherweise um ein vielfaches höher als die Kosten für die Miete der Infrastruktur.

Last but not least wird Ransomware auch aus technischer Sicht immer hinterhältiger und effektiver, was das Unterlaufen von Schutzmaßnahmen auf dem Endgerät angeht. Aus der bekannten Cerber-Ransomwarefamilie gibt es beispielsweise die sog. Cerber Hash Factory, die in der Lage ist, in 15-Sekunden-Intervallen neue bzw. polymorphe Varianten zu erzeugen, die von AV-Lösungen, die hauptsächlich signaturbasierend und mit Hashwerten arbeiten, in der Regel nicht erkannt werden – wie denn auch, denn das gibt die Technik schlicht und ergreifend nicht her.

 

Warum versagt traditionelle Antiviren-Software (AV-Software) bei Ransomware in den meisten Fällen?

Ich hatte gerade schon ein Beispiel dafür geliefert, weshalb sog. traditionelle AV-Software immer mehr ins Hintertreffen gerät. Die meisten bekannten Hersteller wie Avira, Efest, Kaspersky, Bitdefender usw. arbeiten nach wie vor primär signaturbasiert und ergänzen diesen Schutz um weitere Funktionen wie verhaltensbasierte Erkennung von unbekannten ausführbaren Dateien oder cloudbasierten Abfragen, um Hashwerte für unbekannte Dateien zu erhalten. Diese Methoden sind geeignet, um bekannte Malware zu identifizieren – bei Malware oder Ransomware, die erst wenige Minuten oder Stunden alt ist, ist die Erkennungsrate bei signaturbasierten AV-Lösungen zumindest am Anfang eher schlecht als recht, und teilweise dauert es bei manchen Herstellern sogar deutlich länger als 24 Stunden, bis eine aktuelle Signatur bereitgestellt und verteilt wird. Sicher muss ich an dieser Stelle nicht weiter ausführen, was das speziell bei Ransomware bedeutet…

 

Was verbirgt sich hinter dem Begriff Next-Generation AV-Software?

Die einen halten es für ein Buzzword aus den Marketingabteilungen, die anderen verbinden den Begriff next-generation tatsächlich auch mit dem, für was er steht, nämlich für fortgeschrittene Erkennungsmethoden der nächsten Generation, die auch mit aktuellen Bedrohungen zurecht kommen. Signaturen kommen dort nicht mehr zum Einsatz, stattdessen setzen Hersteller wie SentinelOne, Cylance oder Invincea auf maschinenbasiertes Lernen und verhaltensbasierte Analysen. Kurz gesagt kann man sich maschinenbasiertes Lernen in etwa so vorstellen, dass die Hersteller von Next-Gen-Lösungen über einen sehr großen Datenbestand im Petabyte-Bereich verfügen, wozu bekannte und “gute” Software ebenso gehört wie Malware bzw. “bösartige” Software.

Anhand dieses Datenbestandes wird die Engine dann “trainiert” und lernt guten Code von schlechtem Code zu unterscheiden. Und um es gleich vorweg zu nehmen (ich werde in weiteren Artikeln noch detaillierter auf das Thema eingehen): Ja, es funktioniert. Es funktioniert sogar hervorragend, wenngleich auch hier mit false positives gerechnet werden muss, aber dazu ein ein andermal mehr. Namen erwähne ich vorerst nicht, aber ich kann zumindest soviel dazu sagen, dass ich bei einem Produkt an einem längeren Proof of Concept beteiligt war und aktuell eine weitere Next-Generation-Lösung teste, die mich bislang ebenfalls sehr begeistert, und diese Lösung werde ich auch in meinem nächsten Blogbeitrag ausführlicher vorstellen.

Als kleinen Appetizer bis zur Produktvorstellung möchte ich Ihnen noch ein paar Zahlen hinterlassen.

1. Erkennung von 100 aktuellen Malware-Samples (.exe) aus diversen Repositories, die alle 24 Stunden in einem ZIP-Archiv aktualisiert werden:

 

a) Next-Gen-Lösung: 100 von 100 Samples wurden erkannt und in die Quarantäne verschoben

 

image

 

image

 

 

b) Avira Free als traditionelle AV-Software: 14 von 100 Samples wurden beim Extrahieren aus dem ZIP-Archiv vom On Access-Scanner als malicious erkannt und gelöscht. Ein weiterer Scan mit dem On Demand-Scanner liefert keine weiteren Ergebnisse:

 

image

image