Category Archives: Ransomware

Bedrohungen durch Ransomware reißen auch in 2017 nicht ab

2017 fängt aus IT Security-Sicht nicht anders an, wie das alte Jahr aufgehört hat. Nachdem sich Ransomware nach wie vor als sehr profitables Geschäftsmodell etabliert, kann von einem nachlassenden Bedrohungspotential nicht die Rede sein, ganz im Gegenteil: Es wird aus meiner Sicht deutlich schlimmer.

Dass der Einfallsreichtum von Cyberkriminellen keine Grenzen kennt, zeigt die neue Ransomware Doxware. Diese verschlüsselt nämlich nicht nur Dokumente oder Bilder, sondern droht zusätzlich noch damit, private Daten wie Chatprotokolle, Dokumente oder sonstige sensible Daten öffentlich zu machen, um damit den Druck auf das Opfer der Ransomware-Attacke noch zu erhöhen:

With doxware, hackers hold computers hostage until the victim pays the ransom, similar to ransomware. But doxware takes the attack further by compromising the privacy of conversations, photos, and sensitive files, and threatening to release them publicly unless the ransom is paid. Because of the threatened release, it’s harder to avoid paying the ransom, making the attack more profitable for hackers.

Ich möchte an dieser Stelle noch einmal deutlich auf die von mir in einem anderen Beitrag erwähnten Mitigationsmaßnahmen zur Risikoreduzierung aufmerksam machen, denn auf eine traditionelle Virenschutzlösung sollte man sich heutzutage nicht mehr verlassen. Moderne Ransomware arbeitet aus technischer Sicht auf einem meistens sehr hochen Niveau (von einzelnen Ausnahmen abgesehen), und es werden alle Möglichkeiten seitens der Ransomware-Entwickler ausgeschöpft, um vor allem AV-Software zu unterlaufen. 

Produktvorstellung: Next-Generation Antivirus X by Invincea

Einleitung

Ich hatte in meinem Artikel Next-generation AV-Software vs. traditionelle AV-Software schon kurz das Thema Next-Generation AV angeschnitten und möchte heute etwas mehr in die Tiefe gehen. Seit kurzem teste ich X by Invincea ausführlich und kann an dieser Stelle bereits vorweg nehmen, dass ich ziemlich beeindruckt bin, aber dazu nachher noch mehr. X by Invincea gibt es in drei Geschmacksrichtungen, wobei die umfangreichste Variante noch zusätzliche Funktionen wie eine isolierte Umgebung zum sicheren Öffnen von Dateien bzw. Attachments (Spear Phishing Attacks) mitbringt; mein Fokus beim Test liegt aber auf der Variante X by Invincea Prevent.. X by Invincea kann entweder zusätzlich zu einer schon vorhandenen AV-Lösung oder als Ablösung für eine bestehende AV-Lösung eingesetzt werden, wobei ich für meinen Teil die zweite Variante empfehlen würde.

Da ich bereits in meinem vorhergehenden Artikel auf die wesentlichen Unterschiede zwischen traditionellen AV- und Next-Gen-Lösungen eingegangen bin, möchte ich das an dieser Stelle nicht wiederholen und empfehle zum besseren Verständnis, den bereits erwähnten Artikel durchzulesen.

Bekannte und unbekannte Malware ohne Signaturen erkennen

Invincea setzt auf maschinenbasiertes Lernen, um verdächtige Dateien zu identifizieren und zu verhindern, dass sie gestartet werden. Jedes ausführbare Programm auf einem Endgerät wird dazu automatisch analysiert. X by Invincea extrahiert dazu eindeutige Merkmale aus dem Programmcode. Anschließend werden die extrahierten Attribute von einem mehrstufigen “Deep Learning“-Algorithmus hinsichtlich ihrer Ähnlichkeit zu anderen Malware-Familien untersucht. Als Ergebnis wird eine Bewertung (Score) zurückgeliefert; je höher der Score, desto höher ist die Wahrscheinlichkeit, dass es sich um Malware bzw. bösartigen Code handelt.

Wenn der Score für ein Programm einen gewissen Schwellwert (risk threshold) überschreitet, dann wird es als bösartig eingestuft und entweder in die Quarantäne verschoben oder gelöscht. X by Invincea kann sogar die Malware-Familie (z.B. Ransomware) erkennen, zu der die Datei gehört. Für den kompletten Prozess, der mit der Extraktion der Merkmale beginnt und mit dem Verschieben einer bösartigen Datei in die Quarantäne endet, werden gerade einmal 20 Millisekunden(!) benötigt. Diesen Wert kann ich bestätigen, denn ausführbare Dateien werden sehr schnell gescannt. Ich werde dazu auch noch Beispiele in Form eines Reviews oder Videos liefern.

Deep learning ahmt die Funktionsweise des menschlichen Gehirns nach

Unter machine (based) learning – oder wie es bei Invincea heißt – deep learning wird die Funktionsweise des menschlichen Gehirns nachgeahmt. Zusätzlich findet man bei Next-Generation Antivirus-Lösungen auch noch den Begriff  AI (artifical intelligence), also künstliche Intelligenz. Vereinfacht gesagt, geht es aber bei allen Methoden in die gleiche Richtung, und die Resultate sind in der Tat sehr beeindruckend. X by Invincea setzt auf deep learning, um Malware von gutartigen Programmen zu unterscheiden. Dadurch können auch unbekannte Malware oder polymorphe Varianten erkannt werden, mit deren Erkennung traditionelle signaturbasierte Lösungen oftmals Probleme haben.

Zusammengefasst lässt sich sagen, dass X by Invincea Malware stoppt, bevor sie auf einem Endgerät ausgeführt wird. Dabei bleibt die Systemauslastung im Vergleich mit anderen traditionellen AV-Lösungen minimal. Die Erkennung umfasst neben bekannter und unbekannter Malware auch Ransomware, Office-Dokumente mit Schadcode und weitere Bedrohungen, denen ein Endgerät tagtäglich ausgesetzt ist.     

Dateilose Angriffe

Die Anzahl der Angriffsvektoren bei Endgeräten ist groß, und so ist es auch nicht weiter verwunderlich, dass sog. “File-less Attacks” (Dateilose Angriffe) immer mehr zunehmen. Diese Art von Angriff ist teilweise nur sehr schwer zu erkennen, da keine Spuren in Form von Dateien mehr hinterlassen werden, d.h. auf dem Endgerät werden keine Dateien mehr erzeugt, sondern Schadcode wird direkt in den Speicher geschrieben und dort ausgeführt. Bekannte Vertreter von dateilosen Angriffen sind Office-Dokumente, die bösartigen Schadcode in Form eine Makros enthalten.

X by Invincea nutzt neben deep learning auch noch behavioral monitoring. Dahinter verbirgt sich die verhaltensbasierte Kontrolle/Überwachung von gutartigen bzw. als sicher geltenden Programmen, bei denen eine Abweichung vom normalen Verhalten als verdächtig eingestuft wird. Wird eine derartige Abweichung erkannt (z.B. beim Versuch, Malware oder Ransomware aus einem manipulierten Office-Dokument nachzuladen oder auszuführen), dann wird der entsprechende Prozess (z.B. word.exe) in Echtzeit automatisch beendet und die Ausführung von Schadcode verhindert.

Deep learning und behavioral monitoring ergänzen sich hervorragend und erhöhen den Schutz vor Bedrohungen auf Endgeräten drastisch.

Need to know

Die wichtigsten Punkte rund um X by Invicea möchte ich stichwortartig zusammenfassen:

  • Verhindert die Ausführung von bekannter und unbekannter Malware ohne Signaturen
  • Funktioniert auch offline, d.h. ohne Internetverbindung
  • Bietet effektiven Schutz vor Malware und Ransomware
  • Kombiniert mehrere fortschrittliche Erkennungsmethoden in einem schlanken Agent (200 MB RAM, <1% CPU)
  • Analysiert Dateien und entscheidet in 20 Millisekunden, ob eine Datei bösartig ist, bevor sie ausgeführt wird
  • Unterstützte Betriebssysteme: Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2

More to come

Da man bekanntlich viel erzählen kann, wenn der Tag lang ist, werde ich noch das eine oder andere Video folgen lassen. Mir geht es dabei nicht um Produktbashing, sondern um den direkten Vergleich zwischen Next-Gen- und traditioneller AV-Lösung. Besonderen Wert lege ich auf die Erkennung von Ransomware und speziell präparierten Samples, die eine Backdoor-Funktion beinhalten und üblicherweise so lange “behandelt” werden, bis sie kein Virenscanner mehr erkennt. Hier kann ich vorab schon sagen, dass X by Invincea überzeugende Resultate liefert, aber dazu in einem anderen Artikel bzw. Video mehr.

Next-generation AV-Software vs. traditionelle AV-Software

Ransomware – die digitale Plage der Gegenwart

Das Jahr 2016 war aus malwaretechnischer Sicht primär vom Thema Ransomware geprägt, und das wird meines Erachtens auch in 2017 nicht anders werden. Warum das so ist, habe ich bereits in einem anderen Blog-Artikel ausführlich erläutert, deshalb fasse ich mich an dieser Stelle kurz: Ransomware verspricht nach wie vor hohe Gewinne für Cyberkriminelle und üblicherweise ein geringes Risiko, geschnappt zu werden. Die entsprechende Infrastruktur lässt sich als “Software as a service” in Untergrundforen anmieten, der mögliche Profit durch gezahltes Lösegeld liegt üblicherweise um ein vielfaches höher als die Kosten für die Miete der Infrastruktur.

Last but not least wird Ransomware auch aus technischer Sicht immer hinterhältiger und effektiver, was das Unterlaufen von Schutzmaßnahmen auf dem Endgerät angeht. Aus der bekannten Cerber-Ransomwarefamilie gibt es beispielsweise die sog. Cerber Hash Factory, die in der Lage ist, in 15-Sekunden-Intervallen neue bzw. polymorphe Varianten zu erzeugen, die von AV-Lösungen, die hauptsächlich signaturbasierend und mit Hashwerten arbeiten, in der Regel nicht erkannt werden – wie denn auch, denn das gibt die Technik schlicht und ergreifend nicht her.

 

Warum versagt traditionelle Antiviren-Software (AV-Software) bei Ransomware in den meisten Fällen?

Ich hatte gerade schon ein Beispiel dafür geliefert, weshalb sog. traditionelle AV-Software immer mehr ins Hintertreffen gerät. Die meisten bekannten Hersteller wie Avira, Efest, Kaspersky, Bitdefender usw. arbeiten nach wie vor primär signaturbasiert und ergänzen diesen Schutz um weitere Funktionen wie verhaltensbasierte Erkennung von unbekannten ausführbaren Dateien oder cloudbasierten Abfragen, um Hashwerte für unbekannte Dateien zu erhalten. Diese Methoden sind geeignet, um bekannte Malware zu identifizieren – bei Malware oder Ransomware, die erst wenige Minuten oder Stunden alt ist, ist die Erkennungsrate bei signaturbasierten AV-Lösungen zumindest am Anfang eher schlecht als recht, und teilweise dauert es bei manchen Herstellern sogar deutlich länger als 24 Stunden, bis eine aktuelle Signatur bereitgestellt und verteilt wird. Sicher muss ich an dieser Stelle nicht weiter ausführen, was das speziell bei Ransomware bedeutet…

 

Was verbirgt sich hinter dem Begriff Next-Generation AV-Software?

Die einen halten es für ein Buzzword aus den Marketingabteilungen, die anderen verbinden den Begriff next-generation tatsächlich auch mit dem, für was er steht, nämlich für fortgeschrittene Erkennungsmethoden der nächsten Generation, die auch mit aktuellen Bedrohungen zurecht kommen. Signaturen kommen dort nicht mehr zum Einsatz, stattdessen setzen Hersteller wie SentinelOne, Cylance oder Invincea auf maschinenbasiertes Lernen und verhaltensbasierte Analysen. Kurz gesagt kann man sich maschinenbasiertes Lernen in etwa so vorstellen, dass die Hersteller von Next-Gen-Lösungen über einen sehr großen Datenbestand im Petabyte-Bereich verfügen, wozu bekannte und “gute” Software ebenso gehört wie Malware bzw. “bösartige” Software.

