Maschinenlernen: die neue vorderste Linie bei der Zero-Day-Verteidigung

Wie Sie Ihren Computer so trainieren, dass er Malware aufspürt

Tweet

Die Cybersicherheitsbranche ist ein Schlachtfeld. Black-Hat-Hacker probieren permanent, neue Schwachstellen in Computersystemen aufzuspüren, und die Anbieter hetzen hinterher und versuchen Schwachstellen zu identifizieren und zu beheben. Die Nutzer stecken im Kreuzfeuer.

Die vorderste Front stellen Zero-Day-Angriffe dar. Zero-Day-Schwachstellen sind Sicherheitslücken in Systemen, die böswillige Akteure gefunden haben und die der jeweilige Anbieter noch nicht geschlossen hat. Cyberkriminelle können diese Schwachstellen ausnutzen, um Angriffe zu starten, die die Nutzer nicht unterbinden können. Solange der Anbieter keinen Patch herausgibt, sind die Nutzer ungeschützt.

Noch schlimmer ist, dass die Anti-Malware-Tools, die die Nutzer zu ihrem Schutz gekauft haben, die Angriffe wahrscheinlich ebenfalls nicht abwehren können.

Antivirensoftware entstand gegen Ende der 1980er Jahre als Reaktion auf die zunehmende Anzahl von Viren und Würmern, die damals noch Hobbyentwickler schrieben. Die Antiviren-Tools scannten Dateien auf lokalen Maschinen und glichen sie mit einer wachsenden Liste an Signaturen ab - also digitalen Fußabdrücken in Form von Hashes, die beim Speichern der Dateien erzeugt werden.

Das funktionierte bis zu einem gewissen Punkt. Aber heute kämpfen Scanner auf Signaturbasis auf verlorenem Posten. Die Angreifer haben inzwischen Pack- und Verschlüsselungsprogramme und polymorphe Algorithmen entwickelt, die den Fußabdruck von Dateien verändern, sodass ein Abgleich schwieriger geworden ist.

Vergleichen und gegenüberstellen

Die Anzahl der Malware-Stämme, die die Scanner indizieren und vergleichen müssen, ist exponentiell gestiegen, insbesondere seitdem Malware sich zur Einnahmequelle entwickelt hat. AV-Test, ein unabhängiges Labor, das Antiviren-Software testet, registrierte beinahe 120 Millionen neue Malware-Stämme allein im Jahr 2016; die Gesamtzahl von Malware-Stämmen „in the wild“, also in freier Wildbahn, liegt bei 600 Millionen.

Zero-Day-Angriffe stellen noch eine zusätzliche Herausforderung dar: Da sie vorher noch nicht auf freier Wildbahn registriert wurden, liegen schlichtweg noch keine Dateisignaturen vor. Zudem steigt die Anzahl solcher Angriffe: So hat Symantec 2015 125 Prozent mehr Zero-Day-Schwachstellen verzeichnet als im Jahr davor.

Es sind ganze Marktplätze entstanden, auf denen Informationen zu solchen Schwachstellen verkauft werden. So können böswillige Akteure ihren Opfern einen Schritt voraus sein.

Zero-Day-Exploits werden oft für ganz spezielle Aktionen genutzt, bei denen viel auf dem Spiel steht. Beispiele sind der Stuxnet-Wurm, der 2010 gegen die iranische Urananreicherungsanlage in Natanz gerichtet war, und Aurora, womit 2009 gezielt Unternehmen wie Google und Adobe über ältere Versionen des Internet Explorer angegriffen wurden.

Manche Zero-Day-Angriffe richten sich gezielt gegen bestimmte Einzelpersonen statt gegen Institutionen. So gelang es 2014 Angreifern, die Website der US Veterans Of Foreign Wars zu kompromittieren. Dabei fügten die Angreifer einen iFrame in den HTML-Code ein, über das ein schädliches Adobe-Flash-Objekt von einer fremden Webseite geladen wurde. Das Flash-Objekt nutzte einen unbekannten Fehler in Microsoft IE 10 aus, um ein Backdoor-Programm auf dem PC der Besucher zu installieren.

Vorsicht vor Fancy Bear

Diese als „Operation SnowMan“ bekannte Aktion war ein sogenannter „Wasserstellenangriff“, der darauf abzielte, die Besucher dieser Website zu infizieren. Der Angriff wurde kurz vor dem „Tag des Präsidenten“ (Washingtons Geburtstag), einem amerikanischen Feiertag, gestartet. Im Visier standen speziell US-Militärs - die Angreifer hofften wohl, auf diesem Weg an militärische Geheimnisse zu gelangen.

