MalwareDef– Erkennen durch Verhaltensbeschreibung

#Institut für IT Sicherheitsforschung #Institut für Medienwirtschaft #Nationale Drittmittel #Interdisziplinäres Projekt

Formale Beschreibungen von potentiell bösartigen Aktionen werden auf einem höheren Abstraktionsniveau als bisher erarbeitet, um proaktive Abwehrmaßnahmen entwickeln zu können.

Neue Gefahren...

Ein wesentlicher Teilbereich der Cybersecurity und des Schutzes der IT-Infrastuktur ist die Erkennung und Bekämpfung von Malware. Derzeit eingesetzte Abwehrmaßnahmen gegen Malware (Antivirenprogramme und Intrusion Detection Systeme) arbeiten hauptsächlich signaturbasiert und können daher nur mit bereits bekannten Schadprogrammen erfolgreich umgehen. Durch den Einsatz polymorpher und metamorpher Techniken werden unzählige immer neue Varianten einer Malware erzeugt, die alle unterschiedliche Signaturen besitzen, sich funktional aber gleichartig verhalten. Damit stellen sie ein erhebliches Problem für Antiviren-Software dar.

... und neue Abwehrmaßnahmen

Ziel dieses Projekts ist es, formale high-level Definitionen von potentiell bösartigen Aktionen unabhängig von bereits aufgetretenen Schadprogrammen zu entwickeln. Mit Hilfe dieser Definitionen kann dann ein Instrumentarium proaktiver Abwehrmaßnahmen entwickelt werden, um auch bislang noch nicht aufgetretene Formen bekannter Schadprogramme sowie neuartige Bedrohungen möglichst schnell und effizient als Angriff erkennen, analysieren und entsprechende Abwehrmaßnahmen einleiten zu können. Als Startpunkt des Projekts wird überdies eine sozialwissenschaftliche Vorab-Analyse der gesellschaftlichen und rechtlichen Rahmenbedingungen durchgeführt, um das Projekt innerhalb der Interessenslagen der beteiligten Stakeholder geeignet verorten zu können.

Formale Verhaltensbeschreibung zur Erkennung von Malware

Es werden verschiedene formale Beschreibungsverfahren auf ihre Eignung für diesen Zweck hin untersucht. Dabei werden einerseits verhaltensbasierte Analysen bisher aufgetretener Schadsoftware und andererseits typische Angriffsvektoren als Ausgangspunkt genommen. Für den weiteren Verlauf des Projekts wird ein Verfahren gewählt und entsprechend weiterentwickelt. Die zentralen Ergebnisse des Projekts sind eine Datenbank formaler Definitionen von Malware Aktionen sowie ein Prototyp, der unbekannte bzw. verdächtige Code Samples dahingehend überprüft, ob sie einer der gespeicherten Definitionen entsprechen.

Parallel zur Projektdurchführung werden Folgeabschätzungsaspekte und ethische Implikationen der vorgeschlagenen technischen Lösungen vom Österreichischen Institut für Medienwirtschaft durch FH Prof. Dr. Michael Litschka und FH Prof. Dr. Tassilo Pellegrini untersucht.