Anhand dieses Datenbestandes wird die Engine dann “trainiert” und lernt guten Code von schlechtem Code zu unterscheiden. Und um es gleich vorweg zu nehmen (ich werde in weiteren Artikeln noch detaillierter auf das Thema eingehen): Ja, es funktioniert. Es funktioniert sogar hervorragend, wenngleich auch hier mit false positives gerechnet werden muss, aber dazu ein ein andermal mehr. Namen erwähne ich vorerst nicht, aber ich kann zumindest soviel dazu sagen, dass ich bei einem Produkt an einem längeren Proof of Concept beteiligt war und aktuell eine weitere Next-Generation-Lösung teste, die mich bislang ebenfalls sehr begeistert, und diese Lösung werde ich auch in meinem nächsten Blogbeitrag ausführlicher vorstellen.

Als kleinen Appetizer bis zur Produktvorstellung möchte ich Ihnen noch ein paar Zahlen hinterlassen.

1. Erkennung von 100 aktuellen Malware-Samples (.exe) aus diversen Repositories, die alle 24 Stunden in einem ZIP-Archiv aktualisiert werden:

 

a) Next-Gen-Lösung: 100 von 100 Samples wurden erkannt und in die Quarantäne verschoben

 

image

 

image

 

 

b) Avira Free als traditionelle AV-Software: 14 von 100 Samples wurden beim Extrahieren aus dem ZIP-Archiv vom On Access-Scanner als malicious erkannt und gelöscht. Ein weiterer Scan mit dem On Demand-Scanner liefert keine weiteren Ergebnisse:

 

image

image

 

 

 

 

 

 

 

 

Erpressungs-Trojaner Locky: Die unendliche Geschichte

Der hinterhältige Erpressungs-Trojaner Locky hat es im Gegensatz zu vielen anderen schon lange existierenden Ransomware-Varianten nun auch in die Mainstream-Medien geschafft. Grundsätzlich funktioniert Locky auch nicht viel anders als andere Cryptolocker- oder Teslacrypt-Versionen, allerdings gibt es schon einige Besonderheiten, die dieses Stück Schadsoftware zu einem besonders widerlichen Vertreter seiner Gattung machen; eine davon ist die Tatsache, dass sich Locky offensichtlich schon vor längerem auf Opfer-PCs eingenistet hat und erst zu einem bestimmten Zeitpunkt zum Leben erwacht ist.

Wer sich nun die berechtigte Frage stellt, warum Virenscanner sich mit der Erkennung von moderner Malware und insbesondere Ransomware sehr schwer tun und die Erkennungsraten zumindest in den ersten Tagen nach einer neuen Ransomware-Welle unterirdisch sind (oftmals auch noch Wochen danach!), sollte folgendes wissen:

  • Die Zeiten, in denen Script Kiddies Viren aus Spaß an der Freude programmiert haben, sind schon lange vorbei. Damit ist heute kein Blumentopf mehr zu gewinnen
  • Mit Ransomware und Lösegeld lässt sich verdammt viel Geld verdienen. Aktuelle Schätzungen gehen davon aus, dass Cyberkriminelle allein im letzten Jahr damit über 360 Millionen USD(!) verdient haben. Es ist kein Problem, in einem Untergrundforum entsprechende Botnetze für einen relativ geringen Betrag (ca. 500-1000 Euro pro Woche, abhängig von der Größe des Botnetzes) anzumieten und sich mit Hilfe fertiger Baukästen bzw. Exploit Kits maßgeschneiderte Cryptolocker zu erstellen. Über das Botnetz werden dann phishing mails mit entsprechenden Anhängen versendet; Stand heute (Februar 2016) sind das nach wie vor Office-Dokumente mit maliziösen Makros, die dann wiederum von gehackten Webseiten im Internet Schadcode nachladen und diesen ausführen
  • Spätestens zu diesem Zeitpunkt hat man schon so gut wie verloren, denn die wenigsten Virenscanner sind in der Lage, Cryptolocker effizient zu erkennen und abzuwehren. Der Vollständigkeit halber möchte ich auch erwähnen, warum: Wenn man sich die Zahl von 360 Millionen USD vor Augen hält, dann kann man sich vorstellen, dass Cyberkriminelle mit Ransomware sehr viel Geld bei einem überschaubaren Invest verdienen können. Ergo werden auch alle Register gezogen, um Ransomware so gut wie möglich zu tarnen; hinzu kommt, dass fertige Baukästen innerhalb kurzer Zeit diverse Cryptolocker-Mutationen mit polymorphem Code produzieren können, die alleine schon deshalb von primär signaturbasieren Virenscannern nicht mehr erkannt werden können – da helfen auch stündliche Updates nicht mehr weiter. Selbst cloudbasierte Virenscanner haben nach wie vor massive Probleme, “frische” Cryptolocker bzw. Ransomware zu erkennen und abzuwehren

