MSITC FFRI Yarai vs. Ransomware samples

 

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

 

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

 

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

 

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt.

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend.

image

MSITC SparkCognition DeepArmor Ransomware mutations vs. legacy AV

Es ist in der Tat erschreckend, wie einfach signaturbasierte Virenscanner ausgehebelt werden können. Als weiteres Beispiel dafür demonstriere ich in meinem neuen Video, wie innerhalb weniger Sekunden aktuelle Ransomware dergestalt getarnt bzw. mutiert werden kann, dass die Erkennungsrate von signaturbasierten Scannern ganz schnell von 100% auf 12%(!) sinkt, während DeepArmor als Vertreter der Next-Generation-Fraktion selbst mutierte Samples problemlos als solche erkennt und zuverlässig funktioniert.

SparkCognition DeepArmor vs. Trojaner Chifrax.a (Erkennungsrate bei VT: 2/64!)

Ich bin auf der Suche nach neuen Malware Samples über zwei Seiten gestolpert, die mit Trojanern nur so gespickt waren. Natürlich war ich gespannt, ob die Samples bereits bekannt oder eher als 0-day samples einzustufen waren:

image

image

Ein erster Check mit Sigcheck ergab, dass es größtenteils bereits bekannte Samples waren:

c:\!malware\ransomware\testmyav\148.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    54/64
     VT link:    https://www.virustotal.com/file/85229484decfcc5617af77367c12ba62e8653b9fd5cf076b7e72473aa6a457e3/analysis/
c:\!malware\ransomware\testmyav\cmd.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\DhlServer.exe:
     Verified:    Unsigned
     Link date:    02:54 17.08.2017
     Publisher:    n/a
     Company:    n/a
     Description:    LightGame Microsoft ???????
     Product:    LightGame ????
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    48/64
     VT link:    https://www.virustotal.com/file/c495ce656589abb406a4d1506141487f467b014eee4dc79eb99587ab39410232/analysis/
c:\!malware\ransomware\testmyav\hfs2.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\las.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\lasss.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb32w.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb4.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    47/64
     VT link:    https://www.virustotal.com/file/942eecf3356f9c016e99c60cb5bb1d5f82f212d30e82be1ca555300b261bde55/analysis/
c:\!malware\ransomware\testmyav\ppx.exe:
     Verified:    Unsigned
     Link date:    15:38 30.07.2017
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\serv.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a

c:\!malware\ransomware\testmyav\start.exe
:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xm.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xz.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/64
     VT link:    https://www.virustotal.com/file/fdf6d666f652750944097bbc884b06a0cc5ef9da85ccb2a42eaf99e9019b7872/analysis/
c:\!malware\ransomware\testmyav\xz32.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/65
     VT link:    https://www.virustotal.com/file/153383b05a484845b3eb39915098fa6c8d68fcb639ade54215cda7fcbdeda14a/analysis/

Nachdem also die Mehrheit der Samples als Trojaner erkannt wurde, war ich durchaus etwas verwundert, dass es auch .exe-Dateien gab, die nicht als Malware eingestuft wurden. Ein weiterer Test mit DeepArmor und einer Datei namens start.exe förderte schnell erstaunliche Ergebnisse ans Tageslicht, denn DeepArmor stufte dieses File mit einer Wahrscheinlichkeit von 98,30% als malicious ein und verschob es in die Quarantäne:

image

Der Gegencheck bei VirusTotal ergab, dass die Erkennungsrate mit 2/64(!) für dieses Sample (Trojaner Chifrax.A) erschreckend niedrig war:

image

Um zu verifizieren, dass es kein false positive war, habe ich das Sample zur weiteren Analyse in eine Sandbox hochgeladen, und siehe da: Wäre der Inhalt des SFX-Archivs extrahiert und automatisch gestartet worden, dann wäre ein ziemlicher Scherbenhaufen auf dem Endgerät die Folge gewesen:

image

Fazit: Malware in SFX-Archiven zu verstecken, ist schon seit einiger Zeit in Mode. Wie dieser Test deutlich zeigt, gelingt es Cyberkriminellen schon mit relativ geringem Aufwand, ihre Malware vor der Entdeckung durch konventionelle AV-Software zu verbergen. Mit etwas Glück gibt es eine Signatur, die zumindest bekannte Samples erkennt, aber sobald diese modifiziert werden, ist mit der statischen Erkennung Schluss.

Moderner Malwareschutz der nächsten Generation, wie ihn DeepArmor von SparkCognition bietet, funktioniert ohne Signaturen und verwendet dafür Methoden aus dem Bereich Künstliche Intelligenz (AI) sowie mathematische Modelle, um auch unbekannte Malware erkennen zu können. DeepArmor hatte dieses Sample noch nie zuvor gesehen und es trotzdem mit einer Wahrscheinlichkeit von über 98% als schädlich klassifiziert, was aus meiner Sicht als hervorragende Leistung einzustufen ist.

SparkCognition DeepArmor vs. Ransomware Mega V1

Es vergeht ja mittlerweile kaum ein Tag, an dem nicht neue Ransomware-Samples das Licht der Welt erblicken. Heute habe ich einen kurzen Test mit DeepArmor und einem Sample der Ransomware Mega V1 durchgeführt. Ob es sich um ein 0-day sample handelt oder nicht, kann ich momentan nicht sagen – wenn man sich die derzeitigen Erkennungsraten auf VirusTotal zu diesem Sample anschaut, dann spricht jedoch alles ganz stark dafür:

image

Wie man gut erkennen kann, wurde das Sample heute Mittag um 13:43h UTC hochgeladen. Einige Stunden später (12.07.17 22:16 MEST) wird dieses Sample gerade einmal von 7 von 63(!) Scan Engines erkannt, die signaturbasiert arbeiten. Und so geht SparkCognition DeepArmor mit dem Mega V1 Ransomware Sample um:

image

image

Um es zusammenzufassen: Nach dem Download und Entpacken des Samples hat DeepArmor nach dem Real-Time File Monitoring (überwacht u.a. neu angelegte Dateien) die Ransomware mit einer Wahrscheinlichkeit von 97,31% erkannt und sie sofort in die Quarantäne verschoben. Vergleichen Sie selbst die Scanergebnisse der traditionellen Virenscanner mit dem, was DeepArmor als leistungsfähige Anti-Malware-Lösung der nächsten Generation bietet, die kognitive Algorithmen und machine learning zur Erkennung von Malware und Ransomware einsetzt.

Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann:

SparkCognition DeepArmor, ein Malwareschutz der nächsten Generation auf Basis von machine learning und kognitiven Algorithmen

Über SparkCognition DeepArmor hatte ich vor einiger Zeit schon mal kurz berichtet. Nun hat sich mir die Gelegenheit geboten, DeepArmor als Next-Gen AV zu evaluieren. Ich möchte an dieser Stelle gleich vorweg nehmen, dass man ein solches Produkt nicht einfach nur in einem Blogbeitrag kurz abhandeln kann, deshalb werden zu diesem Thema noch weitere Beiträge folgen. Ich möchte zum Einstieg auch nicht gleich mit einer epischen Erörterung hinsichtlich der Funktionsweise von DeepArmor beginnen, sondern beschränke mich an dieser Stelle zunächst darauf, dass SparkCognition DeepArmor komplett ohne Signaturen arbeitet.

image

Stattdessen verwendet DeepArmor Techniken wie machine learning und kognitive Algorithmen. Was man sich darunter im einzelnen vorstellen kann, werde ich in einem weiteren Artikel ausführlicher erörtern – hier möchte ich es zunächst dabei bewenden lassen, dass es in der Praxis ziemlich gut funktioniert. Damit Sie sich ein besseres Bild machen können, habe ich ein Video erstellt, in dem die Erkennung von aktuellen Ransomware-Samples im Vordergrund steht:

WannaCry reloaded: EternalRocks verwendet weitere NSA-Tools zur Weiterverbreitung

Was ist EternalRocks?

Der Sicherheitsforscher Miroslav Stampar – Mitglied des kroatischen CERT (Computer Emergency Response Team) – hat vor kurzem eine neue WannaCry-Variante entdeckt, die er EternalRocks getauft hat. Dieser Name basiert vermutlich auf der Tatsache, dass EternalRocks sieben Tools aus dem NSA-Arsenal verwendet, um Sicherheitslücken in Windows-Systemen aufzuspüren und auszunutzen. Folgende Exploits werden von EternalRocks verwendet:

– EternalBlue
– EternalChampion
– EternalRomance
– EternalSynergy

Darüber hinaus macht EternalRocks Gebrauch von SMBTouch und ArchiTouch, zwei weiteren NSA-Tools, die zum Aufspüren von verwundbaren Systemen verwendet werden. Last but not least kommt natürlich auch DoublePulsar zum Einsatz, mit dessen Hilfe der Wurm sich auf anderen verwundbare Systemen verbreiten kann.

Im aktuellen Zustand kann man sich EternalRocks als einsatzbereite Rakete ohne Gefechtskopf vorstellen. Es ist jedoch nur eine Frage der Zeit, bis eine scharfe Variante von EternalRocks erscheint, die weitere Funktionalität mitbringt.

Wie funktioniert EternalRocks?

Nach dem der Wurm ein Opfer infiziert hat, verwendet er ein zweistufiges Verfahren, um weiteren Schadcode nachzuladen, wobei die zweite Phase verzögert eintritt, um Abwehrmaßnahmen zu unterlaufen. Im ersten Schritt lädt EternalRocks den Tor-Client herunter und sendet ein Signal an seinen Command & Control-Server im Tor-Netzwerk. Der C2-Server sendet dann nach 24 Stunden ein Echo zurück; diese Verzögerung kommt häufig bei Malware zum Einsatz, um die Infektion eines Systems zu verschleiern. EternalRocks enthält übrigens keinen Killswitch-Mechanismus und ist daher auch nicht so einfach auszuschalten wie WannaCry.

Im zweiten Schritt der Installation von EternalRocks wird ein Archiv heruntergeladen, das weitere Malware enthält. Anschließend führt der Wurm einen Scan durch und versucht sich zu einem zufällig ausgewählten anderen Endpoint zu verbinden.

Was macht EternalRocks so gefährlich?

Während WannaCry eher der sprichwörtliche Elefant im Porzellanladen und viel Schaden angerichtet hat, ist EternalRocks offensichtlich für unauffälligere Operationen entwickelt worden. Durch den modularen Aufbau und die Fähigkeit, weitere Malwarekomponenten wie Trojaner, Ransomware oder sonstiges nachzuladen, ist EternalRocks deutlich vielseitiger und auch gefährlicher.

Fazit

Wenn man so möchte, dann hat WannaCry die Büchse der Pandora geöffnet. Nach wie vor gibt es weltweite viele ungepatchte und damit anfällige Windows-Systeme, und da es keine Frage des ob, sondern des wann ist, bis eine vollständig aufmunitionierte Variante von EternalRocks erscheint, sollte man sich unbedingt Gedanken über einen zeitgemäßen und wirksamen Schutz vor Malware sowohl auf Endgeräten als auch auf Servern machen, denn was aktuell geschieht, ist erst der Anfang dessen, was noch alles auf uns zukommen wird.

Übrigens: Lassen Sie sich nicht von der Erkennungsrate hinsichtlich der bislang bekannten EternalRocks-Samples täuschen. Zum einen wurden diese bereits vor vier bzw. fünf Tagen (Stand: 23.05.17) auf Github hochgeladen, und zum anderen sollten fünf Tage selbst dem langsamsten AV-Hersteller in Bezug auf aktualisierte Signaturen genügen, diese auf Vordermann zu bringen.

Selbst ein tagesaktuelles Sample, das vor exakt 16 Stunden und 9 Minuten zu VirusTotal hochgeladen wurde, wird aktuell (23.05.17/2059h) gerade mal von 39 von 61 Virenscannern erkannt:

https://www.virustotal.com/en/file/44472436a5b46d19cb34fa0e74924e4efc80dfa2ed491773a2852b03853221a2/analysis/

Ich glaube, dieses niederschmetternde Ergebnis spricht für sich und bedarf nicht mehr vieler Worte…

Welche traditionelle AV-Software ist heutzutage noch empfehlenswert? Keine!

