Wirksamer Schutz vor Ransomware mit Application Whitelisting und Next-Generation AV

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

Auch 2017 wird voll und ganz im Zeichen von Ransomware stehen; warum das so ist, habe ich in diesem Artikel bereits näher erläutert. Erst vor wenigen Tagen gab es wieder einige Fälle, die durch die Presse gingen:

Ehrlich gesagt könnte man im Grunde genommen jeden Tag über derartige Vorfälle berichten. Wichtiger ist aber die  Frage, die sich jeder selber stellen kann, der einen Internet-Anschluss sein eigen nennt und darüber im Web surft oder Mails empfängt: Wie hoch ist eigentlich mein persönliches Gefährdungspotential und welche Mitigationsstrategien gibt es, um dieses auf ein Minimum zu reduzieren? Entscheidend ist nicht “Bekomme ich auch Mails mit maliziösen Anhängen zugeschickt?”, sondern vielmehr “Wann wird das der Fall sein und welche vorbeugenden Maßnahmen habe ich bis dahin getroffen?”. Lassen Sie mich Ihnen versichern, dass das nur eine Frage der Zeit ist.

Das liegt nicht zuletzt auch daran, dass phishing campaigns mit Ransomware immer raffinierter und ausgeklügelter werden, so dass sich teilweise sogar schon Fachleute schwer tun, derartige Mails auf Anhieb als maliziös zu identifizieren. Hinzu kommt, dass auch regelmäßig neue Angriffsvektoren wie beispielsweise Schwachstellen in Anwendungsprogrammen ausgenutzt werden, um unbedarften Anwendern Ransomware unterzujubeln. Moderne Ransomware wie Spora ist auch in der Lage, sich via Wechselmedien wie USB-Sticks von einem System zum anderen fortzupflanzen – Sie sehen, die Möglichkeiten sind mannigfaltig und das Ende der Fahnenstange ist längst noch nicht erreicht.

Dass signaturbasierte AV-Programme speziell gegenüber Ransomware immer mehr ins Hintertreffen geraten, liegt auf der Hand. Es müssen deshalb andere Maßnahmen zum Einsatz kommen, um der zunehmenden Bedrohung durch Malware und Ransomware Herr zu werden, und das funktioniert meines Erachtens in Zukunft nur noch per Application Whitelisting und Next-Generation AV-Software, die nicht mehr auf Signaturen basiert, sondern auf maschinenbasiertem Lernen (machine based learning/artificial intelligence). Wie das genau funktioniert, werde ich in einem anderen Blogbeitrag näher erläutern, ebenso das Thema (Application) Whitelisting.

Bis dahin können Sie sich gerne vorab ein paar informative Videos im MSITC Youtube Channel zu Gemüte führen…

MSITC SecureAPlus Application Whitelisting vs. Cerber Ransomware – securedsector.com

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

SecureAPlus ist ein weiteres Endpoint Security-Produkt, das primär auf Application Whitelisting setzt. Dazu wird einmalig eine Art Snapshot erstellt, in dem alle bekannten Applikationen und Systemdateien aufgezeichnet werden.

Alle nachfolgenden Änderungen wie die Installation neuer Software müssen dann explizit erlaubt werden, andernfalls werden sie geblockt. Application Whitelisting bietet einen extrem hohen Level an Sicherheit und wird von vielen Experten sogar als das sicherste Mittel betrachtet, wenn es um den Schutz vor Malware und Ransomware auf Endgeräten geht.

VoodooShield: Next-Generation AV-Software zum effektiven Schutz vor Malware und Ransomware

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

In einem früheren Blogbeitrag habe ich erläutert, weshalb traditionelle Antiviren-Software im Vergleich mit AV-Lösungen der nächsten Generation nicht mehr mithalten kann. Allerdings muss man auch fairerweise erwähnen, dass die bekannten Anbieter in diesem Bereich wie Cylance, Invincea oder auch SentinelOne primär im Enterprise-Bereich (sprich: große Firmen) unterwegs sind und zumindest derzeit (Stand Januar 2017) keine Versionen für den SOHO/SMB-Markt (Small Office und Home users) anbieten. Mir ist  ein Anbieter bekannt, der auch an einer Version für Endkunden arbeitet, aber ein Releasedatum kenne ich nicht.

Da ich unseren Kunden einen wirkungsvollen Schutz insbesondere vor Ransomware anbieten möchte, habe ich nach weiteren Lösungen gesucht und bin dabei auf ein Produkt namens VoodooShield gestoßen, das aus meiner Sicht sehr interessant ist. VoodooShield arbeitet entweder standalone oder als Ergänzung zu einem vorhandenen Virenschutz und kombiniert Whitelisting mit AI (Artifical Intelligence = künstliche Intelligenz) sowie einem cloudbasierten Blacklist Scan mit über 50 Scan Engines. Whitelisting ist nach Meinung vieler Experten die sicherste Möglichkeit, einen Computer vor Malware oder bösartigem Code zu schützen, denn beim Whitelisting-Ansatz wird nur bekannte (sprich: sichere) Software ausgeführt. Ich teile diese Einschätzung, denn angesichts der Tatsache, dass täglich über 200.000(!) neue Malwaresamples erscheinen, kann man nachvollziehen, dass signaturbasierte Virenschutzlösungen mit der Erkennung von Malware nicht mehr hinterherkommen.

vs_1_blocked

Wie Whitelisting in VoodooShield genau funktioniert, werde ich in einem anderen Beitrag detaillierter erläutern; an dieser Stelle möchte ich deshalb nur kurz erwähnen, dass ein Endgerät dazu in einem sog. Trainingsmodus für eine bestimmte Zeitspanne operieren muss, um zu lernen, welche Programme und Prozesse legitim sind. Wenn diese Lernphase abgeschlossen ist, dann ist das Whitelisting aktiv und die Ausführung von unbekanntem Programmcode wird unterbunden. VoodooShield wurde sowohl für den privaten Bereich als auch für den Einsatz im Firmenumfeld konzipiert und ist schon seit längerem auf dem Markt; man merkt der Software ihren hohen Entwicklungsgrad auch an.

Das einzige Manko aus meiner Sicht ist die Tatsache, dass VoodooShield derzeit nur in englisch verfügbar ist, was aber andererseits keine unüberwindbare Hürde darstellt. Zum einen arbeitet der Hersteller daran, VoodooShield im Lauf des Jahres mehrsprachig zu machen, und zum anderen wird man – wenn überhaupt – nur wenige Änderungen an der Konfiguration vornehmen müssen.

Um es auf den Punkt zu bringen: Technologisch ist VoodooShield dank seines Whitelisting-Ansatzes traditionellen AV-Lösungen überlegen. Während andere Lösungen bei einer nicht vorhandenen Internet-Anbindung auf einem Auge schon blind sind, weil dadurch kein cloudbasierter Scan möglich ist, funktioniert das Whitelisting auch offline. Ich habe VoodoShield in meinem Lab intensiv mit frischen Malwaresamples jeglicher Coleur getestet (0-day, Ransomware, Backdoors usw.), und in allen(!) Fällen wurde die Ausführung von schädlichem Programmcode erfolgreich unterbunden. Weitere Vorteile von VoodooShield sind:

  • Extrem schnell und ressourcenschonend
  • Übertragung von ausführbaren Programmen zur detaillierten Analyse in eine cloudbasierte Sandbox
  • Sehr gutes Preis-/Leistungsverhältnis

Sowohl das Funktionsprinzip als auch die Leistungsfähigkeit von VoodoShield haben mich voll und ganz überzeugt, und deswegen habe ich VoodooShield in unser Portfolio aufgenommen. Beim Kauf von VoodooShield-Lizenzen über unseren Shop erhalten Sie außerdem Installationssupport (max. 15 Minuten). Darüber hinaus gibt es in wenigen Wochen auch die Möglichkeit eines zentralen Managements über eine Webkonsole, womit ich unseren Kunden VoodooShield dann auch als managed solution anbieten kann; dazu aber mehr, sobald es spruchreif ist.

MSITC VoodooShield vs Bitdefender Free Powershell backdoor detection

In this video I demonstrate the difference between VoodooShield and Bitdefender Free concerning blocking succesfully an obfuscated backdoor payload in a Powershell script – or not.
Please understand that this is no product bashing, I just want to demonstrate the effectiveness of a next-generation AV solution with whitelisting capability.

 

In diesem Video demonstriere ich den Unterschied zwischen VoodooShield and Bitdefender Free bezüglich des Verhaltens beim Blockieren eines Powershell-Scripts, das eine verschlüsselte Backdoor enthält.
Ich weise ausdrücklich darauf hin, dass es mir nicht darum geht, das eine Produkt gut aussehen zu lassen, während das andere schlecht abschneidet. Es geht mir schlicht und ergreifend darum, die Effektivität einer Next-Generation AV-Lösung wie VoodooShield darzustellen, die ohne Virensignaturen und u.a. auf Basis von Whitelisting arbeitet.

https://www.ms-it-consulting.biz
https://www.securedsector.com
https://www.msitc-shop.com/hardware/voodooshield-pro-1-jahres-lizenz/a-939/

Review: Niwalker Vostro BK-FA09S XHP35 HI 2400 ANSI-Lumen 555.000(!) Lux

 

Einführung

Tja, das war noch eine wirklich gelungene Überraschung im alten Jahr – Niwalker hat völlig überraschend die Vostro BK-FA09S vorgestellt, einen Thrower mit wirklich sensationellen 555.000(!) Lux. Ich werfe ungern mit Superlativen um mich und werde es auch in diesem Fall nicht tun, aber eines kann ich an dieser Stelle bereits ganz klar sagen: Die neue Niwalker Vostro BK-FA09S gehört definitiv mit ihren Leistungsdaten zur Weltspitze der Serienthrower ohne Modifikationen wie dedoming usw. Was die Niwalker Vostro BK-FA09S sonst noch so zu bieten hat, möchte ich in diesem Review näher erläutern.

