Post Image

BEAST i DeepRay: „Przesunęliśmy granice.“

2021-09-22 15:33:00

Wraz z DeepRay i BEAST w G DATA w walce z cyberatakami znalazły zastosowanie innowacyjne technologie. Oba systemy zmieniły i ułatwiły pracę analityków ds. bezpieczeństwa informacji. Co się zmieniło i jakie nowe możliwości oferują BEAST i DeepRay, wyjaśniają Karsten Hahn i Antonia Montesino.

Walka z cyberprzestępczością jest równoznaczna z walką z czasem.Szybkość jest jednym z istotnych czynników przy identyfikacji i odpieraniu cyberataków. Aby być o krok przed atakującymi, G DATA stawia z jednej strony na Sztuczną Inteligencję (DeepRay), z drugiej strony na nowoczesną analizę operacyjną (BEAST). DeepRay pozostaje w użytkowaniu od ponad trzech lat, a BEAST też broni klientów przed atakami już od jesieni 2019 r. Okazuje się, że działanie ochronne rozwiązań zabezpieczających poprawiło się. Oba systemy pracują niezależnie od siebie i zapobiegają znacznej liczbie ataków.

DeepRay: Wiem, że szkodzisz!

DeepRay identyfikuje złośliwe oprogramowanie bezpośrednio w pamięci podręcznej, gdzie kod nie może się ukryć. Korzyść: Zewnętrzna otoczka nie ma wpływu na technologię, która skanuje jądro. W związku z tym sygnatury żyją znacznie dłużej niż klasyczne sygnatury złośliwego oprogramowania i są gotowe do użytku przez wiele lat. W przypadku innych skanerów wirusów są one aktualne tylko przez godziny lub minuty, ponieważ skanują tylko zewnętrzną otoczkę, a cyberprzestępcy zmieniają je niemal w odstępach minutowych przy pomocy programów do kompresji plików. Aktualnie aktywnych jest ponad 2.000 sygnatur DeepRay, niektóre z nich już od uruchomienia. Poza tym: Jeśli sygnatury DeepRay uderzają, stosowane są także w innych elementach zabezpieczających. Jednak również w życiu codziennym pojawiają się kolejne korzyści. W ten sposób technologia pomaga w wykrywaniu nowego oprogramowania złośliwego. Dzieje się to przy wykorzystaniu tak zwanych "sygnatur polujących". Są to ciche sygnatury, stosowane wyłącznie do przesyłania telemetrii. "Sygnatury polujące" są bardziej agresywne niż sygnatury identyfikujące, ale nie wywołują alarmu u klientów. Dzięki temu mogą dostarczyć informacji o nowym oprogramowaniu złośliwym. Informacje te wykorzystują analitycy wirusów do poprawy istniejących sygnatur identyfikujących lub do napisania nowych sygnatur identyfikujących.

DeepRay stosuje się również do rozpoznawania bezplikowego oprogramowania złośliwego. Przykładem może być GooLoad względnie GootLoader. Jako "Initial-Access-As-a-Service"-Provider oprogramowanie złośliwe przejmuje początkową infekcję dla szeregu różnych rodzin wirusów, zwłaszcza Remote Access Trojaner. Dba o bezplikową trwałość w rejestrze i tą drogą rozsyła szkodliwe programy ze znanej rodziny wirusów Kronos, Gootkit, REvil, njRAT czy Remcos. Użytkownicy pobierają GooLoad względnie GootLoader za pośrednictwem skompromitowanych stron internetowych, które dzięki Search-Engine-Poisoning wskazywane są wysoko jako wynik w wyszukiwarkach zapytań. Dlatego użytkownicy nie wątpią w powagę strony. DeepRay zidentyfikował payload znanych rodzin wirusów Gozi, Gootkit, njRAT i dzięki telemetrii analitycy wirusów mogli znaleźć GootLoader. Tu tkwi siła DeepRay. Mimo że payload nigdy nie pojawia się na dysku twardym, lecz spoczywa zawoalowany w rejestrze, DeepRay potrafił zidentyfikować tę drogę ataku. Inne metody bazujące na sygnaturach często potrzebują do analizy pliku zapisanego na dysku twardym.

Dzięki DeepRay i BEAST przesunęliśmy granice. W ten sposób DeepRay ułatwia pracę analitykom wirusów. Już nie prowadzimy pościgu za autorami złośliwego oprogramowania i możemy się teraz koncentrować na trudnych przypadkach. Dzięki DeepRay mogliśmy jeszcze raz polepszyć sprawność identyfikacyjną naszych rozwiązań zabezpieczających, co potwierdzają też doskonałe wyniki testów przeprowadzanych przez niezależne instytuty.

Karsten Hahn
Analityk wirusów

DeepRay - krótkie wyjaśnienie

Tok myśli według DeepRay: Cyberprzestępcy wykorzystują na ogół wciąż te same jądra oprogramowania złośliwego. Aby je chronić przed wykryciem, atakujący stosują programy do kompresji plików, by skompresować złośliwy kod, lub stawiają na różne rodzaje zawoalowań, aby uniknąć statycznego odkrycia. Właściwe jądro oprogramowania złośliwego zostaje rozpakowane dopiero w pamięci podręcznej. Założeniem DeepRay jest rozpoznanie obecności zewnętrznej otoczki z siecią neuronową.

