Next-Generation Antivirus: Warum Virustotal nicht immer ein guter Indikator für Malware-Erkennungen ist

Zurück zu

Antivirenprogramme arbeiten längst nicht mehr nur mit Malware-Signaturen. Lesen Sie hier, welche Next-Generation-Technologien G DATA nutzt und wie sie davon profitieren können.

Virustotal ist seit Jahren ein verlässliches Werkzeug für alle, die beruflich mit Malware zu tun haben. Schnell lässt sich hier eine Datei hochladen oder mit Hilfe eines Hashwertes überprüfen, ob Virenscanner aktuelle Malware bereits erkennen. Gern wird Virustotal auch von Medien genutzt um zu überprüfen, ob es gegen aktuell laufende Malware-Kampagnen bereits effektiven Schutz durch Virenscanner gibt, oder nicht.

Doch gerade bei sehr aktuellen und kurzlebigen Kampagnen zeichnet der Dienst häufig ein ungenaues Bild. Denn am Anfang der Verbreitung neuer Schadsoftware, wie bei der Ransomware-Kampagne gegen Personalabteilungen mit GandCrab, wird Schadsoftware von den Antiviren-Programmen der meisten Sicherheitsunternehmen vor allem durch pro-aktive Erkennungstechnologien und den Abgleich von Datei-Hashwerten mit den Clouddiensten der jeweiligen Hersteller erkannt. Virustotal bildet aber nur den „klassischen“ Weg der signaturbasierten Erkennung ab. Ander gesagt: „Virus Total ist ein guter Indikator für die Erkennung von Malware. Die Plattform eignet sich aber nicht, um festzustellen welche Malware derzeit nicht erkannt wird“, sagt Ralf Benzmüller, Executive Speaker der G DATA Security Labs.

Während die Virustotal-Übersicht bei der beispielhaften GandCrab-Kampagne also noch anzeigte, dass nur weniger Hersteller die Samples als schädlich erkennen, konnten G DATA und sicherlich auch andere Hersteller Infektionen bereits erfolgreich verhindern. „Wir können dank unserer Filecloud und anderer NGAV-Technologien sehr schnell auf neue Malware-Kampagnen reagieren. In einigen der jüngsten Fälle haben wir allein damit 11,6 Prozent der Infektionsversuche geblockt.“ sagt Thomas Siebert, Leiter Protection Technologies bei G DATA.

Antivirensoftware: Schon lange mehr als nur Signaturen

Die Antivirusindustrie hat in den vergangenen 20 Jahren eine enorme Entwicklung durchgemacht. Weil Malwaresamples in immer schnelleren Schüben verändert werden um einer Erkennung zu entgehen, setzen fast alle Hersteller auf Next-Generation-Antiviruskomponenten. Im Falle von G DATA ist das zum einen die erwähnte Filecloud, mit der verdächtige Samples deutlich schneller blockiert werden können als durch Signaturupdates. Doch die Filecloud ist nur ein Teilstück unseres selbstlernenden Gesamtsystems.

Dazu gehört auch die von G DATA entwickelte Anti-Ransomware-Technologie, die zuverlässig vor der Verschlüsselung der Festplatte schützt. Bei Privatkunden ist diese Komponente standardmäßig eingeschaltet, Businesskunden müssen die Funktion manuell aktivieren – und werden bei der Einrichtung der G DATA Software entsprechend beraten. Die Technologie schaut im Hintergrund, ob verdächtige Befehle wie eine massenhafte Verschlüsselung von Dateien angestoßen werden, ohne dass der Nutzer dies in Auftrag gegeben hat. „Die Anti-Ransomware-Technologie ist für uns oft ein Frühwarnsystem,“ sagt Siebert. „Denn wenn eine bislang nicht erkannte Datei schadhafte Aktionen ausführt, können wir diese zur genauen Analyse anfordern und mit den gewonnenen Informationen einen breiten Schutz für alle Nutzer ausrollen.“

Verhaltensbasierte Erkennung von Malware

Ebenfalls in den Bereich der Next-Generation-Technologien fällt der G DATA Behavior Blocker – also die verhaltensbasierte Abwehr von Malware. Hier können verdächtige Aktionen anhand bestimmter Indikatoren geblockt werden.

Diese Form der verhaltensbasierten Malwareerkennung kann zum Beispiel erkennen, wenn Programme automatisch Autostart-Einträge anlegen oder andere verdächtige Werte in der Windows-Systemdatenbank (Registry) verändern. Dies ist besonders bei dateiloser Malware der Fall. Außerdem werden .exe oder .dll-Dateien erkannt, die sich in das Verzeichnis system32 kopieren wollen. Ebenfalls verdächtig ist eine Änderung der hosts-Dateien – hier können Anfragen zu bestimmten IP-Adressen oder Webseiten an eine andere Adresse umgeleitet werden. In der Vergangenheit wurden damit zum Beispiel Angriffe auf Online-Banking durchgeführt. Kommen einige solcher Merkmale zusammen, wird eine Erkennung ausgelöst.

„Zur Sicherstellung der Erkennungsleistung werden in den G DATA SecurityLabs täglich mehrere 100.000 Samples verarbeitet, und unter anderem in einem großen Cluster automatischer Analysesysteme („Sandboxen“) ausgeführt. Die dabei gewonnenen Merkmale werden in Form von täglich mehreren neuen Millionen Knoten und Verbindungen zwischen diesen Knoten in einer riesigen graphenbasierten Datenbank gespeichert“, sagt Siebert. Dadurch kann identifiziert werden, welche Merkmale in welcher Kombination und Gewichtung zu einer Erkennung führen sollen. Dabei kommen auch Machine-Learning-Verfahren unterstützend zum Einsatz.

So können Kunden auch in Zukunft geschützt werden, wenn neue Malware-Familien im Umlauf sind.


Über G DATA

IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des Antivirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 30 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.
Testergebnisse beweisen: IT Security „Made in Germany“ schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest Internet Security-Produkte. In allen zehn Tests, die von 2005 bis 2017 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA Internet Security von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frankreich, Italien, den Niederlanden, Österreich, Spanien und den USA.
Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.
G DATA ist Lösungspartner der Microsoft Cloud Deutschland und ist als einziger Antiviren-Hersteller mit einer speziell auf die Azure-Architektur abgestimmten Managed Endpoint Security vertreten.
Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de.

Share this post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Zurück zu