BEAST y DeepRay: «Hemos superado los límites».

Con DeepRay y BEAST, G DATA utiliza tecnologías innovadoras en la lucha contra los ciberataques. Ambos sistemas han cambiado y facilitado el trabajo de los analistas de virus. Karsten Hahn y Antonia Montesino explican qué es diferente y qué nuevas posibilidades ofrecen BEAST y DeepRay.

La lucha contra los ciberdelincuentes es como una carrera contra el tiempo. La velocidad es uno de los factores clave para identificar y defenderse de los ciberataques en una etapa temprana. Para estar un paso por delante de los atacantes, G DATA se basa en la Inteligencia Artificial con DeepRay y el análisis de comportamiento moderno con BEAST. Después de que DeepRay ha estado en uso durante más de tres años y BEAST ha estado protegiendo a los clientes de los ataques de Internet desde el otoño de 2019, se ha demostrado que el efecto protector de las soluciones de seguridad ha mejorado. Ambos sistemas funcionan de forma independiente y evitan una gran cantidad de ataques exitosos.

DeepRay: ¡Sé que eres dañino!

El malware se identifica con DeepRay directamente en la memoria de trabajo, donde el código no se puede ocultar. La ventaja: la tecnología no se deja impresionar por la capa exterior, sino que escanea el núcleo. Como resultado, las firmas son mucho más duraderas que las firmas de malware clásicas y se pueden utilizar durante varios años. Con otros escáneres de virus, estos a menudo solo están actualizados durante horas o minutos, porque solo escanean la capa externa y los ciberdelincuentes los cambian con empaquetadores casi cada minuto. Actualmente hay más de 2000 firmas de DeepRay activas, algunas de ellas desde el inicio. Por cierto: si las firmas de DeepRay aparecen, también se utilizan en otros componentes de protección. Pero también existen otras ventajas en la vida cotidiana. Así es como la tecnología ayuda a descubrir nuevos programas maliciosos. Esto se consigue con las denominadas firmas de caza. Se trata de firmas silenciosas que se utilizan únicamente para enviar telemetría. Las firmas de caza son más agresivas que las firmas de reconocimiento, pero no hacen sonar la alarma para los clientes. De esta forma, puede proporcionar información sobre nuevos programas maliciosos. Los analistas de virus utilizan esta información para mejorar las firmas de detección existentes o para escribir nuevas firmas de detección.

DeepRay también se utiliza para detectar malware sin archivos. Un ejemplo de esto es GooLoad o GootLoader. Como proveedor de «Acceso inicial como servicio», el malware se hace cargo de la infección inicial para un gran número de familias de malware diferentes, en particular los troyanos de acceso remoto. Asegura la persistencia sin archivos en el registro y de esta manera entrega malware de las conocidas familias de malware Kronos, Gootkit, REvil, njRAT o Remcos. Los usuarios * descargan GooLoad o GootLoader de sitios web comprometidos, que se muestran como resultado de las consultas que utilizan el envenenamiento de los motores de búsqueda en los motores de búsqueda. Los usuarios no tienen dudas sobre la seriedad del sitio. DeepRay ha trabajado con familias de malware conocidas como Gozi, Gootkit, njRAT reconoció la carga útil y los analistas de virus pudieron encontrar GootLoader a través de la telemetría. Aquí es donde se hace evidente una de las fortalezas de DeepRay. Aunque la carga útil nunca termina en el disco duro, sino que está oculta en el registro, DeepRay pudo detectar esta ruta de ataque. Otros métodos basados ​​en firmas a menudo requieren un archivo almacenado en el disco duro para su análisis.

Con DeepRay y BEAST hemos superado los límites. Así es como los analistas de virus DeepRay facilitan nuestro trabajo. Ya no perseguimos a los autores de malware y ahora podemos concentrarnos en los casos difíciles. Con DeepRay, pudimos aumentar nuevamente el rendimiento de detección de nuestras soluciones de seguridad, lo que también está demostrado por los excelentes resultados de las pruebas de institutos independientes.

DeepRay – brevemente explicado

La línea de pensamiento detrás de DeepRay: los ciberdelincuentes suelen utilizar los mismos núcleos de malware una y otra vez. Para protegerlos de la detección, los atacantes usan empaquetadores para comprimir el código malicioso o emplean varios tipos de ofuscación para evitar la detección estática. El núcleo del malware real solo se extrae en la memoria principal. El enfoque de DeepRay es detectar la presencia de una capa exterior con una red neuronal.

Sin embargo, la presencia de una capa externa no es suficiente para inferir un efecto dañino real; incluso el software legítimo a veces usa métodos comparables, por ejemplo, en el contexto de los sistemas de protección contra copias. Por lo tanto, después de detectar una capa externa, DeepRay realiza un análisis en profundidad de la memoria para identificar núcleos de malware conocidos.

El objetivo principal es socavar el modelo de negocio de los ciberdelincuentes: desde el punto de vista de un atacante, reemplazar la capa exterior es relativamente barato. Con los métodos tradicionales de reconocimiento basados ​​en firmas, cada caso debe reconocerse individualmente, lo que es un proceso costoso desde el punto de vista de los fabricantes de antivirus tradicionales. Los atacantes tienen una clara ventaja. Con DeepRay, por otro lado, los atacantes tienen que cambiar su núcleo de malware una y otra vez para evitar la detección, que es un proceso que consume mucho tiempo para los ciberdelincuentes.

BEAST: Tras el rastro del proceso dañino

Incluso una tecnología basada en inteligencia artificial como DeepRay tiene sus límites. Aquí es donde entra BEAST. El enfoque de la tecnología es una base de datos gráfica en la que se registran las acciones de los programas que se ejecutan en el sistema. BEAST vincula todas las acciones entre sí en su gráfico, lo que permite a los analistas de virus definir reglas para patrones de comportamiento malicioso en las secuencias de procesos. Esto significa que también se puede detectar malware que ha sido muy disfrazado. Aquí, el código del programa ejecutable se ha cambiado sin que el comportamiento del programa haya cambiado. BEAST presta atención al comportamiento y no se deja engañar. El malware sin archivos también puede quedar expuesto de esta manera. En promedio, los analistas observan entre tres y 20 pasos del proceso y reciben mucha información sobre el software y sus archivos. Esto también muestra si los archivos están firmados o sin firmar. La experiencia muestra que muchas de las reglas de BEAST son duraderas porque definen cierto comportamiento como defectuoso, por ejemplo, cuando un archivo de Windows se reemplaza por un archivo sin firmar. Estas reglas se pueden aplicar a una amplia variedad de ataques y también se pueden aplicar a muchas familias de malware. Otras reglas, a su vez, describen un comportamiento más complejo. Se dirigen a familias especiales o comportamientos muy específicos, por lo que el número de visitas aquí continúa disminuyendo con el tiempo. A veces, los expertos también escriben dos reglas,

Un desafío particular en el trabajo diario con BEAST es la distinción entre comportamiento claramente bueno y claramente malo. Porque los analistas de virus tienen que lidiar una y otra vez con la pregunta de por qué el software legítimo se comporta de manera tan extraña que actúa como malware. En particular, un software muy especial para grupos profesionales individuales ofrece tales sorpresas. Para minimizar el riesgo de mensajes falsos positivos en este contexto, las reglas se adaptan y actualizan constantemente con la información más reciente.

La visualización de BEAST de la estructura del gráfico facilita la detección de malware porque podemos ver y comprender lo que está sucediendo. También recibimos información adicional que nos permite comprender exactamente qué está haciendo el malware en un momento determinado.

BESTIA – brevemente explicado

BEAST adopta un enfoque más radical que las tecnologías de análisis de comportamiento anteriores. En lugar de agregar las acciones sospechosas en un valor numérico, la tecnología rastrea los procesos en un gráfico. Para este propósito, se desarrolló especialmente una base de datos de gráficos optimizada para el rendimiento que se ejecuta localmente en la computadora del cliente de G DATA. La ventaja de la base de datos gráfica: registra una imagen completa que detecta claramente las amenazas. Por ejemplo, si un usuario ha iniciado Outlook y luego abre un correo electrónico con un archivo zip adjunto, esto no es sospechoso en sí mismo. Sin embargo, si el archivo zip contiene un archivo de Word con una macro que Powershell abre y luego carga e inicia un archivo ejecutable desde Internet, existe un vector de infección de malware conocido. BEAST también puede elimine el comportamiento malicioso del malware identificado o restaure el estado original antes de la infección. La base de datos del gráfico también es útil para esto, porque todas las acciones llevadas a cabo por el malware se almacenan aquí, por lo que simplemente tiene que «retroceder» en el gráfico para la recuperación.

Conclusión: BEAST y DeepRay funcionan

BEAST y DeepRay hacen un trabajo valioso en la lucha contra los ciberataques engañosos. Como última línea de defensa para casos difíciles, protegen a los usuarios del último porcentaje peligroso.

Los escenarios de prueba muestran cuán efectivas pueden ser ambas tecnologías: si BEAST y DeepRay se utilizan sin tecnologías de protección adicionales, juntas detectan más del 90 por ciento de las amenazas actuales.

Enlace: https://www.gdata.de/blog/2021/08/36974-deepray-beast-wir-haben-die-grenzen-verschoben  Stefan Karpenstein Blog de G DATA