BEAST-Verfahren

B2B-Lösungen von G Data erhalten Update der Verhaltenserkennung



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Mit der neuen Version 14.3 bekommen die Business-Lösungen von G Data eine deutlich verbesserte Verhaltenserkennung spendiert, die den Namen BEAST erhalten hat.

Mit dem Begriff BEAST (Behavior-based Detection Technology) bezeichnet der deutsche Sicherheitsanbieter G Data CyberDefense ein neues Verfahren zur verhaltensbasierten Erkennung von Zero-Day-Malware, das komplett ohne störende Nutzerrückfragen auskommen soll. BEAST soll Schadprogramme zuverlässiger als bisherige Methoden rein aufgrund verdächtiger Verhaltensweisen erkennen. Das Verfahren zeichnet nach Angaben des Herstellers außerdem die Prozesse auf dem Rechner in einer Graphdatenbank nach und soll damit sogar ein vollständiges Zurückrollen einer Schadcode-Installation ermöglichen.

Die Abkürzung BEAST soll für Behavior-based Detection Technology stehen.
Die Abkürzung BEAST soll für Behavior-based Detection Technology stehen.
Foto: G Data

BEAST schließt nach Aussage von Thomas Siebert, Head of Protection Technologies bei G Data, eine bisher bestehende "Erkennungslücke", wenn Cyber-Kriminelle ihr schädliches Verhalten zum Beispiel auf mehrere Prozesse aufteilen. "Herkömmliche Verhaltensblocker erkennen solche komplexen Zusammenhänge kaum", so Siebert.

BEAST in der Praxis

In dem folgenden Screenshot ist ein Beispiel zu sehen, wie BEAST funktioniert: Ein Firefox-Nutzer lädt versehentlich die Datei "Malware.exe" herunter und führt sie auf seinem Rechner aus. Da es sich um einen neuen Schädling handelt, hat die Signatur-basierte Erkennung ihn nicht blockiert.

Nach Angaben von G Data erkennt BEAST die verdächtige Nutzung zweier an sich harmloser System-Tools und verschiebt die Malware in Quarantäne, bevor sie Schaden anrichten kann.
Nach Angaben von G Data erkennt BEAST die verdächtige Nutzung zweier an sich harmloser System-Tools und verschiebt die Malware in Quarantäne, bevor sie Schaden anrichten kann.
Foto: G Data

Anschließend deaktiviert die Malware mit Hilfe des Windows-Tools BCEdit die automatische Reparaturfunktion des Betriebssystems und löscht vorhandene Schattenkopien mit dem Bordwerkzeug vssadmin. Im nächsten Schritt verschlüsselt sie normalerweise wichtige Dateien im Nutzerverzeichnis und löscht sie. BEAST greift hier jedoch nach Angaben von G Data bereits ein, da es die Ausführung der beiden System-Tools erkennt und als verdächtig einstuft. Deswegen verschiebt BEAST die Malware in Quarantäne, bevor sie weiteren Schaden anrichten kann.

BEAST soll nicht nur bislang unbekannte Schädlinge schneller identifizieren, da das Verfahren laut G Data einen gesamtheitlichen und nicht mehr nur auf einzelne Prozesse bezogenen Ansatz verfolgt. Die Technik könne aufgrund ihrer hohen Zuverlässigkeit auch Fehlalarme reduzieren. Mit Version 14.3 hat das neue Verfahren Einzug in die folgenden Produkte erhalten: G Data Antivirus Business, G Data Client Security Business, G Data Endpoint Protection Business und G Data Managed Endpoint Security.

Lesen Sie auch: G Data erweitert Sicherheitschecks für KMUs

Zur Startseite