Eines noch der Vollständigkeit halber: Die BK-FA09S ersetzt NICHT die BK-FA01S, sondern ergänzt die Vostro-Serie als High End-Thrower.

Review Niwalker Vostro BK-FA09S

 

Verpackung und Zubehör

Die Vostro BK-FA09S wird in der nun standardmäßigen Niwalker-Verpackung geliefert. Folgendes Zubehör ist im Im Lieferumfang enthalten:

  • Holster
  • Lanyard
  • Ersatz-O-Ringe
  • Bedienungsanleitung in deutsch und englisch

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Erster Eindruck

Wer bereits eine Taschenlampe aus der Vostro-Serie sein eigen nennt, dem wird vermutlich als erstes der Heckschalter ins Auge stechen. Dieser sorgt wie auch bei den anderen (aktualisierten) Modellen BK-FA01S und BK-FA02S für eine echte Unterbrechung des Stromkreises, d.h. damit lässt sich die Lampe vollständig ausschalten, so dass auch im Standby kein Strom mehr fließt und die Akkus damit (bei langer Standbyzeit) entleert werden können. Das halte ich ich auf jeden Fall schon mal für eine gute Sache, denn damit lässt sich auch wirkungsvoll das unbeabsichtige Einschalten der Lampe verhindern, wenn sie beispielsweise in einer Tasche transportiert wird.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Davon abgesehen zeigt der massive und tiefe Lampenkopf auf den ersten Blick, wo der Hase langläuft. In Kombination mit einer modernen XHP35 HI-LED sorgt dieser Lampenkopf für die Hammerperformance dieser Lampe, wozu ich nachher noch ein paar Worte verlieren möchte. Im Gegensatz zur ersten Generation der Vostro-Serie kommt auch bei der BK-FA09S mittlerweile eine schwarze Anodisierung zum Eisatz; zum schwarzgrauen Look der Vorgänger gab es unterschiedliche Meinungen, Fakt ist aber, dass die jetzige Anodisierung weniger anfällig für Flecken oder Verschmutzungen ist.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Selbstverständlich wird auch die Niwalker Vostro BK-FA09S über einen Selektorring bedient, der weich und geschmeidig läuft und auch problemlos mit einer Hand bedient werden kann. Die Lichtfarbe ist übrigens sehr angenehm (5500K) und geht eher Richtung neutral white.

 

Verarbeitung

Die Niwalker BK-FA09S bewegt sich ganz klar auf dem High End-Niveau, das man von Niwalker erwartet. Die Attribute massiv, schwer und wuchtig dürften die Niwalker Vostro BK-FA0S am besten umschreiben, hinzu kommt die hochwertige Verarbeitung. Das Akkumagazin sieht im Vergleich zum Vorgänger etwas anders aus und hat nun am Ende einen Clicky, der sich wiederum in den Heckschalter am Lampenende einfügt. Was ich nicht unerwähnt lassen möchte: Die Federn im Akkumagazin sind sehr stark ausgeführt. Das hat einerseits den Vorteil, dass eingelegt Akkus wirklich bombenfest fixiert sind, gleichzeitig führt es aber auch dazu, dass man (längere) geschützte Akkus entweder nicht oder nur mit leichter Gewaltanwendung hineinbekommt. 

Davon abgesehen sticht wie bereits erwähnt der massive Reflektor ins Auge, und in meinem Video aus der Serie Helle Taschenlampen@Night kann man auch gut erkennen, dass der Reflektor genau das hält, was er schon rein äußerlich verspricht, nämliche pure Performance in Bezug auf Leuchtkraft und Reichweite.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Größenvergleich

Der obligatorische Größenvergleich mit meinen Referenzlampen Niwalker Nova MM15 und Lumapower STRIVE darf natürlich nicht fehlen.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Von links nach rechts: Niwalker Nova MM15MB, Niwalker Vostro BK-FA09S und Lumapower STRIVE RX

 

User Interface

Wie bereits erwähnt, ist der Heckschalter am Lampenende neu, anonsten folgt die Bedienung der Niwalker BK-FA09S dem gleichen Schema, wie es auch schon bei der BK-FA02 der Fall war. Die einzelnen Leuchtmodi werden hierbei hier über den Selektorring am Lampenkopf ausgewählt.

 

Laufzeiten und Lumen

  •     Strobe
  •     Level 5: 2400 ANSI-Lumen/130 Minuten
  •     Level 4: 1280 ANSI-Lumen/245 Minuten
  •     Level 3: 580 ANSI-Lumen/9,8 Stunden
  •     Level 2: 168 ANSI-Lumen/15 Stunden
  •     Level 1: 3 ANSI-Lumen/20 Tage

 

Technische Details

  •    CREE XHP35 HI LED 5500K
  •    550.000(!) Lux
  •    Beschlagfreie ultraklare und kratzfeste Linse
  •    Anodisierung nach HA Type III
  •    Lampenkörper aus strapazierfähigem Flugzeugaluminium
  •    Verstärkte ultraklare Linse mit doppelseitiger Antireflex-Beschichtung
  •    Digitale Regelung für optimale Laufzeit und konstante Helligkeit
  •    Energieversorgung: 4 x 18650-Akku
  •    Effiziente Wärmeableitungsmaßnahmen (große Kühlrippen, copper heat sink pad)
  •    Wasserdicht nach IPX-8
  •    Fünf Leuchtstufen, die über den Selektorring ausgewählt werden
  •    Versteckter Strobe Mode
  •    Speziell entwickelter SMO-Reflektor für optimale Reichweite
  •    Low voltage warning zeigt rechtzeitig an, wenn die Akkus erschöpft sind
  •    Länge: 20,85 cm
  •    Durchmesser Batterierohr: 5,2 cm
  •    Durchmesser Lampenkopf: 8,8 cm
  •    Gewicht: 550 Gramm (ohne Akkus)
  •    Reichweite: 1500 Meter
       

Luxmessung

Dieses Mal gibt es keine Luxmessung von mir, und zwar aus dem einfachen Grund, dass mein Luxmeter maximal bis 200K Lux geht. Bevor ich nun obskure Messungen vornehme (die gibt es im Internet leider schon zur Genüge), übernehme ich die Angaben von Niwalker. Die 555.000 Lux halte ich aber für realistisch; wenn man mit der Niwalker BK-FA0S1 aus kurzer Distanz an eine Wand leuchtet, dann ist der Spot dermaßen hell, dass man schon nach sehr kurzer Zeit freiwillig woanders hinschaut. 

 

Akkuempfehlung

Generell empfiehlt Niwalker die Verwendung von IMR-Akkus in High End-Modellen wie der Vostro BK-FA09S. Meine Erfahrungen aus der Praxis zeigen, dass auch geschützte Soshine 18650 3400 mAh- und 3600 mAh-Akkus hervorragend mit Niwalker-Taschenlampen harmonieren, deshalb empfehle ich unseren Kunden auch diese, wenn sie lieber geschützte Akkus verwenden wollen.

Wie bereits erwähnt, hat Niwalker im Akkumagazin sehr starke Federn verbaut. IMR-Akkus ohne PCB passen dort problemlos hinein, bei längeren Akkus wird es deutlich schwieriger. Aus diesem Grund möchte ich an dieser Stelle ausdrücklich darauf hinweisen, als Stromquelle für die BK-FA09S nur IMR-Akkus zu verwenden – dies gilt aber wirklich nur für die BK-FA09S. Wahrscheinlich funktionieren auch ungeschützte Akkus, diese habe ich aber nicht getestet, da ich persönlich nur geschützte Lithium-Ionen- und IMR-Akkus verwende und die Verwendung ungeschützter Akkus unseren Kunden auch nicht empfehle. Erfolgreich getestet habe ich die Vostro BK-FA09S mit Efest 18650 3000 mAh– und Shockli 18650 3000 mAh-IMR-Akkus.

Review Niwalker Vostro BK-FA09S

 

Video

Das Video aus der Serie Helle Taschenlampen@Night zeigt die Niwalker Vostro BK-FA09S beim nächtlichen Einsatz:

Niwalker Vostro BK-FA09S nightly video review

 

 

Beamshots

Gibt es dieses Mal aufgrund der aktuellen Wetterlage nicht, ich werde sie aber nachreichen. Zum einen liegt noch dermaßen viel Schnee auf dem Dachfenster, dass es sich nur teilweise öffnen lässt, und zum anderen möchte ich bei Minusgraden im zweistelligen Bereich mein Equipment keinem unnötigen Beschädigungsrisiko aussetzen. Ich behaupte aber, dass im Video die Leuchtcharakteristik der BK-FA09S deutlich zu erkennen ist.

 

Pro und Contra

+ Außergewöhnlich leistungsfähig bezüglich Leuchtkraft und Reichweite
+ Adäquates Preis-/Leistungsverhältnis
+ Gut abgestimmte Leuchtmodi
– Federn im Akkumagazin könnten etwas kürzer sein

 

Fazit

Wie ich eingangs schon sagte, möchte ich ungern in Superlativen schwelgen. Zum einen findet sich immer ein Hersteller, der die Messlatte dann wieder ein Stück höher legt, und zum anderen gibt es nunmal nicht den “besten Thrower der Welt blabla”. Es gibt Taschenlampen, die sich für bestimmte Einsatzbereiche besonders gut eignen, aber das ist auch immer eine individuelle Geschichte, und was dem einen sehr gut gefällt, ist für den anderen weniger toll.

Nichtsdestotrotz möchte ich an dieser Stelle deutlich zum Ausdruck bringen, dass ich die neue Niwalker Vostro BK-FA09S für eine Wahnsinnslampe halte. Hier hat Niwalker eine Taschenlampe auf den Markt gebracht, die den Begriff “Mega Thrower” zu Recht verdient hat. Wie gesagt: Wer die BK-FA09S einmal live erlebt hat, der möchte sie nicht mehr hergeben! Ich habe auf meiner Teststrecke schon viele Thrower getestet, aber von der Leistungsfähigkeit her steht die Niwalker BK-FA09S Stand Januar 2017 ganz weit vorne. Und nicht nur da, denn auch das Preis-/Leistungsverhältnis ist aus meiner Sicht exzellent – adäquate Modelle von Mitbewerbern kosten in der Regel deutlich mehr, und ich kenne ehrlich gesagt zum aktuellen Zeitpunkt keine andere Serienlampe, die satte 555.000 Lux liefert.

Um es auf den Punkt zu bringen: Wer auf der Suche nach einem Thrower mit maximaler Reichweite und Leuchtkraft ist, der kommt an der Niwalker Vostro BK-FA09S nicht vorbei.

Review Niwalker Vostro BK-FA09S

 

Bezugsquelle

Die Niwalker Vostro BK-FA09S ist im MSITC Shop und im Taschenlampen-Shop erhältlich. Bitte beachten Sie dazu auch Produktankündigungen auf Facebook und unserem Support-Forum:

https://www.facebook.com/msitcshop
https://www.helle-taschenlampen.de/forums/neuheiten-und-produktank%C3%BCndigungen.6/

MSITC nightly video review Niwalker Vostro BK-FA09S XHP35 HI 2400 ANSI-Lumen 555.000 lux!

Hier mal als kleiner Vorgeschmack aufs kommende Review das Video zur Niwalker BK-FA09S aus der Serie Helle Taschenlampen@Night:

MSITC Nightly video review Niwalker BK-FA09S

 

Zum Video selbst möchte ich noch folgendes anmerken:

  • Reichweite und Ausleuchtung sind einfach nur der Hammer! Das Haus auf dem Berg (ca. 900-1000 Meter Entfernung) war bislang mit keinem anderen Thrower dermaßen gut erkennbar, auch nicht mit der BK-FA01S, die ja auch schon ordentlich Bums unter der Haube hat
  • Von der Lichtfarbe her geht die BK-FA09S eher Richtung neutral white

Die Niwalker Black Light Vostro BK-FA09S wird von Niwalker selbst als “Ultra Thrower” eingestuft und macht ihrem Namen auch alle Ehre: Ausgestattet mit einer einer modernen XHP35 HI LED mit 5500K bietet sie maximal 2400 ANSI-Lumen und eine Reichweite von ca. 1500 Meter mit einem Luxwert von sensationellen 550.000 Lux!

Mit diesem Luxwert ist die Black Light Vostro BK-FA09S einer der leistungsstärksten Serienthrower (Stand: Dezember 2016) und bietet eine Reichweite, die sich gewaschen hat.

Erhältlich ist die Niwalker Vostro BK-FA09S in folgenden Shops:

https://www.msitc-shop.com/taschenlampen/niwalker-black-light-vostro-bk-fa09-xhp35-2400-ansi-lumen-max-550-000-lux/a-938/

https://www.taschenlampen-shop.com/taschenlampen/niwalker/70/niwalker-black-light-vostro-bk-fa09s-xhp35-2400-ansi-lumen-max.-550.000-lux

Bedrohungen durch Ransomware reißen auch in 2017 nicht ab

2017 fängt aus IT Security-Sicht nicht anders an, wie das alte Jahr aufgehört hat. Nachdem sich Ransomware nach wie vor als sehr profitables Geschäftsmodell etabliert, kann von einem nachlassenden Bedrohungspotential nicht die Rede sein, ganz im Gegenteil: Es wird aus meiner Sicht deutlich schlimmer.

Dass der Einfallsreichtum von Cyberkriminellen keine Grenzen kennt, zeigt die neue Ransomware Doxware. Diese verschlüsselt nämlich nicht nur Dokumente oder Bilder, sondern droht zusätzlich noch damit, private Daten wie Chatprotokolle, Dokumente oder sonstige sensible Daten öffentlich zu machen, um damit den Druck auf das Opfer der Ransomware-Attacke noch zu erhöhen:

With doxware, hackers hold computers hostage until the victim pays the ransom, similar to ransomware. But doxware takes the attack further by compromising the privacy of conversations, photos, and sensitive files, and threatening to release them publicly unless the ransom is paid. Because of the threatened release, it’s harder to avoid paying the ransom, making the attack more profitable for hackers.

Ich möchte an dieser Stelle noch einmal deutlich auf die von mir in einem anderen Beitrag erwähnten Mitigationsmaßnahmen zur Risikoreduzierung aufmerksam machen, denn auf eine traditionelle Virenschutzlösung sollte man sich heutzutage nicht mehr verlassen. Moderne Ransomware arbeitet aus technischer Sicht auf einem meistens sehr hochen Niveau (von einzelnen Ausnahmen abgesehen), und es werden alle Möglichkeiten seitens der Ransomware-Entwickler ausgeschöpft, um vor allem AV-Software zu unterlaufen. 

Produktvorstellung: Next-Generation Antivirus X by Invincea

Einleitung

Ich hatte in meinem Artikel Next-generation AV-Software vs. traditionelle AV-Software schon kurz das Thema Next-Generation AV angeschnitten und möchte heute etwas mehr in die Tiefe gehen. Seit kurzem teste ich X by Invincea ausführlich und kann an dieser Stelle bereits vorweg nehmen, dass ich ziemlich beeindruckt bin, aber dazu nachher noch mehr. X by Invincea gibt es in drei Geschmacksrichtungen, wobei die umfangreichste Variante noch zusätzliche Funktionen wie eine isolierte Umgebung zum sicheren Öffnen von Dateien bzw. Attachments (Spear Phishing Attacks) mitbringt; mein Fokus beim Test liegt aber auf der Variante X by Invincea Prevent.. X by Invincea kann entweder zusätzlich zu einer schon vorhandenen AV-Lösung oder als Ablösung für eine bestehende AV-Lösung eingesetzt werden, wobei ich für meinen Teil die zweite Variante empfehlen würde.

Da ich bereits in meinem vorhergehenden Artikel auf die wesentlichen Unterschiede zwischen traditionellen AV- und Next-Gen-Lösungen eingegangen bin, möchte ich das an dieser Stelle nicht wiederholen und empfehle zum besseren Verständnis, den bereits erwähnten Artikel durchzulesen.

Bekannte und unbekannte Malware ohne Signaturen erkennen

Invincea setzt auf maschinenbasiertes Lernen, um verdächtige Dateien zu identifizieren und zu verhindern, dass sie gestartet werden. Jedes ausführbare Programm auf einem Endgerät wird dazu automatisch analysiert. X by Invincea extrahiert dazu eindeutige Merkmale aus dem Programmcode. Anschließend werden die extrahierten Attribute von einem mehrstufigen “Deep Learning“-Algorithmus hinsichtlich ihrer Ähnlichkeit zu anderen Malware-Familien untersucht. Als Ergebnis wird eine Bewertung (Score) zurückgeliefert; je höher der Score, desto höher ist die Wahrscheinlichkeit, dass es sich um Malware bzw. bösartigen Code handelt.

Wenn der Score für ein Programm einen gewissen Schwellwert (risk threshold) überschreitet, dann wird es als bösartig eingestuft und entweder in die Quarantäne verschoben oder gelöscht. X by Invincea kann sogar die Malware-Familie (z.B. Ransomware) erkennen, zu der die Datei gehört. Für den kompletten Prozess, der mit der Extraktion der Merkmale beginnt und mit dem Verschieben einer bösartigen Datei in die Quarantäne endet, werden gerade einmal 20 Millisekunden(!) benötigt. Diesen Wert kann ich bestätigen, denn ausführbare Dateien werden sehr schnell gescannt. Ich werde dazu auch noch Beispiele in Form eines Reviews oder Videos liefern.

Deep learning ahmt die Funktionsweise des menschlichen Gehirns nach

Unter machine (based) learning – oder wie es bei Invincea heißt – deep learning wird die Funktionsweise des menschlichen Gehirns nachgeahmt. Zusätzlich findet man bei Next-Generation Antivirus-Lösungen auch noch den Begriff  AI (artifical intelligence), also künstliche Intelligenz. Vereinfacht gesagt, geht es aber bei allen Methoden in die gleiche Richtung, und die Resultate sind in der Tat sehr beeindruckend. X by Invincea setzt auf deep learning, um Malware von gutartigen Programmen zu unterscheiden. Dadurch können auch unbekannte Malware oder polymorphe Varianten erkannt werden, mit deren Erkennung traditionelle signaturbasierte Lösungen oftmals Probleme haben.

Zusammengefasst lässt sich sagen, dass X by Invincea Malware stoppt, bevor sie auf einem Endgerät ausgeführt wird. Dabei bleibt die Systemauslastung im Vergleich mit anderen traditionellen AV-Lösungen minimal. Die Erkennung umfasst neben bekannter und unbekannter Malware auch Ransomware, Office-Dokumente mit Schadcode und weitere Bedrohungen, denen ein Endgerät tagtäglich ausgesetzt ist.     

Dateilose Angriffe

Die Anzahl der Angriffsvektoren bei Endgeräten ist groß, und so ist es auch nicht weiter verwunderlich, dass sog. “File-less Attacks” (Dateilose Angriffe) immer mehr zunehmen. Diese Art von Angriff ist teilweise nur sehr schwer zu erkennen, da keine Spuren in Form von Dateien mehr hinterlassen werden, d.h. auf dem Endgerät werden keine Dateien mehr erzeugt, sondern Schadcode wird direkt in den Speicher geschrieben und dort ausgeführt. Bekannte Vertreter von dateilosen Angriffen sind Office-Dokumente, die bösartigen Schadcode in Form eine Makros enthalten.

X by Invincea nutzt neben deep learning auch noch behavioral monitoring. Dahinter verbirgt sich die verhaltensbasierte Kontrolle/Überwachung von gutartigen bzw. als sicher geltenden Programmen, bei denen eine Abweichung vom normalen Verhalten als verdächtig eingestuft wird. Wird eine derartige Abweichung erkannt (z.B. beim Versuch, Malware oder Ransomware aus einem manipulierten Office-Dokument nachzuladen oder auszuführen), dann wird der entsprechende Prozess (z.B. word.exe) in Echtzeit automatisch beendet und die Ausführung von Schadcode verhindert.

Deep learning und behavioral monitoring ergänzen sich hervorragend und erhöhen den Schutz vor Bedrohungen auf Endgeräten drastisch.

Need to know

Die wichtigsten Punkte rund um X by Invicea möchte ich stichwortartig zusammenfassen:

  • Verhindert die Ausführung von bekannter und unbekannter Malware ohne Signaturen
  • Funktioniert auch offline, d.h. ohne Internetverbindung
  • Bietet effektiven Schutz vor Malware und Ransomware
  • Kombiniert mehrere fortschrittliche Erkennungsmethoden in einem schlanken Agent (200 MB RAM, <1% CPU)
  • Analysiert Dateien und entscheidet in 20 Millisekunden, ob eine Datei bösartig ist, bevor sie ausgeführt wird
  • Unterstützte Betriebssysteme: Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2

More to come

Da man bekanntlich viel erzählen kann, wenn der Tag lang ist, werde ich noch das eine oder andere Video folgen lassen. Mir geht es dabei nicht um Produktbashing, sondern um den direkten Vergleich zwischen Next-Gen- und traditioneller AV-Lösung. Besonderen Wert lege ich auf die Erkennung von Ransomware und speziell präparierten Samples, die eine Backdoor-Funktion beinhalten und üblicherweise so lange “behandelt” werden, bis sie kein Virenscanner mehr erkennt. Hier kann ich vorab schon sagen, dass X by Invincea überzeugende Resultate liefert, aber dazu in einem anderen Artikel bzw. Video mehr.

Next-generation AV-Software vs. traditionelle AV-Software

Ransomware – die digitale Plage der Gegenwart

Das Jahr 2016 war aus malwaretechnischer Sicht primär vom Thema Ransomware geprägt, und das wird meines Erachtens auch in 2017 nicht anders werden. Warum das so ist, habe ich bereits in einem anderen Blog-Artikel ausführlich erläutert, deshalb fasse ich mich an dieser Stelle kurz: Ransomware verspricht nach wie vor hohe Gewinne für Cyberkriminelle und üblicherweise ein geringes Risiko, geschnappt zu werden. Die entsprechende Infrastruktur lässt sich als “Software as a service” in Untergrundforen anmieten, der mögliche Profit durch gezahltes Lösegeld liegt üblicherweise um ein vielfaches höher als die Kosten für die Miete der Infrastruktur.

Last but not least wird Ransomware auch aus technischer Sicht immer hinterhältiger und effektiver, was das Unterlaufen von Schutzmaßnahmen auf dem Endgerät angeht. Aus der bekannten Cerber-Ransomwarefamilie gibt es beispielsweise die sog. Cerber Hash Factory, die in der Lage ist, in 15-Sekunden-Intervallen neue bzw. polymorphe Varianten zu erzeugen, die von AV-Lösungen, die hauptsächlich signaturbasierend und mit Hashwerten arbeiten, in der Regel nicht erkannt werden – wie denn auch, denn das gibt die Technik schlicht und ergreifend nicht her.

 

Warum versagt traditionelle Antiviren-Software (AV-Software) bei Ransomware in den meisten Fällen?

Ich hatte gerade schon ein Beispiel dafür geliefert, weshalb sog. traditionelle AV-Software immer mehr ins Hintertreffen gerät. Die meisten bekannten Hersteller wie Avira, Efest, Kaspersky, Bitdefender usw. arbeiten nach wie vor primär signaturbasiert und ergänzen diesen Schutz um weitere Funktionen wie verhaltensbasierte Erkennung von unbekannten ausführbaren Dateien oder cloudbasierten Abfragen, um Hashwerte für unbekannte Dateien zu erhalten. Diese Methoden sind geeignet, um bekannte Malware zu identifizieren – bei Malware oder Ransomware, die erst wenige Minuten oder Stunden alt ist, ist die Erkennungsrate bei signaturbasierten AV-Lösungen zumindest am Anfang eher schlecht als recht, und teilweise dauert es bei manchen Herstellern sogar deutlich länger als 24 Stunden, bis eine aktuelle Signatur bereitgestellt und verteilt wird. Sicher muss ich an dieser Stelle nicht weiter ausführen, was das speziell bei Ransomware bedeutet…

 

Was verbirgt sich hinter dem Begriff Next-Generation AV-Software?

