Aktuelles, Experten - geschrieben von cp am Mittwoch, August 15, 2018 16:42 - noch keine Kommentare
Neuer Ansatz zur Erkennung von Malware in Bilddateien
Fraunhofer-Wissenschaftler entwickeln Methode zur Entdeckung von Anomalien
[datensicherheit.de, 15.08.2018] Im Dschungel der Cyberbedrohungen kommen immer wieder neue Methoden ans Licht, derer sich Angreifer bedienen. Gut getarnte Angriffsmuster und stetig an Fortschritt wachsende Varianten ermöglichen Cyberkriminellen Zugang zu fremden Netzwerken. Auch in Bilddateien, zum Beispiel in dem weit verbreiteten JPEG-Format, kann sich Malware verbergen, auf diese Weise bestehende Schutzsysteme umgehen, Computer und Netzwerke infizieren oder unbemerkt vertrauliche Daten ausschleusen. Jonathan Chapman, Wissenschaftler am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, hat sich diesem Problem angenommen und eine Methode entwickelt, die Anomalien in Bilddateien aufspürt und diese anhand ihrer ungewöhnlichen Struktur herausfiltert und erkennt. Ihre Funktion hat er anhand eines Datensatzes von über 500.000 Bilddateien erfolgreich überprüft. Im Rahmen des „USENIX Security Symposiums“, das vom 15. bis 17. August 2018 in Baltimore stattfindet, stellt der FKIE-Wissenschaftler seine Ergebnisse erstmals vor.
Der Ansatz, den der IT-Experte aus der Abteilung „Cyber Analysis and Defense“ entwickelt hat, erkennt durch die Einbettung von Malware-Daten bedingte strukturelle Anomalien in Bilddateien. Dies kann dazu genutzt werden, um in einem solchen Fall einen Alarm auszulösen und die Übertragung zu unterbrechen. Besonders ist an dem Ansatz, dass er nicht eine bestimmte Form von Malware erkennt, sondern signifikante Strukturanomalien in Bilddateien ausreichen, um eine verdeckt kommunizierende Malware zu detektieren.
SAD THUG, kurz für „Structural Anomaly Detection for Transmissions of High-value Information Using Graphics“ – unter diesem Titel stellt Jonathan Chapman den Ansatz in Baltimore vor –, erkennt, wie die Strukturen von Bilddateien aussehen müssen, um diese als gut oder bösartig zu klassifizieren. Im Gegensatz zu einem bereits existierenden Ansatz wurde zur Erkennung von strukturellen Anomalien bei JPEG-Dateien auch Maschinelles Lernen eingesetzt und so anhand großer Datensätze erlernt, wie die Struktur nicht-infizierter Bilddateien auszusehen hat.
Mehr als 500.000 Bilddateien hat der FKIE-Wissenschaftler als Grundlage für „SAD THUG“ verwendet. Die Ergebnisse sind beeindruckend: Bei JPEG-Dateien (511.024) lag die Rate bei der Erkennung von Malware bei 99,24 Prozent und weist zugleich eine äußerst niedrige Falsch-Positiv-Rate von 0,52 Prozent auf. Bei PNG-Dateien lag das Ergebnis aufgrund des deutlich kleineren Datensatzes von nur 60.083 Bilddateien und des damit verbundenen geringeren Lerneffekts der Software bei einer Falsch-Positiv-Rate von 1,1 Prozent. Allerdings wurden auch hier 99,32 Prozent der Malware-Bilder korrekt erkannt.
Somit bietet »SAD THUG« Computernutzern und vor allem IT-Administratoren weltweit eine sehr effektive Lösung für das Problem in Bilddateien eingebetteter Schadsoftware. Denn nicht nur in Dateien, die E-Mails anhängen, kann sich eine solche Malware verbergen, sondern auch in den tagtäglich millionenfach in den Sozialen Netzwerken wie Facebook und Twitter verwendeten Bilddateien.
Über sie hielt beispielsweise die Ransomware „CryLocker“ den Kontakt zu ihren Autoren. Diese Form von Malware verschlüsselt wichtige Dateien der infizierten Nutzersysteme mit einem geheimen Code, den die Autoren nur nach Zahlung eines Lösegelds (»ransom«) bereitstellen. Aktuellen Schätzungen zufolge entstand der Weltwirtschaft hierdurch 2017 ein Schaden in Höhe von mehr als 4,3 Milliarden Euro.
Chapman: „Der neue Ansatz erkennt nicht nur eine bestimmte Methode zum Verstecken von Schadsoftware-Informationen, sondern buchstäblich jede Methode, die die Struktur einer Containerdatei verändert. Viele der Angriffe, die in den vergangenen Monaten bekannt geworden sind, nutzen Werkzeuge, die mit ›SAD THUG‹ hätten erkannt und unter Umständen frühzeitig abgewehrt werden können. Das gilt nicht zuletzt auch für die dem russischen Geheimdienst zugerechnete Hammertoss-Malware.“
Weitere Informationen zum Thema:
datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware
datensicherheit.de, 16.03.2018
Jede vierte mobile Malware nutzt schlüpfrige Inhalte zur Verbreitung
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren