Machine Learning beim Erkennen von Malware-Ausbrüchen mit weniger Samples

von Trend Micro

Für den Schutz von Benutzern, Communities, Unternehmen und Regierungen ist es von wesentlicher Bedeutung, Malware gleich bei ihrem Auftreten abzufangen. Der Einsatz von ML-Technologie (Machine Learning) in der Cybersicherheit hat die Effizienz bei der Erkennung von Malware-Ausbrüchen deutlich verbessert. Mit Machine Learning können großen Datenmengen analysiert werden, um Muster und Korrelationen in den Samples zu finden, und auch um Systeme zu trainieren, die später auftretende ähnliche Malware-Varianten erkennen können. Doch ist ML bei der Analyse von Malware-Ausbrüchen auch dann in der Lage zu helfen, wenn ein nur kleines Datenset zur Verfügung steht? Trend Micro hat in Zusammenarbeit mit den Forschern der Federation University Australien eine Studie durchgeführt („Generative Malware Outbreak Detection“), die die Wirksamkeit der Darstellungen für solche Situationen vorführt, die durch Adversial Autoencoder zustande kommen. Dieses ML-Modell für die Erkennung von Malware-Ausbrüchen nutzt ein generatives Adversarial Network (GAN).

In der heutigen Bedrohungslandschaft sind Malware-Ausbrüche zu Ereignissen geworden, die Anwendern und Unternehmen weltweit schaden und Milliardenschäden verursachen. Die NotPetya Ransomware von 2017 war der „destruktivste und teuerste Cyberangriff in der Geschichte“, so die US-Regierung. Sie schadete sowohl Regierungsbehörden als auch privaten Unternehmen. Die dänische Containerreederei Maersk war eines der bekanntesten Opfer.

2018 folgte der Ausbruch der VPNFilter Malware, die 500.000 Router von Privatanwendern und kleinen Unternehmen vor allem in der Ukraine infizierte. Diese mehrstufige Malware wurde in 54 Ländern erkannt und wies Code-Überlappungen mit der BlackEnergy Spyware auf.

In beiden Fällen stand eine erhebliche Datenmenge für die Schädlingsanalysen zur Verfügung. Doch für Vorfälle mit nur wenigen Daten empfehlen die Forscher eine Methode, die Malware Sample entdeckt, die anderen Varianten ähnelt. Diese Methode nutzt lediglich ein Malware Sample für das Training mit Adversarial Autoencoder und liefert eine hohe Erkennungsrate für ähnliche Samples, wobei False Positive-Rate für gutartige Muster niedrig ist.

Für das aktuelle Forschungsprojekt sammelten die Forscher beliebig gewählte 3.254 OS X Malware- und 9.981 gutartige Samples (Einzelheiten im Originalbeitrag).

Wichtige Fähigkeit: Programmanweisungssequenz

Schädlingsautoren nutzen normalerweise angepasste Tools, um modifizierte oder mutierte Malware Samples automatisch zu generieren. Es handelt sich dabei grundsätzlich um eine Sammlung aus Schädlingen, die dieselbe Funktionalität aufweisen, doch durch Verschleierung unterschiedlich aussehen, um statische signaturbasierte Erkennung durch Sicherheitsprodukte zu vermeiden. Trotz Tarnung stellten die Forscher fest, dass sie eine Fähigkeit haben, die relativ gleich bleibt: die Verteilung der Programmanweisungssequenz.

  • MAC.OSX.CallMe.A (3 samples)
  • MAC.OSX.CallMe.E (1 sample)
  • MAC.OSX.CallMe.F (1 sample)

Weitere Einzelheiten zur Analyse umfasst der Originalbeitrag.

Das Forschungs-Whitepaper „Generative Malware Detection“ liefert zudem einen tiefen Einblick zur Verwendung der Anweisungssequenz als einzige Fähigkeit der Erkennung des Malware-Ausbruchs in dem vorgeschlagenen Modell. Auch stellt das Whitepaper ein Beispiel eines bösartigen Clusters vor, das über den Adversarial Autoencoder mit semantischem Hashing (aae-sh) entdeckt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.