Was ist eine Payload-basierte Signatur?

Payload-basierte Signaturen erkennen Muster im Inhalt der Datei und keine Attribute, wie z.B. einen Hash, so dass sie veränderte Malware identifizieren und blockieren können.

Sicherheitstools verwenden häufig Signaturen, die auf leicht veränderbaren Variablen wie Hash, Dateinamen oder URLs basieren, um bekannte Malware zu identifizieren und zu verhindern, dass sie Systeme infiziert. Bei dieser Art von Signatur erfordert die Identifizierung von Bedrohungen im Wesentlichen eine Eins-zu-eins-Übereinstimmung mit den spezifischen Variablen, nach denen die Signatur sucht.

Früher war dies ein wirksames Mittel zur Identifizierung von Malware, doch heute ist diese Methode nicht mehr zeitgemäß, da die Angreifer immer raffiniertere Methoden zur Umgehung der Erkennung entwickelt haben. Malware Autoren können nun problemlos Tausende von Varianten bestehender Malware erstellen, die nur geringfügige Änderungen enthalten, um den Signaturabgleich zu umgehen. Da herkömmliche Signaturen eine statische Eins-zu-Eins-Übereinstimmung für jede einzelne Datei erfordern, ermöglichen diese geringfügigen Änderungen, dass Malware unentdeckt bleibt.

Mit der Entwicklung der Angreifer haben sich auch die Schutzmaßnahmen weiterentwickelt. Organisationen sollten die Verwendung von Sicherheitsmaßnahmen in Erwägung ziehen, die auf Nutzdaten basierende Signaturen nutzen, die Muster im tatsächlichen Inhalt der Datei erkennen und nicht nur ein einfaches Attribut wie einen Hash. Wenn eine bekannte Malware in irgendeiner Weise verändert wurde, was zu einem völlig neuen Hash oder einer anderen kleinen Änderung führt, wären Payload-basierte Signaturen immer noch in der Lage, das zu identifizieren und zu blockieren, was ansonsten als neue unbekannte Bedrohung behandelt worden wäre.

Während die Erstellung von Payload-basierten Signaturen mehr Beweise und größere Datensätze erfordert, müssen Sicherheitsteams letztlich weniger Signaturen erstellen und bereitstellen, da jede Signatur Varianten und polymorphe Malware effektiver blockiert und ein breiteres Schutznetz bietet. Mit Payload-basierten Signaturen kann eine Signatur Zehntausende von Varianten der gleichen Malware-Familie blockieren. Das Ergebnis ist eine One-to-Many-Malware-Erkennung mit deutlich schnellerer und erfolgreicherer Prävention.

Die Sicherheitsplattform der nächsten Generation von Palo Alto Networks nutzt die Threat Intelligence Cloud, einschließlich der Erkennung unbekannter Bedrohungen über WildFire sowie der Durchsetzung des Threat Prevention-Abonnements, um nutzlastbasierte Signaturen automatisch im gesamten Unternehmen zu verteilen. Die Plattform ist in der Lage, mehrere Varianten von Malware sowie Command-and-Control-Verkehr mit der hohen Zuverlässigkeit ihres proprietären, signaturbasierten Formats zu verhindern.