G DATA 基于行为的新检测技术——BEAST 介绍

Nocria

当仅依靠传统的基于签名的检测时，检测复杂的现实世界中的恶意软件已成为一项具有挑战性的任务。

难点1：追溯检测

首先，根据定义，基于签名的检测是一种反应性方法。 无论涉及的自动化级别如何：仅在将文件分类为恶意文件之后，才可以为此文件或一组相关文件（通常是恶意软件家族）编写签名。
如今，恶意软件作者通过大大增加他们发布被认为是新恶意软件的频率来打破这种被动方式。

难点2：恶意软件的唯一性

网络犯罪已经成为一个价值十亿美元的产业。就像传统企业一样，网络犯罪分子通过使用自动化工具来提高效率。一些恶意软件作者使用自动化服务来主动监视反恶意软件解决方案是否检测到了他们的恶意软件。注册检测后，他们会立即从样品中删除已识别的模式或自动更改程序以避免检测。
他们对样本大量使用加密和打包程序，以掩盖其恶意核心。一些恶意软件作者每隔几分钟就会发布一个新的恶意软件样本。其他人甚至为每个受害者生成一个单独的样本（“服务器端多态性”）。
显然，当恶意文件如此独特时，很难找到可用于生成传统签名（可以识别整个恶意软件家族）的恶意模式。即使有可用于构建签名的模式，这种努力实际上也毫无价值。

难点3：从后端分析中规避

另一个问题是，恶意文件的识别通常依赖于安全供应商的分析后端。 供应商获得的每个潜在恶意样本都将得到彻底分析，例如，在执行样本并试图识别任何恶意行为的沙盒系统中。 仅当样本被标识为恶意时，过程才会开始查找恶意模式。 不幸的是，恶意软件样本通常旨在了解其环境，并会检测是否正在对其进行分析。 他们可能只会暴露自己的恶意在特定时间，特定位置，运行一定时间后或识别出沙盒系统中通常不存在的用户交互之后的行为。由于这些问题，除了传统的检测方法外，我们还需要能够在发生恶意行为的地方进行检测：在受影响的系统上。

---

解决方案：行为分析

因此，安全厂商已经实施了检测技术，该技术可以分析系统上进程的行为，以确定其是否恶意或良性。为了充分利用硬件，此类分析着重于特别可疑的系统部分，例如文件系统，注册表或自动启动文件夹。这使安全厂商可以检测完全未知的恶意软件家族。
这些解决方案中的大多数试图将威胁行为转化为价值，以确定“不良”程度。在数学上，当将许多这些值汇总到总分中时，就不可能避免准确性的损失。即使使用机器学习，此方法仍然存在一定程度的模糊性，在将进程归类为恶意或良性时会导致一定程度的错误判断。
大多数消费者将不受此影响。但是，企业通常使用高度专业化的软件工具并以有意，无害的方式使用流程，这在大多数其他环境中是罕见的。如果将行为分析工具的阈值设置得太高，它将阻止那些进程；如果太低，则可能无法检测到恶意软件。在现实世界中，安全厂商倾向于通过要求用户允许流程发生来避免检测错误。当这种情况发生得太频繁时，用户要么选择使用该技术，要么忽略警告。无论哪种方式，感染的风险都会增加。


真正的解决方案：BEAST

BEAST是由G DATA开发的基于行为的检测技术，该技术监视行为并将每个观察到的动作存储到本地轻量级图形数据库中。 BEAST并不依赖于恶意软件本身的标识，而是依赖于对一般恶意行为的观察。 这对于罕见的恶意软件和恶意软件家族特别有用。


BEAST的工作方式：基于图的规则匹配

在受保护的系统上，BEAST监视行为并存储每个动作。 动作包括对文件系统，注册表，网络连接和进程间通信的访问。 只要将任何内容添加到图形数据库，就会在图形中搜索恶意行为模式。
下图可用于说明这种基于规则的匹配：




该示例性用户可能已被网站欺骗，以从Firefox浏览器中的Internet下载并执行恶意文件“ malware.exe”。实际上，在这种情况下，这是勒索软件的感染。勒索软件会加密用户的文件，然后要求用户为解密文件支付一定的费用。
此处的恶意进程会立即启动“ bcdedit”系统工具的实例，以禁用Windows的启动修复功能。然后，它启动“ vssadmin”系统工具的实例以删除所谓的卷影副本，该副本可用于还原意外覆盖的文件。然后，它开始加密“ C：\ user”目录中的几个文件。
由于上述两个系统工具的开始是勒索软件在加密文件之前的典型准备工作，其目的是防止用户还原其系统，因此该行为（以红色突出显示）可以被视为显然是恶意的。因此，进程“ malware.exe”将被停止，二进制文件将被移至隔离区。由于二进制文件“ vssadmin.exe”和“ bcdedit.exe”是仅被勒索软件滥用的良性系统工具，因此它们将保留在系统中。


新机会：回顾性撤除

借助自动化后端系统或手动分析流程，G DATA每天都会识别大量的危害指标（IOC）。 IOC可以是用于操作僵尸网络的命令与控制服务器（C＆C），也可以是已被识别为恶意的特定文件。
在传统的端点安全软件中，仅在操作发生时才将操作与IOC列表进行比较。例如，在执行文件之前，会将其与已知恶意文件的列表进行比较。或者，如果某个进程连接到主机，则对照已知C＆C列表检查该主机。如果将主机标识为恶意主机，则将整个过程检测为恶意主机。
核心问题是，安全供应商的IOC识别过程再次具有反应性-它们是在供应商开始分析威胁之后开始的，显然只有在威胁真正出现后的某个时间才会发生。即使自动执行并在很短的时间内执行，在检测恶意软件的情况下，时间间隔仍然很大。简而言之：安全厂商通常为时已晚，并且只有依靠传统方法才能经常为时已晚。
在BEAST中，动作（行为）存储在本地图形数据库中。因此，即使数据库中的所有内容都可以发生，也可以将其与G DATA标识的IOC进行比较。并且由于图形数据库还包含与IOC相关的所有操作，因此所有这些操作都可以回滚，从而有效地进行了追溯性恶意软件清除。
如果系统受到威胁，但尚未触发可能触发通用行为检测的恶意操作，则这一点尤其重要。
为了说明这一点，请想象以下简化的行为图：




最初，在邮件程序Outlook中，打开了一个受感染的附件。因此，由进程“ outlook.exe”创建并执行一个名为“ dropper.exe”的文件。然后，新进程将连接到“ malware-host.com”以下载并执行其他恶意二进制文件（“ threat1a.exe”，“ threat2.exe”）。两者都连接到各自的C＆C服务器（“ command-control-1.com”，“ command-control-2.com”）。大约15分钟后，“ threat1a.exe”接收到将二进制文件更新为“ threat1b.exe”的命令，该命令随后也建立了与同一C＆C服务器的连接。
例如，如果G DATA将服务器“ command-control-2.com”或二进制文件“ dropper.exe”标识为IOC，则BEAST甚至可以在感染数小时后浏览图表，查找并删除所有与感染有关的单个二进制文件。
有两个注意事项：首先，还对Windows注册表进行了任何更改，因此记录了系统配置并可以回滚（此处省略，以使图形易于理解）。其次，不会删除Outlook.exe作为已知的良性可执行文件。

---

与现有的行为阻止程序有什么区别？

现有的行为阻止程序基本上接收由流程执行的每个动作的流。它为每个单个动作分配一个特定的数字“不良”值。然后，它汇总了所有不良值，并且当超过一定的不良阈值时，该过程就被认为是恶意的。
因此，原则上，行为阻止程序具有以过程为中心的视图，而BEAST则具有整个系统的概述。另外，由于“行为阻止程序”仅汇总了行为的不良数字，因此无法将特定的行为组合检测为恶意行为。这使得很难专门检测恶意行为模式。每当在“行为阻止程序”中为操作分配了新的或更高的不良值时，这可能会引发错误的肯定检测。过去，这很难快速应对新威胁。而且，即使经过仔细考虑，每当在过去为操作指定了新的或更高的不良值来检测新威胁时，也存在引发错误肯定检测的巨大风险。另一方面，对于BEAST，检测是基于恶意行为的非常特定的组合。因此，添加新规则会更容易，而通常更不会出现误报。
同样，只有使用BEAST才可能进行IOC回顾性比较和回顾性移除。


为什么我们在拥有DeepRay时需要BEAST？

DeepRay的优势在于它能够浏览打包程序，从而使我们能够识别恶意软件核心。但是，恶意软件核心的初始识别是一个手动过程。对于最流行的犯罪软件家庭来说，这是一项可管理的任务。尽管如此，即使恶意软件在其核心被更改，BEAST也将帮助填补直到进行DeepRay检测为止的时间间隔。但是，除了最流行的犯罪软件系列之外，还有大量的恶意软件系列并不是一个单一的家族，但是总结起来，这些家族也弥补了很多感染。如果说不是那么普遍的原因是这些家庭被用于有针对性的攻击，它们甚至就特别危险。由于BEAST不依赖于特定恶意软件核心的识别，而是依赖于对恶意行为的一般观察，因此BEAST将有助于缓解这些威胁，从而增加另一层安全性。

Nocria

以上为机器翻译结果，恕不保证准确性。
附pdf原件：

KF8888

这个是最新公布的新技术吗

ericfang

啥绝招

wylzct999

好文章

欧阳宣

ATD：我仿佛听到有人在骂我

grantzoo

感觉G DATA现在转向主动防御这块了，BD库的查杀率现在有点捉急

，就一个.

这个技术现在还没用上吧？

grantzoo

，就一个. 发表于 2019-10-22 10:45
这个技术现在还没用上吧？

看样本区，已经实用了
https://bbs.kafan.cn/thread-2162809-3-1.html

Nocria

grantzoo 发表于 2019-10-22 10:56
看样本区，已经实用了
https://bbs.kafan.cn/thread-2162809-3-1.html

是的，不过我这边运行同样的样本并没有触发BEAST，只是触发了防勒索防护。