Obecność zewnętrznej powłoki nie wystarcza jednak do wysnucia wniosku o rzeczywistym działaniu szkodliwym. Także legalne oprogramowanie czasem stosuje porównywalne metody, na przykład w kontekście systemów zabezpieczeń antypirackich. Dlatego DeepRay po zidentyfikowaniu zewnętrznej otoczki przeprowadza pogłębioną analizę pamięci w celu rozpoznania znanych jąder oprogramowania złośliwego

Chodzi tu przede wszystkim o to, by unieważnić model działania cyberprzestępców: Wymiana zewnętrznej otoczki jest relatywnie korzystna z punktu widzenia atakującego. W przypadku bazujących na sygnaturach metodach identyfikacji każdą otoczkę trzeba rozpoznać oddzielnie, co z punktu widzenia tradycyjnych producentów programów antywirusowych jest procesem kosztownym. Atakujący są więc na korzystnej pozycji. Natomiast w przypadku DeepRay dla uniknięcia zidentyfikowania atakujący muszą wciąż zmieniać swe jądro oprogramowania, co dla cyberprzestępców stanowi proces wymagający nakładów.

BEAST: Na tropie szkodliwego procesu

Oparta na Sztucznej Inteligencji (SI) technologia, jak np. DeepRay, ma swoje granice. Tu zastosowanie znajduje BEAST. W centralnym punkcie technologii stoi grafowa baza danych, w której zapisywane są działania programów pracujących w systemie. BEAST łączy ze sobą wszystkie działania w grafie i umożliwia analitykom wirusów zdefiniowanie zasad dotyczących złośliwych wzorów zachowań również poza sekwencją procesów. Dzięki temu można zidentyfikować nawet silnie zawoalowane oprogramowanie złośliwe. Realizowany program zostaje tu zmieniony, a zachowanie programu nie ulega zmianie. BEAST uważa na zachowanie i nie daje się zmylić. Tym sposobem można również zdemaskować bezplikowe oprogramowanie złośliwe. Przeciętnie analitycy oglądają od 3 do 20 kroków procesowych i otrzymują wiele informacji o oprogramowaniu i jego plikach. W ten sposób można również poznać, czy pliki są sygnowane, czy niesygnowane. Doświadczenie dowodzi, że wiele zasad BEAST ma długi żywot, ponieważ definiują one jako szkodliwe określone zachowanie, gdy na przykład plik Windows zostanie zastąpiony plikiem niesygnowanym. Takie zasady zastosować można do dużej liczby ataków, a poza tym dotyczą one wielu rodzin wirusów. Inne zasady ilustrują z kolei kompleksowe zachowanie. Są one ukierunkowane na specjalne rodziny lub też na bardzo specyficzne zachowanie, tak że liczba trafień coraz bardziej zmniejsza się z upływem czasu. Czasami specjaliści piszą też dwie zasady, ponieważ w różnych miejscach w różnych momentach oprogramowanie zachowuje się podejrzanie.

Szczególnym wyzwaniem w codziennej pracy z BEAST jest ostrość rozdziału między zachowaniem jednoznacznie dobrym a jednoznacznie złym. Analitycy wirusów muszą wciąż zajmować się zagadnieniem, dlaczego legalne oprogramowanie zachowuje się tak dziwnie, że działa niczym oprogramowanie złośliwe. Takich niespodzianek dostarcza zwłaszcza bardzo sepcjalne oprogramowanie dla poszczególnych grup zawodowych. Aby zminimalizować związane z tym zagrożenie komunikatami false-positive, zasady są ciągle dostosowywane i rozbudowywane o aktualne informacje.

Wizualizacja struktury grafu przez BEAST ułatwia identyfikację złośliwego oprogramowania, ponieważ można obserwować i śledzić to, co się dzieje. Poza tym dostajemy dodatkowe informacje, dzięki którym doskonale rozumiemy, co oprogramowanie robi w określonym momencie.

Antonia Montesino
Analityczka wirusów

BEAST - krótkie wyjaśnienie

BEAST wybiera radykalniejsze podejście niż dotychczasowe technologie do analizy zachowań.Zamiast agregować podejrzane działania do wartości numerycznej, technologia ta przedstawia procesy w grafie. W tym celu stworzona została ukierunkowana na wydajność grafowa baza danych, która pracuje miejscowo na komputerze klientów G DATA. Zaleta grafowej bazy danych: Przedstawia ona kompletny obraz, który jednoznacznie identyfikuje zagrożenia. Jeśli przykładowo użytkownik uruchomił Outlook, a następnie otwiera mail z załączonym archiwum Zip, to samo w sobie nie jest podejrzane. Jeśli natomiast w archiwum Zip zawarty jest plik Word z makrem, które otwiera Powershell, i stamtąd pobiera i uruchamia wykonywalny plik z internetu, mamy do czynienia ze znanym wektorem infekcji szkodliwego oprogramowania. BEAST jest poza tym w stanie usunąć złośliwe zachowanie zidentyfikowanego oprogramowania, względnie przywrócić pierwotny stan sprzed infekcji. Do tego również wykorzystuje się gafową bazę danych, ponieważ złożone tam są wszystkie działania wykonane przez złośliwe oprogramowanie, tak że w celu przywrócenia stanu trzeba się tylko "cofnąć" po grafie.

Wniosek: BEAST i DeepRay działają

Jak skuteczne mogą być obie technologie, pokazują scenariusze testowe: Jeśli stosuje się BEAST i DeepRay bez innych technologii zabezpieczających, to wspólnie identyfikują one ponad 90 procent aktualnych zagrożeń.

Media: