Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

„Email-Sec-360°“ arbeitet genauer als marktübliche Antivirus-Software namhafter Anbieter

[datensicherheit.de, 20.07.2018] Forscher der „Malware Labs“ der Ben-Gurion-Universität des Negev (BGU) haben nach eigenen Angaben eine neue Methode entwickelt, um unbekannte, bösartige E-Mails zu erkennen – diese arbeitet demnach genauer als die gängigsten Antivirus-Softwareprodukte.

Regelbasierte Methoden stoßen an ihre Grenzen

E-Mails werden von Angreifern häufig verwendet, um Opfern gefährliche Inhalte wie Anhänge oder Links zu bösartigen Websites zu übermitteln.
„Vorhandene E-Mail-Analyse-Lösungen analysieren nur bestimmte E-Mail-Elemente mit regelbasierten Methoden und analysieren keine anderen wichtigen Teile“, erläutert Dr. Nir Nissim, Leiter des „David and Janet Polak Family Malware Lab“ bei „Cyber@BGU“, und Mitglied der Fakultät für Wirtschaftsingenieurwesen. „Darüber hinaus verwenden existierende Antiviren-Engines primär signaturbasierte Erkennungsmethoden und reichen daher nicht aus, um neue, unbekannte schädliche E-Mails zu erkennen“, so Dr. Nissim.

„Email-Sec-360°“ nutzt Methoden des Maschinellen Lernens

Die neue Methode, genannt „Email-Sec-360°“, wurde laut BGU von Aviad Cohen, einem Doktoranden und Forscher am BGU-Malwarelabor, entwickelt. Die zugehörige, in der exklusiven Fachzeitschrift „Expert Systems with Applications“ veröffentlichte Studie basiere auf Methoden des Maschinellen Lernens und nutze 100 allgemeine beschreibende Merkmale, die aus allen E-Mail-Komponenten extrahiert würden, einschließlich Header, Body und Attachments.
Diese Methode erfordere keinen Internetzugang, so dass sie von Einzelpersonen und Organisationen eingesetzt werden könne und eine verbesserte Erkennung von Bedrohungen in Realzeit ermöglicht.

Analyse von Anhängen wie pdf-Dateien und „Microsoft Office“-Dokumenten folgt

Für ihre Experimente hätten die Forscher eine Sammlung von 33.142 E-Mails (12.835 bösartige und 20.307 gutartige) verwendet, die zwischen 2013 und 2016 erstellt worden seien. Sie hätten ihr Erkennungsmodell mit 60 branchenführenden Antiviren-Engines sowie früheren Untersuchungen verglichen und festgestellt, dass ihr System die Software bekannter Anbieter übertreffe.
„In zukünftigen Arbeiten erweitern wir unsere Recherche und integrieren die Analyse von Anhängen wie PDFs und Microsoft Office-Dokumenten in ,Email-Sec-360°‘, da diese häufig von Hackern genutzt werden, um Viren und Malware zu öffnen und zu verbreiten“, sagt Dr. Nissim. Diese Analysemethoden seien bereits am „David und Janet Polak Family Malware Lab“ der BGU entwickelt worden.

Analyse-Website in der Diskussion

Die Entwickler im „Malware Lab“ dächten zudem darüber nach, ein Online-System zu entwickeln, das das Sicherheitsrisiko einer E-Mail-Nachricht bewertet. Es würde auf fortschrittlichen Methoden des Maschinellen Lernens basieren und es Benutzern weltweit ermöglichen, verdächtige E-Mail-Nachrichten einzureichen und sofort einen Punktwert für böswillige Inhalte sowie eine Empfehlung zum Umgang mit dieser E-Mail zu erhalten.
Darüber hinaus würde das System dazu beitragen, gutartige und bösartige E-Mails zu Forschungszwecken zu sammeln, was aus Datenschutzgründen für die Forscher in diesem Bereich derzeit eine sehr schwierige Aufgabe sei.

Weitere Informationen zum Thema:

MalwareLab At the Cyber Security Research Center
The Malware-Lab

datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren