Erkennen von neuen Bedrohungen mit Hilfe von Kontextinformationen und Reputation

Originalbeitrag von Marco Balduzzi, Senior Threat Researcher

Cyberkriminelle setzen immer mehr auf Angriffsstrategien mit polymorphen Techniken und Packing. Dagegen jedoch hilft die traditionelle signaturbasierte Erkennung auf dem Client (Endpoint) an sich nicht. Stattdessen bedarf es eines generationsübergreifenden Ansatzes. Backend-Systeme tun sich schwer mit der Analyse moderner Schadsoftware, denn sowohl die statische als auch dynamische Analyse stoßen an ihre Grenzen, wenn es sich um gut getarnten Code handelt oder wenn Anti-Sandboxing-Techniken eingesetzt werden. Außerdem steigt auch die Anzahl der neu entdeckten Bedrohungen, und deshalb sind schnellere Erkennungssysteme gefragt, um Anwender zu schützen. Für diesen Bedarf hat Trend Micro neuerdings ein System entwickelt, dass die Einschränkungen derzeitiger statischer sowie dynamischer Techniken überwindet und in der Lage ist, neue Bedrohungen in Echtzeit zu erkennen. Es verwendet eine Kombination aus Machine Learning und graphenbasierender Entscheidungen, um Software-Downloads in weniger als einer Sekunde zu klassifizieren.


Bild 1. Überblick über die Erkennungsmethode

Jeder zu schützende Endpunkt umfasst einen Download Identification Agent (DIA), der in der Lage ist, neue Software-Downloads zu identifizieren. Der Agent übermittelt Informationen zum Kontext des Downloads an das Klassifizierungssystem (Trend Micro nennt es ein Malware Download Detection System, oder MDD) und setzt die Datei temporär in Quarantäne, sodass der Zugriff darauf verhindert wird, bis eine Entscheidung über die Natur der Datei fällt. Kontextinformationen wie Download Client und die Konfiguration des Endpunkts werden übermittelt, aber nicht die Datei selbst.

Bild 2. Beispiel des Download Graphs

Trend Micros Ansatz ist unabhängig von Inhalten. Das System trifft eine Entscheidung, ohne die heruntergeladene Datei inspizieren oder auf die tatsächliche URL zugreifen zu müssen. Aus diesem Grund ist das System in der Lage, eine sehr große Anzahl an neuen Bedrohungen in sehr kurzer Zeit zu verarbeiten. Das schließt auch Bedrohungen mit ein, die auf unkonventionellen Geräten wie Smartphones oder anderen IoT-Geräten entdeckt werden, denn das System ist betriebssystemunabhängig und funktioniert auf jedem Endpunkt gut.

Kurz gesagt, funktioniert das System, indem es eine Repräsentation des Download-Ereignisses in einem dreiteiligen Graphen vorhält. Es nutzt ein graphenbasiertes Wahrscheinlichkeitsmodell, um die Wahrscheinlichkeit zu berechnen, dass ein neuer Knoten (eine heruntergeladene Datei, die es vorher noch nicht gesehen hatte) gut- oder bösartig ist (siehe Bild 2).

Informationen zu neuen Downloads werden von den Endpunkten gesammelt und in den Graphen als neue Knoten eingefügt. Ein Wahrscheinlichkeitswert wird aus den angrenzenden Knoten berechnet und zur Klassifizierung weitergegeben (siehe Bild 3).

Bild 3. Verteilung von Reputationswerten

Wie ergibt dies nun ein Klassifizierungssystem? Beispielsweise werden Software Downloads von Endpunkten, die bereits früher Malware enthielten, mit einer niedrigeren Reputation bewertet. Genauso erhalten URLs, über die bösartige Downloads gelaufen sind, eine niedrige Reputation. Ein System, das sich auf diese Reputationswerte verlässt, wird diese Arten von Dateien wahrscheinlich blocken.

Im Gegenzug werden Downloads aus vertrauenswürdigen Domänen oder Endpunkten, die bereits jahrelang keine Infektionen hatten (etwa vollständig gepatchte und gut konfigurierte Geräte) eine hohe Reputation erhalten. Diese Wahrscheinlichkeit wird dann iterativ an benachbarte Knoten weitergegeben, sodass neue Bedrohungen entdeckt werden können.

Fazit

Autoren moderner Bedrohungen und Malware setzen die Sicherheitsindustrie unter Druck, neuartige Erkennungstechniken zu entwickeln, um Bedrohungen zu identifizieren, die sonst jahrelang unentdeckt bleiben. Das Forschungsteam von Trend Micro sucht ständig nach Lösungen und Verbesserungen, um diese Herausforderungen zu meistern.

Dieses neu entwickelte System nutzt Techniken, die weder das Sammeln noch die Inspektion der Software- oder URL-Downloads erforderlich macht. Damit unterscheidet es sich von traditionellen Techniken, die diese Dateien oder URLs einzeln analysieren.

Hinzu kommt, dass damit das Konzept einer definitiven Ja/Nein-Signatur durch ein auf Wahrscheinlichkeit beruhendes Modell ersetzt wird, das von „künstlich intelligenten“ Algorithmen erstellt wird. Es kann selbständige Entscheidungen treffen auf der Basis einer globalen Wissensdatenbank von Millionen Endpunkten.

Trend Micros Lösung ist betriebssystemunabhängig, sodass sowohl traditionelle Endpunkte (etwa persönliche PCs) als auch IoT-Geräte wie etwa mobile Geräte, smarte TVs und HVACs damit geschützt werden können. Die Forschungsarbeit wurde auf der 11th ACM on Asia Conference on Computer and Communications Security vorgestellt und in den USA zum Patent angemeldet (Nummer 14/988,430). Weitere Informationen zur Forschung von Trend Micro auf dem Gebiet des maschinellen Lernens gibt es hier.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .