Regelmatig verschijnen er op Techzine gastbijdrages van Eddy Willems, Security Evangelist bij G DATA. Hierin bespreekt hij doorgaans de staat van de securitymarkt. Achter de schermen stemt het beveiligingsbedrijf zijn software natuurlijk af op de ontwikkelingen binnen het landschap. We wilden wel eens wat meer zicht krijgen op de manier van anticiperen door de oplossingen en besloten zodoende in gesprek te gaan met Willems. Zeker gezien de update die de productfamilie onlangs kreeg, G DATA Generation 2019, moet er voldoende zicht zijn op de nieuwe technologieën die toegepast worden door het beveiligingsbedrijf.
Onder de Generation 2019-vlag vallen drie verschillende oplossingen: Antivirus, Internet Security en Total Security. In de basis blijft de productfamilie daarmee intact. Antivirus is de laag die genoeg bescherming belooft bij eenvoudige taken als surfen en gamen, met bijvoorbeeld een traditionele virusscanner. Internet Security breidt de beschermingsmogelijkheden nog wat uit door zaken toe te voegen als firewalls, die automatisch of door zelf opgestelde regels verkeer controleert. De meest uitgebreide versie, Total Security, kent functionaliteiten als een password manager.
De echte vernieuwingen zijn veel meer op detailniveau te vinden, aangezien ze een aantal specifieke dreigingen willen voorkomen. Het maakt daarbij niet uit over welke versie je als gebruiker precies beschikt, de updates treffen iedereen.
Uitsluiten van ransomware
In ons gesprek haalt Willems aan dat de bescherming die G DATA biedt op het gebied van ransomware één van de belangrijkste technologieën is binnen de productfamilie, aangezien ransomware tot de grootste bedreigingen zal blijven horen. Weliswaar vinden we deze beschermingsmethodiek al meer dan anderhalf jaar binnen de oplossingen van het bedrijf, maar de ontwikkeling van deze laag blijft gaande. Dit aangezien het deels om een behevorial blocking-methode gaat, wat de Security Evangelist omschrijft als een vorm van kunstmatige intelligentie. AI is dan logischerwijs een technologie die dagelijks bijleert en wordt in dit geval gecombineerd met het detecteren van een aantal kwaadaardige eerste stappen die er op een apparaat gezet worden.
Willems claimt dat de toegepaste combinatie zelfs bij de gebruiker die als eerste te maken krijgt met nieuwe ransomware 100 procent detectiegarantie biedt. Het zou voortkomen uit het kunnen detecteren van verschillende eigenschappen uit een vroeg stadium van een ransomwareaanval. Denk daarbij aan de eerste stappen bij het versleutelen van twee tot drie bestanden of het wissen van een Shadow Copy. Zo’n Shadow Copy is een onderdeel van Windows dat back-ups of snapshots maakt van verschillende componenten. Het verwijderen van een Shadow Copy wijst dus bijna altijd op een kwaadaardige activiteit.
Bij de detectie van nieuwe ransomware wordt er als het ware een signature aangemaakt voor andere klanten van G DATA. Hiervoor is het noodzakelijk dat er feedback verstuurd wordt naar de cloud na het blokkeren van een nieuwe aanval. G DATA kan hiermee een emulatie uitvoeren van wat er exact gebeurt tijdens de aanval, zodat het meer zicht op de details heeft. De data die hieruit voortkomen zorgen er dus voor dat er een hoop indicatoren van ransomware ontstaan, waarmee voor de detectie rekening gehouden kan worden.
Patent op technologie voor blokkeren Trojaanse paarden
Met de laag die ransomware moet blokkeren heeft G DATA dus een methodiek in huis waarmee het zich wil onderscheiden. Datzelfde geldt voor de gepatenteerde technologie BankGuard. Met BankGuard, eveneens een al wat oudere techniek, gaat de software van G DATA zoveel mogelijk man-in-the-browser aanvallen tegen. Zulke aanvallen zijn gerelateerd aan de wat bekendere man-in-the-middle malware. Over het algemeen wordt aangenomen dat deze vrij lastig te voorkomen zijn. Hierbij wordt namelijk een webbrowser geïnfecteerd met kwaadaardig software, zodat de hacker zich tussen bijvoorbeeld een server en een endpoint bevindt. Vervolgens kan de kwaadwillende allerlei activiteiten uitvoeren, vaak gericht op activiteiten rondom internetbankieren.
Volgens Willems is de truc die G DATA hiervoor gebruikt echter vrij simpel: het in de gaten houden van een aantal DLL’s. In dergelijke bestanden zijn een aantal instructies te activeren voor het uitvoeren van bepaalde taken. Willems geeft aan dat man-in-the-browser aanvallen zo goed als altijd dezelfde DLL’s gebruiken. Dat maakt het eigenlijk een kwestie van precies die DLL’s in de gaten houden. Door er ook een kopie van te maken kan je de aanval eigenlijk counteren. Een methode waarmee G DATA een stapje extra zet ten opzichte van een aantal concurrenten, die traditionele Trojaanse paarden soms door hun programma laten glippen.
