Mit dem Begriff BEAST (Behavior-based Detection Technology) bezeichnet der deutsche Sicherheitsanbieter G Data CyberDefense ein neues Verfahren zur verhaltensbasierten Erkennung von Zero-Day-Malware, das komplett ohne störende Nutzerrückfragen auskommen soll. BEAST soll Schadprogramme zuverlässiger als bisherige Methoden rein aufgrund verdächtiger Verhaltensweisen erkennen. Das Verfahren zeichnet nach Angaben des Herstellers außerdem die Prozesse auf dem Rechner in einer Graphdatenbank nach und soll damit sogar ein vollständiges Zurückrollen einer Schadcode-Installation ermöglichen.
BEAST schließt nach Aussage von Thomas Siebert, Head of Protection Technologies bei G Data, eine bisher bestehende "Erkennungslücke", wenn Cyber-Kriminelle ihr schädliches Verhalten zum Beispiel auf mehrere Prozesse aufteilen. "Herkömmliche Verhaltensblocker erkennen solche komplexen Zusammenhänge kaum", so Siebert.
BEAST in der Praxis
In dem folgenden Screenshot ist ein Beispiel zu sehen, wie BEAST funktioniert: Ein Firefox-Nutzer lädt versehentlich die Datei "Malware.exe" herunter und führt sie auf seinem Rechner aus. Da es sich um einen neuen Schädling handelt, hat die Signatur-basierte Erkennung ihn nicht blockiert.
Anschließend deaktiviert die Malware mit Hilfe des Windows-Tools BCEdit die automatische Reparaturfunktion des Betriebssystems und löscht vorhandene Schattenkopien mit dem Bordwerkzeug vssadmin. Im nächsten Schritt verschlüsselt sie normalerweise wichtige Dateien im Nutzerverzeichnis und löscht sie. BEAST greift hier jedoch nach Angaben von G Data bereits ein, da es die Ausführung der beiden System-Tools erkennt und als verdächtig einstuft. Deswegen verschiebt BEAST die Malware in Quarantäne, bevor sie weiteren Schaden anrichten kann.
BEAST soll nicht nur bislang unbekannte Schädlinge schneller identifizieren, da das Verfahren laut G Data einen gesamtheitlichen und nicht mehr nur auf einzelne Prozesse bezogenen Ansatz verfolgt. Die Technik könne aufgrund ihrer hohen Zuverlässigkeit auch Fehlalarme reduzieren. Mit Version 14.3 hat das neue Verfahren Einzug in die folgenden Produkte erhalten: G Data Antivirus Business, G Data Client Security Business, G Data Endpoint Protection Business und G Data Managed Endpoint Security.
Lesen Sie auch: G Data erweitert Sicherheitschecks für KMUs