Vor Kurzem soll die russische Hackergruppe APT28, auch als Fancy Bear bekannt, den Angriff auf den Nominierungsparteitag der Demokratischen Partei begangen und dazu Zero-Day-Schwachstellen ausgenutzt haben. Die Gruppe griff 2015 auch fast 1.900 Personen an, indem sie mehrere Zero-Day-Lücken in Windows, Adobe Flash und Java missbrauchte. Zu den Zielen zählten die Verteidigungsministerien und politischen Führer mehrerer Länder sowie hochrangige NATO-Vertreter.

Vor langer Zeit begannen Antiviren-Unternehmen damit, heuristische Methoden einzusetzen, um damit Malware, inklusive Zero-Day-Angriffe, leichter erkennen zu können. Dazu analysieren sie den Inhalt einer Datei, um herauszufinden, was diese möglicherweise auslöst; eventuell wird die Datei auch in einer Sandbox-Umgebung ausgeführt, um ihr Verhalten zu beobachten. Verhält sie sich wie ein Virus, kommt die Heuristik-Engine wahrscheinlich zum Schluss, dass es tatsächlich ein Virus ist.

Die heuristische Analyse ist allerdings nicht unproblematisch. Es handelt sich dabei um eine Art des Signatur-Scannens, da die Heuristik-Engine eine Datenbank braucht, mit der sie verdächtiges Verhalten abgleichen kann. Außerdem kann die Dateianalyse die Systemressourcen stark strapazieren und ist dafür bekannt, dass sie falsch positive Befunde liefert. In manchen Fällen haben Antiviren-Tools schon „saubere“ Windows-Systeme lahmgelegt, weil ihre Scan-Algorithmen sich geirrt hatten.

Da verwundert es nicht, dass manche Fachleute Antiviren-Tools für tot erklären. So riet erst kürzlich ein Sicherheitsexperte von Google, keine weiteren Investitionen in Antiviren-Schutz zu stecken. Das mutet etwas drastisch an, aber der Trend ist eindeutig: Es ist Zeit für einen neuen Ansatz.

Experten wissen es am besten

Nachdem es für automatisierte Anti-Malware-Tools so schwierig ist, jede schädliche Datei oder jedes schädliche Verhalten zu prüfen, sollten diese Tools vielleicht ganz damit aufhören. Stattdessen sollten sie lernen, wie Menschen zu denken.

Experten für Cybersicherheit neigen eher dazu, ihrer Nase zu folgen. Sie sind schon so lange dabei, dass sie gelernt haben, welches Verhalten riskant ist. Mithilfe von Maschinenlernen kann man Computern das beibringen, was die menschlichen Experten wissen.

Während herkömmliche Antiviren-Algorithmen Dateien und Verhalten mit einer langen Liste vergleichen, lernen Künstliche-Intelligenz-Systeme anhand von Millionen von Dateien, die bereits als schädlich oder gutartig klassifiziert wurden. Beim Maschinenlernen extrahiert das System ein riesiges Spektrum an technischen Charakteristika aus diesen Dateien und nutzt diese dann, um zu lernen, was eine schädliche und was eine gutartige Datei ausmacht.

Unternehmen können solche Maschinen in Betrieb nehmen und ständig ihr Wissen darüber, was schädliches Verhalten ist, aktualisieren und anpassen. Wenn die Maschinen neue Dateien scannen, vergleichen sie sie mit einem statistischen Modell, das weitaus leichter handhabbar ist als eine gewaltige, Ressourcen verschlingende Liste von Hashes.

Das erhöht nicht nur die Performance, sondern auch die Wahrscheinlichkeit, dass man Zero-Day-Bedrohungen entdeckt. So kann eine Kombination verschiedener Verhaltensweisen, die bei einem herkömmlichen heuristischen Scansystem keinen Alarm auslösen, bei einer Maschinenlernen-Lösung die rote Fahne hochgehen lassen.

Angesichts einer Historie voller Kompromisse und Datenschutzverletzungen ist es offensichtlich, dass die bisherigen Modelle nicht funktionieren. Bereits heute nutzen wir Maschinenlernen, um Aufgaben zu automatisieren, für die sich herkömmliche Algorithmen nicht gut eignen, beispielsweise bei der Spracherkennung oder bei der Steuerung von Autos.

Es ist an der Zeit, diese Algorithmen auf die sich schnell weiterentwickelnde Malware loszulassen.