G DATA herontwikkelde BankGuard echter op een dusdanige manier dat het nu ook bescherming biedt tegen cryptodiefstal. Er wordt een vergelijkbare werkwijze toegepast om bitcoin- en ethereum-wallets te beveiligen. Het biedt vooral een beschermingslaag die momenteel van belang is, zo legt Willems ons uit. Kwaadwillenden pogen immers regelmatig cryptovaluta te stelen. Toch is het maar de vraag of ze dat op termijn ook nog doen. Willems denkt in ieder geval wel dat het de komende jaren nog gebeurt, maar dat het daarna wegebt. Nu hebben we daarvoor een indicatie met de dalende cryptoprijzen. Dat maakt het iets minder aantrekkelijk. Maar de Security Evangelist denkt dat de daling in populariteit onder cybercriminelen ook aangewakkerd gaat worden door de berg met energie die mining vereist. De combinatie van die factoren maken duistere activiteiten rondom cryptovaluta een forse investering, tegenover relatief weinig opbrengsten in vergelijking met bijvoorbeeld ransomware.
G DATA kan in het geheugen kijken
In principe zijn zowel de bescherming tegen ransomware aanvallen als tegen de man-in-the-browser aanvallen proactieve beschermingslagen die in Generation 2019 verder geoptimaliseerd zijn. Natuurlijk komt de update ook met een aantal geheel nieuwe functies. Eén daarvan omschrijft Willems als een technologie die samenwerkt met de Application Programming Interfaces (API’s) van Microsoft, waardoor ook scripts in het geheugen te detecteren zijn. Specifiek is hiervoor Antimalware Scanning Interface (AMSI) voor geïmplementeerd. Zo kan men opdrachten die dynamisch gegenereerd worden door scripts analyseren, om de dreigingen te stoppen. AMSI is echter een API van Microsoft. Daardoor is de technologie niet te gebruiken voor macOS, wat natuurlijk wel jammer is.
Met het toepassen van deze technologie heeft G DATA dus daadwerkelijk zicht op wat er in het geheugen gebeurt. Op die manier kan men fileless malware tegengaan, zelfs wanneer er geen signatures aanwezig zijn. Op zich een mooie ontwikkeling, aangezien fileless malware over het algemeen beschouwd wordt als één van de grootste en moeilijkste bedreigingen.
Hulp van Bitdefender
De genoemde updates zijn daarmee goed voor een proactieve beschermingslaag, verzekert Willems ons. Als we dat bijvoorbeeld nog op even op cryptojacking betrekken, dan resulteert het enerzijds in een update voor BankGuard. Anderzijds moet hiervoor bescherming zijn door middel van de eigen engine in combinatie met de Bitdefender-engine. Juist die engines vormen de belangrijkste basis van de G DATA producten, aangezien die verantwoordelijk zijn voor de eindresultaten.
We vroegen Willems dan ook naar een specifieke update rondom de twee engines. Zeker ook vanwege de flinke aanwezigheid van de Bitdefender-engine in de security-markt. Producten die draaien op de engine zijn daarmee mogelijk interessanter voor cybercriminelen, aangezien de malware mogelijk ongedetecteerd blijft indien Bitdefender het niet weet op te sporen. Willems verzekert ons echter dat het aan elkaar koppelen er juist voor zorgt dat partij a of partij b juist zo goed als altijd dreigingen kan detecteren. Hierbij spreekt hij over CloseGap technologie: als de Bitdefender-engine het niet vindt, dan doet de G DATA-engine het.
De keuze voor twee engines, en niet volledig op een eigen engine draaien, komt echter ook voort uit eenvoud. Willems erkent dat het ontwikkelteam binnen G DATA misschien kleiner is. Dan kan een bewezen engine als die van Bitdefender uitkomst bieden. Aan de andere kant maakt dat het lastig voor G DATA om te zeggen of het de ambitie heeft ooit compleet zelf op een engine te draaien. Om daadwerkelijk naar zoiets uit te groeien wordt er uiteraard rekening gehouden met de ontwikkelingen in het landschap.
Testen op de achtergrond
Inmiddels weten we ook al dat Generation 2019 een stap is, maar dat er technieken toegevoegd blijven worden. Zo werd even na de lancering DeepRay toegevoegd om gecamoufleerde malware sneller te detecteren. Hierbij wordt gebruikgemaakt van een zelflerend algoritme, zodat verdachte patronen en processen geïdentificeerd en geanalyseerd worden. Uiteraard met als doel om een malwarecampagne in een vroeger stadium tegen te houden.
Willems belooft ons nog meer van dit soort vernieuwingen gedurende het komende jaar. Zo besluit hij ons gesprek door te wijzen op een onderdeel binnen de productfamilie die momenteel niet volledig actief is, maar al wel getest wordt. Exacte details kan hij hierover nog niet delen, al durft hij wel al over het bestaan te praten. Aan de hand van de resultaten wordt uiteindelijk bepaald of men daadwerkelijk doorgaat met het activeren van de functie. Begin volgend jaar zou het definitieve activeren gepland staan. Dat maakt ons in ieder geval benieuwd wat we nog kunnen verwachten van het securitybedrijf.
22 uur geleden
