Neuer Ansatz zur Detektion von Malware-Daten in Bilddateien

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: FKIE
Veröffentlicht von SecuPedia-Redaktion am 15. August 2018.

Wachtberg, 15.8.2018 - Auch in Bilddateien, zum Beispiel in dem weit verbreiteten JPEG-Format, kann sich Malware verbergen, auf diese Weise bestehende Schutzsysteme umgehen, Computer und Netzwerke infizieren oder unbemerkt vertrauliche Daten ausschleusen. Jonathan Chapman, Wissenschaftler am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, hat eine Methode entwickelt, die Anomalien in Bilddateien aufspürt und diese anhand ihrer ungewöhnlichen Struktur herausfiltert und erkennt. Dies könne dazu genutzt werden, um in einem solchen Fall einen Alarm auszulösen und die Übertragung zu unterbrechen.

SAD THUG, kurz für „Structural Anomaly Detection for Transmissions of High-value Information Using Graphics“ – unter diesem Titel stellt Jonathan Chapman den Ansatz im Rahmen des „USENIX Security Symposiums“ (15. bis 17. August 2018 in Baltimore)  seine Ergebnisse erstmals vor –, erkenne, wie die Strukturen von Bilddateien aussehen müssen, um diese als gut oder bösartig zu klassifizieren. FKIE: „Im Gegensatz zu einem bereits existierenden Ansatz wurde zur Erkennung von strukturellen Anomalien bei JPEG-Dateien auch Maschinelles Lernen eingesetzt und so anhand großer Datensätze erlernt, wie die Struktur nicht-infizierter Bilddateien auszusehen hat.“

Mehr als 500.000 Bilddateien hat der FKIE-Wissenschaftler den Angaben zufolge als Grundlage für „SAD THUG“ überprüft. Einige Ergebnisse laut FKIE: Bei JPEG-Dateien (511.024) lag die Rate bei der Erkennung von Malware bei 99,24 Prozent und weist zugleich eine äußerst niedrige Falsch-Positiv-Rate von 0,52 Prozent auf. Bei PNG-Dateien lag das Ergebnis aufgrund des deutlich kleineren Datensatzes von nur 60.083 Bilddateien und des damit verbundenen geringeren Lerneffekts der Software bei einer Falsch-Positiv-Rate von 1,1 Prozent. Allerdings wurden auch hier 99,32 Prozent der Malware-Bilder korrekt erkannt.

FKIE: „Somit bietet ‚SAD THUG‘ Computernutzern und vor allem IT-Administratoren weltweit eine sehr effektive Lösung für das Problem in Bilddateien eingebetteter Schadsoftware. Denn nicht nur in Dateien, die E-Mails anhängen, kann sich eine solche Malware verbergen, sondern auch in den tagtäglich millionenfach in den Sozialen Netzwerken wie Facebook und Twitter verwendeten Bilddateien.

Über sie hielt beispielsweise die Ransomware ‚CryLocker‘ den Kontakt zu ihren Autoren. Diese Form von Malware verschlüsselt wichtige Dateien der infizierten Nutzersysteme mit einem geheimen Code, den die Autoren nur nach Zahlung eines Lösegelds (‚ransom‘) bereitstellen. Aktuellen Schätzungen zufolge entstand der Weltwirtschaft hierdurch 2017 ein Schaden in Höhe von mehr als 4,3 Milliarden Euro.“

Chapman: „Der neue Ansatz erkennt nicht nur eine bestimmte Methode zum Verstecken von Schadsoftware-Informationen, sondern buchstäblich jede Methode, die die Struktur einer Containerdatei verändert. Viele der Angriffe, die in den vergangenen Monaten bekannt geworden sind, nutzen Werkzeuge, die mit ›SAD THUG‹ hätten erkannt und unter Umständen frühzeitig abgewehrt werden können. Das gilt nicht zuletzt auch für die dem russischen Geheimdienst zugerechnete Hammertoss-Malware.“ (Quelle: FKIE-Presseinformation vom 15.08.2018)


 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer