In den letzten Jahren gelang es Cyberkriminellen, die wirtschaftliche Last im endlosen Katz-und-Maus-Spiel der IT-Sicherheit auf die Verteidiger abzuwälzen.
Malware-Autoren verkürzen ständig den Update-Zyklus ihrer bösartigen Software, indem sie automatisch Verschleierungsmuster auf ihre Proben anwenden. Malware-Autoren schränken auch die Menge ihres eigenen, auf einem Rechner sichtbaren Codes stark ein, indem sie bei so genannten "Living-off-the-land"-Angriffen Stock-Tools verwenden oder ihre Malware überhaupt nicht auf der Festplatte speichern, was als "dateifreie Malware" bezeichnet wird.
All diese Techniken schränken die Wirksamkeit der traditionellen statischen Mustererkennung ausdrücklich ein. Aus der Sicht der Angreifer sind diese Techniken relativ kostengünstig in der Implementierung. Hingegen erhöhen Angriffe mit diesen Techniken die Kosten für die Verteidiger erheblich, um einen umfassenden Schutz aufrechterhalten zu können.
Um diese Einschränkungen zu überwinden, sind ein Paradigmenwechsel und neue Erkennungsansätze erforderlich. Ein hier diskutierter Ansatz basiert auf Machine Learning in Kombination mit einer eingehenden Gedächtnisanalyse. Der andere Ansatz besteht darin, das gesamte Systemverhalten in einer Graphen-Datenbank zu speichern und diesen Graphen auf bekanntes bösartiges Verhalten zu scannen.
Malware kann ihr äußeres Erscheinungsbild leicht verändern, doch die bei Malware-Angriffen verwendeten Taktiken, Techniken und Verfahren (TTPs) bleiben unverändert. Während Malware ihr Vorhandensein auf der Festplatte leicht verschleiern oder verbergen kann, sind Aktionen innerhalb des Prozessspeichers und Interaktionen mit dem System weiterhin sichtbar und können daher auch erkannt werden.
In diesem Vortrag werden die Auswirkungen aktueller Malware-Beispiele aus der realen Welt auf traditionelle Erkennungsmethoden untersucht. Wir zeigen außerdem, wie die diskutierten Schutztechnologien eine zuverlässige Erkennung ermöglichen.