Die einen halten es für ein Buzzword aus den Marketingabteilungen, die anderen verbinden den Begriff next-generation tatsächlich auch mit dem, für was er steht, nämlich für fortgeschrittene Erkennungsmethoden der nächsten Generation, die auch mit aktuellen Bedrohungen zurecht kommen. Signaturen kommen dort nicht mehr zum Einsatz, stattdessen setzen Hersteller wie SentinelOne, Cylance oder Invincea auf maschinenbasiertes Lernen und verhaltensbasierte Analysen. Kurz gesagt kann man sich maschinenbasiertes Lernen in etwa so vorstellen, dass die Hersteller von Next-Gen-Lösungen über einen sehr großen Datenbestand im Petabyte-Bereich verfügen, wozu bekannte und “gute” Software ebenso gehört wie Malware bzw. “bösartige” Software.

Anhand dieses Datenbestandes wird die Engine dann “trainiert” und lernt guten Code von schlechtem Code zu unterscheiden. Und um es gleich vorweg zu nehmen (ich werde in weiteren Artikeln noch detaillierter auf das Thema eingehen): Ja, es funktioniert. Es funktioniert sogar hervorragend, wenngleich auch hier mit false positives gerechnet werden muss, aber dazu ein ein andermal mehr. Namen erwähne ich vorerst nicht, aber ich kann zumindest soviel dazu sagen, dass ich bei einem Produkt an einem längeren Proof of Concept beteiligt war und aktuell eine weitere Next-Generation-Lösung teste, die mich bislang ebenfalls sehr begeistert, und diese Lösung werde ich auch in meinem nächsten Blogbeitrag ausführlicher vorstellen.

Als kleinen Appetizer bis zur Produktvorstellung möchte ich Ihnen noch ein paar Zahlen hinterlassen.

1. Erkennung von 100 aktuellen Malware-Samples (.exe) aus diversen Repositories, die alle 24 Stunden in einem ZIP-Archiv aktualisiert werden:

 

a) Next-Gen-Lösung: 100 von 100 Samples wurden erkannt und in die Quarantäne verschoben

 

image

 

image

 

 

b) Avira Free als traditionelle AV-Software: 14 von 100 Samples wurden beim Extrahieren aus dem ZIP-Archiv vom On Access-Scanner als malicious erkannt und gelöscht. Ein weiterer Scan mit dem On Demand-Scanner liefert keine weiteren Ergebnisse:

 

image

image

 

 

 

 

 

 

 

 

Produktankündigung: Niwalker Black Light Vostro BK-FA09S XHP35 Ultra Thrower 555.000(!) Lux

Gänzlich unerwartet hat Niwalker mit der neuen Vostro BK-FA09S noch ein wirklich herausragendes Weihnachtsgeschenk 2016 angekündigt. Die neue Niwalker Vostro BK-FA09S ist eine Ergänzung der Vostro Black Light-Serie und mit Sicherheit einer der leistungsstärksten serienmäßigen Thrower, die Stand Dezember 2016 erhältlich sind. Die Niwalker BK-FA09S toppt vergleichbare und deutlich teurere Thrower von Mitbewerbern nicht nur hinsichtlich der maximalen Reichweite mit ca. 1500 Meter, sondern auch beim Luxwert, denn hier erreicht die BK-FA09S sensationelle 555.000(!) Lux.

Das sind Werte, die man sich definitiv auf der Zunge zergehen lassen muss. Selbst die schon als leistungsstarker Thrower bekannte Niwalker Vostro BK-FA01S mit sehr guten 330.000 Lux muss sich der BK-FA09S geschlagen geben. Auch beim Preis-/Leistungsverhältnis ist die Niwalker Vostro BK-FA09S ein Kraftpaket, das den Vergleich mit ähnlichen Modellen von anderen Herstellern nicht scheuen muss, denn preislich liegt sie unter 200 Euro und damit deutlich unter den Preisen, die für Mitbewerberprodukte aufgerufen werden.

Wer auf der Suche einer Taschenlampe mit maximaler Reichweite und Leuchtkraft ist, kommt an der Niwalker Vostro BK-FA09S nicht vorbei. Beachten Sie dazu bitte auch unser Weihnachtsangebot mit einem Einführungspreis für die Niwalker BK-FA09S, der bis Ende Dezember 2016 gilt, danach erhöht sich der Preis.

Ein Review zur Niwalker Vostro BK-FA09S folgt nach Produktverfügbarkeit.

Erhältlich ist die Niwalker BK-FA09S in folgenden Shops:

https://www.msitc-shop.com
https://www.taschenlampen-shop.com

Die ideale Ergänzung zur neuen Niwalker Vostro BK-FA09S ist übrigens unser Power Pack zum Schnäppchenpreis:

https://www.msitc-shop.com/akkus/power-pack-4-fuer-niwalker-nova-mm25mb-vier-efest-imr-18650-3000-mah-akkus-zum-preis-von-drei/a-934/