Und nein, das habe ich mir nicht alles aus den Fingern gesaugt. Als IT Security Analyst beschäftige ich mich täglich mit diesen Themen und weiß daher sehr gut, von was ich rede. Ich kann deshalb nur empfehlen, folgende Maßnahmen primär im privaten Umfeld in Betracht zu ziehen:

  • Niemals – und damit meine ich auch niemals! – Office-Dokumente (Word, Excel usw.) öffnen, die man per Mail erhält. Selbst dann nicht, wenn sie von vertrauenswürdigen Personen stammen, denn möglicherweise wurde deren Endgerät gehackt und versendet nun vom Besitzer unbemerkt entsprechende phishing mails mit infizierten Anhängen
  • PDF-Dokumente bieten zwar auch Platz für Malware, aber ich halte sie zum gegenwärtigen Zeitpunkt noch für das kleinere Übel. Lassen Sie sich statt eines Word-Dokuments eine PDF-Datei zuschicken, denn damit ist sichergestellt, dass keine Office VBA-Makros ausgeführt werden können, die möglicherweise Schadcode nachladen und ausführen
  • Regelmäßige Backups sind unabdingbar. Dazu gehört allerdings auch, den Restore-Prozess zu testen, um sicherzustellen, dass im Ernstfall die gesicherten Daten auch wiederhergestellt werden können. Backup-Strategien und entsprechende Software gibt es wie Sand am Meer, meine Empfehlung heißt Iperius Backup
  • Wenn sich der Versand bzw. der Austausch von Office-Dokumenten aufgrund von entsprechenden Business-Prozessen nicht vermeiden lässt, dann vereinbaren Sie mit dem Sender ein Passwort, mit dem Office-Dokumente dann in einem verschlüsselten ZIP-Archiv versendet werden. Damit ist sichergestellt, dass ein Attachment tatsächlich auch vom Sender wissentlich auf den Weg gebracht wurde. Office-Dokumente, die nicht in Form eines ZIP-Archivs in Ihrem Posteingang landen, können Sie dann unverzüglich löschen
  • Grundsätzlich sollten Sie sicherstellen, dass sich Ihr Endgerät auf einem aktuellen Patchlevel befindet. Das betrifft sowohl Betriebssystem-Updates als auch Anwendungen wie den Flash Player oder den Adobe Reader, bei denen nach wie vor regelmäßig schwerwiegende Sicherheitslücken auftreten
  • Verwenden Sie Firefox oder alternativ auch Google Chrome zum Surfen. Wichtig ist, dass Erweiterungen wie NoScript oder auch AdBlock Plus vom Browser unterstützt werden, denn damit kann man nach dem Whitelisting-Prinzip legitimen Webseiten die Ausführung von Javascript erlauben, während es hingegen auf anderen Webseiten deaktiviert ist
  • Stellen Sie sicher, dass Ihr Virenscanner sich signaturenmäßig immer auf dem aktuellen Stand befindet, aber verlassen Sie sich keinesfalls ausschließlich auf Ihren Virenscanner! Die Chancen, dass Ransomware oder generell Malware nicht erkannt werden, sind sehr gut.

Natürlich sind das noch längst nicht alle Präventivmaßnahmen, die man ergreifen kann. Es sind aber auf jeden Fall jene, die auch ein durchschnittlich IT-affiner Anwender zum Einsatz bringen kann, ohne ein Informatikstudium absolviert zu haben.