01.10.2018

Next-Generation Antivirus: Warum Virustotal nicht immer ein guter Indikator für Malware-Erkennungen ist

Next-Generation Antivirus: Warum Virustotal nicht immer ein guter Indikator für Malware-Erkennungen ist CyberCrime

Virustotal ist seit Jahren ein verlässliches Werkzeug für alle, die beruflich mit Malware zu tun haben. Schnell lässt sich hier eine Datei hochladen oder mit Hilfe eines Hashwertes überprüfen, ob Virenscanner aktuelle Malware bereits erkennen. Gern wird Virustotal auch von Medien genutzt um zu überprüfen, ob es gegen aktuell laufende Malware-Kampagnen bereits effektiven Schutz durch Virenscanner gibt, oder nicht.

Doch gerade bei sehr aktuellen und kurzlebigen Kampagnen zeichnet der Dienst häufig ein ungenaues Bild. Denn am Anfang der Verbreitung neuer Schadsoftware, wie bei der Ransomware-Kampagne gegen Personalabteilungen mit GandCrab, wird Schadsoftware von den Antiviren-Programmen der meisten Sicherheitsunternehmen vor allem durch pro-aktive Erkennungstechnologien und den Abgleich von Datei-Hashwerten mit den Clouddiensten der jeweiligen Hersteller erkannt. Virustotal bildet aber nur den „klassischen“ Weg der signaturbasierten Erkennung ab. Ander gesagt: "Virus Total ist ein guter Indikator für die Erkennung von Malware. Die Plattform eignet sich aber nicht, um festzustellen welche Malware derzeit nicht erkannt wird", sagt Ralf Benzmüller, Executive Speaker der G DATA Security Labs.

Während die Virustotal-Übersicht bei der beispielhaften GandCrab-Kampagne also noch anzeigte, dass nur weniger Hersteller die Samples als schädlich erkennen, konnten G DATA und sicherlich auch andere Hersteller Infektionen bereits erfolgreich verhindern. „Wir können dank unserer Filecloud und anderer NGAV-Technologien sehr schnell auf neue Malware-Kampagnen reagieren. In einigen der jüngsten Fälle haben wir allein damit 11,6 Prozent der Infektionsversuche geblockt.“ sagt Thomas Siebert, Leiter Protection Technologies bei G DATA.

Antivirensoftware: Schon lange mehr als nur Signaturen

Die Antivirusindustrie hat in den vergangenen 20 Jahren eine enorme Entwicklung durchgemacht. Weil Malwaresamples in immer schnelleren Schüben verändert werden um einer Erkennung zu entgehen, setzen fast alle Hersteller auf Next-Generation-Antiviruskomponenten. Im Falle von G DATA ist das zum einen die erwähnte Filecloud, mit der verdächtige Samples deutlich schneller blockiert werden können als durch Signaturupdates. Doch die Filecloud ist nur ein Teilstück unseres selbstlernenden Gesamtsystems.

Dazu gehört auch die von G DATA entwickelte Anti-Ransomware-Technologie, die zuverlässig vor der Verschlüsselung der Festplatte schützt. Bei Privatkunden ist diese Komponente standardmäßig eingeschaltet, Businesskunden müssen die Funktion manuell aktivieren - und werden bei der Einrichtung der G DATA Software entsprechend beraten. Die Technologie schaut im Hintergrund, ob verdächtige Befehle wie eine massenhafte Verschlüsselung von Dateien angestoßen werden, ohne dass der Nutzer dies in Auftrag gegeben hat. „Die Anti-Ransomware-Technologie ist für uns oft ein Frühwarnsystem,“ sagt Siebert. „Denn wenn eine bislang nicht erkannte Datei schadhafte Aktionen ausführt, können wir diese zur genauen Analyse anfordern und mit den gewonnenen Informationen einen breiten Schutz für alle Nutzer ausrollen.“

Verhaltensbasierte Erkennung von Malware

Ebenfalls in den Bereich der Next-Generation-Technologien fällt der G DATA Behavior Blocker – also die verhaltensbasierte Abwehr von Malware. Hier können verdächtige Aktionen anhand bestimmter Indikatoren geblockt werden.

Diese Form der verhaltensbasierten Malwareerkennung kann zum Beispiel erkennen, wenn Programme automatisch Autostart-Einträge anlegen oder andere verdächtige Werte in der Windows-Systemdatenbank (Registry) verändern. Dies ist besonders bei dateiloser Malware der Fall. Außerdem werden .exe oder .dll-Dateien erkannt, die sich in das Verzeichnis system32 kopieren wollen. Ebenfalls verdächtig ist eine Änderung der hosts-Dateien – hier können Anfragen zu bestimmten IP-Adressen oder Webseiten an eine andere Adresse umgeleitet werden. In der Vergangenheit wurden damit zum Beispiel Angriffe auf Online-Banking durchgeführt. Kommen einige solcher Merkmale zusammen, wird eine Erkennung ausgelöst.

„Zur Sicherstellung der Erkennungsleistung werden in den G DATA SecurityLabs täglich mehrere 100.000 Samples verarbeitet, und unter anderem in einem großen Cluster automatischer Analysesysteme ("Sandboxen") ausgeführt. Die dabei gewonnenen Merkmale werden in Form von täglich mehreren neuen Millionen Knoten und Verbindungen zwischen diesen Knoten in einer riesigen graphenbasierten Datenbank gespeichert“, sagt Siebert. Dadurch kann identifiziert werden, welche Merkmale in welcher Kombination und Gewichtung zu einer Erkennung führen sollen. Dabei kommen auch Machine-Learning-Verfahren unterstützend zum Einsatz.

So können Kunden auch in Zukunft geschützt werden, wenn neue Malware-Familien im Umlauf sind.



Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein