Malware Detection

Realitätsnahe Sandbox zur Analyse moderner Schadsoftware

Moderne Schadsoftware ist zunehmend „environment aware“ und prüft zunächst sehr genau, in welcher Umgebung sie ausgeführt wird. Erkennt Malware typische Analyseumgebungen oder virtuelle Maschinen, verhält sie sich oft unauffällig, um einer Entdeckung zu entgehen. Dadurch stoßen klassische Sandbox-Ansätze, die stark auf Virtualisierung setzen, immer häufiger an ihre Grenzen. In unserem Forschungsprojekt entwickeln wir daher eine neuartige Sandbox-Umgebung, die von Schadsoftware nicht von einem realen Benutzersystem unterschieden werden kann. Unser Ansatz verzichtet bewusst auf klassische Virtualisierung und emuliert stattdessen ein authentisches, aktiv genutztes System mit realistischen Nutzungsartefakten. Auf diese Weise wird Schadsoftware dazu verleitet, ihr tatsächliches Verhalten zu zeigen, anstatt sich zu tarnen.

Die Sandbox beobachtet dabei transparent alle laufenden Prozesse, Systemzugriffe und Kommunikationsversuche, ohne selbst als Analysewerkzeug erkannt zu werden. So können auch bislang unbekannte oder besonders raffinierte Angriffe frühzeitig identifiziert werden. Ein besonderer Fokus liegt darauf, neue Angriffstechniken zu erfassen, die gezielt auf die Umgehung bestehender Sicherheitslösungen abzielen. Die gewonnenen Erkenntnisse helfen dabei, wirksame Gegenmaßnahmen zu entwickeln und bestehende Detektionsmechanismen gezielt zu verbessern. Damit leistet das Projekt einen wichtigen Beitrag zur Vorbereitung auf die Malware-Generationen von morgen und stärkt die proaktive Cyberabwehr.

Von statischer Erkennung zu dynamischer Cyberabwehr

In modernen Cyberangriffen nutzen Angreifer zunehmend Künstliche Intelligenz (KI), um Schwachstellen automatisiert zu finden, Phishing-Kampagnen zu personalisieren und Erkennungssysteme zu umgehen.

Klassische, statische Sicherheitsmechanismen mit manuell gepflegten Regeln stoßen hierbei an ihre Grenzen, da sie mit der Geschwindigkeit und Variabilität moderner Angriffstechniken nicht mehr mithalten können. Gleichzeitig erzeugen Threat-Intelligence-Quellen wertvolles Wissen über Bedrohungen – doch dieses strategische Wissen ist bislang oft nicht nahtlos mit operativer Angriffserkennung verknüpft. Unser Projekt am Technologietransferzentrum Würzburg (TTZ-WUE) zielt darauf ab, diese Lücke zu schließen, indem Threat Intelligence und dynamische Verhaltensdaten aus Analysesystemen zusammengeführt werden. Im Mittelpunkt steht der Einsatz von KI-Methoden, die zeitliche und kausale Abhängigkeiten zwischen sicherheitsrelevanten Ereignissen automatisiert erkennen und aus ihnen adaptive Erkennungsregeln ableiten. Diese Regeln werden in maschinenlesbare Formate wie Sigma, YARA oder EQL überführt, um bestehende SIEM- und EDR-Systeme flexibel und dynamisch zu erweitern. Der Ansatz bringt mehr Transparenz und Nachvollziehbarkeit in die Cyberabwehr, denn KI wird nicht als Blackbox, sondern als erklärbares Werkzeug eingesetzt. Durch die Kombination von Threat-Intelligence-Daten und dynamischer Analyse entstehen Sicherheitsmechanismen, die schneller auf neue Angriffsmuster reagieren können. Das Projekt fördert praxisnahe, vertrauenswürdige Sicherheitslösungen, die Forschung und Anwendung eng miteinander verknüpfen. Damit legen wir eine wichtige Grundlage für eine intelligente, adaptive und resilientere Cyberabwehr, die den Herausforderungen moderner, KI-basierter Bedrohungen gerecht wird.

Kontakt: ttz-wue@thws.de

Verschiedene Konzepte für Sprachen zur Definition von Malware-Erkennungsregeln.