Zugegebenermaßen, die Headline klingt etwas reißerisch. Soll sie aber auch. Nach der WannaCry-Kampagne, von der wohl jeder durch zahlreiche Berichte in Funk und Fernsehen Mitte Mai 2017 gehört haben dürfte, wurde ich nach Empfehlungen für ein “sicheres” AV-Programm gefragt, das aber natürlich nach Möglichkeit auch nichts kosten sollte. Zum letzteren Thema möchte ich nur folgendes sagen: Wer bereits am Virenschutz sparen möchte, der muss auch damit leben, dass sein Monitor als Reklametafel verwendet wird – wer freie Versionen von bekannter AV-Software wie beispielsweise Avast oder Avira verwendet, wird wissen, was ich meine.

Das soll jetzt aber nicht das Thema sein. Ich kann tatsächlich niemand guten Gewissens einen Malwareschutz empfehlen, der das erste WannaCry-Sample am Tag des Ausbruchs (12.05.17) auch nach mehreren Stunden(!) in der Umlaufbahn nicht erkannt hat. Dies trifft gemäß folgendem Screenshot (Quelle: http://blog.fefe.de/?mon=201705) dann wohl auf alle Virenscanner zu, die bei VirusTotal zum Einsatz kommen, und das sind immerhin an die 60(!) Scan Engines. Da darunter auch Virenscanner sind, die nur ausführbare Dateien scannen, verringer sich die Anzahl auf 56:

Jetzt wird natürlich der ein oder andere zunächst entrüstet aufschreien und darauf hinweisen, dass bei VirusTotal üblicherweise die Kommandozeilenscanner der jeweiligen Produkte zum Einsatz kommen und deshalb nur rein signaturbasiert gescannt wird. Dieses Argument ist natürlich richtig, aber dem halte ich entgegen, dass primär signaturbasierte Scanner sowieso ein Relikt aus der Vergangenheit sind und auch ein Kommandozeilenscanner in der Regel cloudbasiert scannen kann, d.h. Hashwerte, die über die jeweiligen Clouds der einzelnen Hersteller aktualisiert und verteilt werden, kommen üblicherweise schneller auf dem Endpoint an als Signaturupdates.

Oder lag es daran, dass das Wochenende vor der Türe stand und auch Malwareanalysten gerne  Feierabend machen möchten? Das sei ihnen auf jeden Fall gegönnt, doch dann muss man sich auch die Frage stellen, wie wirkungsvoll der Schutz durch Antiviren-Software ist, die keine zeitnahen Updates via Cloud oder was auch immer (z.B. Signaturen) erhält. Vergleichen Sie am besten selbst einmal die vollmundigen Werbeaussagen von der “intelligenten Cloud”, die mittels “maschinenbasierten Lernen” unbekannte Bedrohungen in Echtzeit sofort und zuverlässig abwehren kann mit der harten Realität – aus meiner Sicht klafft da eine gewaltige Lücke.

Wie das mit einer modernen Next-Generation-Lösung wie Cylance aussehen kann, zeigt dieser Blogartikel von Cylance zum Thema WannaCry.  Der Vollständigkeit halber möchte ich erwähnen, dass ich aus zuverlässiger Quelle weiß, dass auch eine ältere Version von CylancePROTECT WannaCrypt problemlos entdeckt und gestoppt hätte:

CylancePROTECT and WannaCry

Über DeepArmor von SparkCognition hatte ich bereits berichtet; auch diese Next-Gen AV-Lösung hat WannaCry erkannt und gestoppt, ohne vorher jemals das Sample gesehen zu haben:

Ich möchte es an dieser Stelle jedem selbst überlassen, sich Gedanken darüber zu machen, wie die Zukunft im AV-Bereich aussehen wird – für mich ist es mittlerweile glasklar, und das manifestiert sich auch in der Überschrift.