Alternative zur Schwellenwert-Ermittlung

Angriffe mittels Graph aufspüren

08. Juni 2020, 07:00 Uhr   |  Thomas Siebert/wg

Angriffe mittels Graph aufspüren
© G Data

Ein typischer Angriffsweg über Outlook: Ein Zip-Archiv im Attachment enthält eine Word-Datei mit einem Makro, das die PowerShell öffnet und von dort aus eine ausführbare Datei aus dem Internet nachlädt.

Cybercrime ist ein Milliardengeschäft. Ob durch Erpressung mit Ransomware, Datenspionage und -hehlerei oder Manipulationen im digitalen Zahlungsverkehr: Die Musteranalyse mittels Graphen ermöglicht es der Verteidigung, einen Angriff schneller und zuverlässiger zu erkennen.

Um ihre Einnahmen nicht versiegen zu lassen, arbeiten Malware-Autoren konsequent daran, einer Erkennung durch Antivirenlösungen zu entgehen. Dazu nutzen die Kriminellen Untergrund-Services, die regelmäßig automatisiert prüfen, ob Sicherheitshersteller in der Lage sind, ihre Schadsoftware zu enttarnen. Ist das der Fall, wird der Schadcode automatisch verändert, bis die Erkennung ausbleibt.
Um mit der zunehmenden Geschwindigkeit Schritt zu halten, setzen immer mehr Anbieter auf KI-Technik, um Malware-Samples schnell und effektiv zu entdecken.

Doch nur bekannte und immer wieder neu verpackte Schädlinge aufzuspüren reicht heute nicht mehr aus. Angriffe, erfolgen immer gezielter – gerade gegen Unternehmen. Dabei setzen Kriminelle immer häufiger auch bislang unbekannte Malware oder spezialisierte Schadsoftware ein, von der es nur wenige bekannte Samples gibt. Oder sie führen ungefährliche Tools zusammen, die in ihrer Gesamtwirkung schadhaft sind. Diese Angriffe sind für Antivirenlösungen besonders schwer zu finden. Verhaltensüberwachung hilft hier, schadhafte Prozesse aufzuspüren. Diese analysiert das Verhalten von Prozessen auf dem Computer und überwacht dabei Änderungen im Dateisystem und in der Registry, insbesondere an verdächtigen Stellen wie dem Autostart-Ordner.

Fehlalarme duch willkürliche Schwellenwerte

Das Problem: Bestehende verhaltensbasierte Erkennungsansätze versuchen, möglicherweise bedrohliches Verhalten in numerische Werte zu übersetzen – also einen Grad von „Schädlichkeit“ festzustellen. Bei der Aggregation des numerischen Werts entsteht eine gewisse Unschärfe, weil notwendigerweise immer Information verloren gehen – selbst wenn zum Erlernen von Schwellenwerten Machine Learning (ML) zum Einsatz kommt. Damit lassen sich zwar durchaus auch unbekannte Malware-Familien aufspüren, die Technik ist aber für Fehleinschätzungen anfälliger als andere Erkennungsverfahren. Entweder wird der Schwellenwert für die Erkennung so hoch angesetzt, dass die Abwehrlösung kaum noch Schadsoftware erkennt. Oder der Schwellenwert wird so niedrig angesetzt, dass häufig Fehlalarme (False Positives) auftreten.

Solche False Positives kommen wegen des Einsatzes spezialisierter Software besonders häufig im Unternehmensumfeld vor. Dort sind sie gleichzeitig ein besonders großes Problem. Denn wer unnütze Warnungen erhält, beginnt leicht, diese zu ignorieren. Und wenn die Beseitigung von False Positives vermeintlich mehr Kosten verursacht als eine Infektion, schalten Unternehmen die Verhaltensüberwachung oft einfach ab.

erfolgreicher Angriff
© G Data

Bild 1: Ein Beispiel für einen erfolgreichen Angriff, bei dem die Angreiferseite offenbar den Endanwender dazu gebracht hat, einen schädlichen Download per Web-Browser zu öffnen.

Analyse via Graphdatenbank

Die Untersuchung der Daten mit Hilfe von Graphen wählt einen radikal anderen Ansatz als bisherige Techniken der Verhaltensanalyse. Denn statt verdächtige Aktionen in einem numerischen Wert zu aggregieren, zeichnet diese Technik die Prozesse in einem Graphen nach. Um die Graphen für die spätere Analyse nutzbar zu machen, werden sie in einer Graphdatenbank gespeichert, die lokal auf dem jeweiligen Endgerät liegt. Für die schnelle Verfügbarkeit und Echtzeitanalyse ist es von entscheidender Bedeutung, dass die Datenbank responsiv und leistungsstark konzipiert ist. Idealerweise kommt eine Performance-optimierte Graphdatenbank zum Einsatz, um eine schnelle Kommunikation und Verarbeitung der erhobenen Daten zu ermöglichen.

Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig identifiziert. Hat ein Nutzer beispielsweise Outlook gestartet und öffnet dann eine E-Mail mit einem angehängten Zip-Archiv, ist das nicht per se verdächtig. Ist in dem Zip-Archiv aber eine Word-Datei mit einem Makro enthalten, ist Vorsicht geboten. Ist das Macro in der Lage, via PowerShell ausführbare Dateien aus dem Internet nachzuladen und zu starten, handelt es sich um einen bekannten Infek-tionsvektor von Schadsoftware (Teaserbild). Gleichzeitig dürfte es keine in alltäglichen Situationen vorkommenden legitimen Verwendungen dieses Graphen geben.

Ein weiteres Beispiel findet sich in Bild 1: Der Angreifer hat offenbar einen Nutzer dazu gebracht, einen schädlichen Download per Web-Browser zu öffnen – oder der Nutzer wurde Opfer einer Sicherheitslücke, die der Angreifer per Exploit ausgenutzt hat. Beim schädlichen Download malware.exe handelt es sich unverkennbar um eine Ransomware, die Daten des Nutzers verschlüsselt und für die Entschlüsselung ein Lösegeld fordert.

Das zeigt sich darin, dass der Prozess erst eine Instanz des Systemwerkzeugs bcdedit öffnet, um die Wiederherstellungsfunktion von Windows zu deaktivieren. Gleichzeitig verhindert das Systemwerkzeug vssadmin das Anlegen von Volume Shadow Copies, die dazu dienen, kürzlich versehentlich überschriebene Dateien wiederherzustellen. Dies ist eine typische Vorbereitungshandlung von Ransomware. Anschließend beginnt der Schadcode, Dateien im Nutzerverzeichnis zu verschlüsseln.

Schadensbegrenzung

Es ist möglich, die Informationen über verdächtige Prozesse in der Graphdatenbank für einige Zeit vorzuhalten. So kann man Aktionen von Malware auch nach einer Infektion rückgängig machen. Anders als bei herkömmlicher Verhaltenserkennung bleiben die im Graphen gespeicherten Informationen auch nach einem Neustart des Rechners erhalten. Das bedeutet: Wird auf dem System Malware installiert, die zu diesem Zeitpunkt noch unerkannt blieb, kann man mittels „Retrospective Removal“ die Installation der Malware vollständig rückgängig machen. Der Abgleich von Indikatoren aus dem aufgezeichneten Graphen mit anderen Komponenten – etwa der File-Cloud, die Hashwerte bekannter Malware-Samples vorhält und deren Ausführung blockiert – ermöglicht eine Wiederherstellung der Daten in den Zustand vor dem Schadsoftware-Befall.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

LANline

Endpoint-Sicherheit