FKIE-Wissenschaftler präsentiert neuen Ansatz zur Detektion von Malware-Daten in Bilddateien

Auch in Bilddateien wie dem verbreiteten JPEG-Format kann Malware lauern. Der FKIE-Wissenschaftler Jonathan Chapman hat eine Methode zur Erkennung infizierter Bilddaten entwickelt. Fraunhofer

Der Ansatz, den der IT-Experte aus der Abteilung »Cyber Analysis and Defense« entwickelt hat, erkennt durch die Einbettung von Malware-Daten bedingte strukturelle Anomalien in Bilddateien. Dies kann dazu genutzt werden, um in einem solchen Fall einen Alarm auszulösen und die Übertragung zu unterbrechen.

Besonders ist an dem Ansatz, dass er nicht eine bestimmte Form von Malware erkennt, sondern signifikante Strukturanomalien in Bilddateien ausreichen, um eine verdeckt kommunizierende Malware zu detektieren.

SAD THUG, kurz für »Structural Anomaly Detection for Transmissions of High-value Information Using Graphics« – unter diesem Titel stellt Jonathan Chapman den Ansatz in Baltimore vor –, erkennt, wie die Strukturen von Bilddateien aussehen müssen, um diese als gut oder bösartig zu klassifizieren.

Im Gegensatz zu einem bereits existierenden Ansatz wurde zur Erkennung von strukturellen Anomalien bei JPEG-Dateien auch Maschinelles Lernen eingesetzt und so anhand großer Datensätze erlernt, wie die Struktur nicht-infizierter Bilddateien auszusehen hat.

Mehr als 500.000 Bilddateien hat der FKIE-Wissenschaftler als Grundlage für »SAD THUG« verwendet. Die Ergebnisse sind beeindruckend: Bei JPEG-Dateien (511.024) lag die Rate bei der Erkennung von Malware bei 99,24 Prozent und weist zugleich eine äußerst niedrige Falsch-Positiv-Rate von 0,52 Prozent auf.

Bei PNG-Dateien lag das Ergebnis aufgrund des deutlich kleineren Datensatzes von nur 60.083 Bilddateien und des damit verbundenen geringeren Lerneffekts der Software bei einer Falsch-Positiv-Rate von 1,1 Prozent. Allerdings wurden auch hier 99,32 Prozent der Malware-Bilder korrekt erkannt.

Somit bietet »SAD THUG« Computernutzern und vor allem IT-Administratoren weltweit eine sehr effektive Lösung für das Problem in Bilddateien eingebetteter Schadsoftware. Denn nicht nur in Dateien, die E-Mails anhängen, kann sich eine solche Malware verbergen, sondern auch in den tagtäglich millionenfach in den Sozialen Netzwerken wie Facebook und Twitter verwendeten Bilddateien.

Über sie hielt beispielsweise die Ransomware »CryLocker« den Kontakt zu ihren Autoren. Diese Form von Malware verschlüsselt wichtige Dateien der infizierten Nutzersysteme mit einem geheimen Code, den die Autoren nur nach Zahlung eines Lösegelds (»ransom«) bereitstellen.

Aktuellen Schätzungen zufolge entstand der Weltwirtschaft hierdurch 2017 ein Schaden in Höhe von mehr als 4,3 Milliarden Euro.

Chapman: »Der neue Ansatz erkennt nicht nur eine bestimmte Methode zum Verstecken von Schadsoftware-Informationen, sondern buchstäblich jede Methode, die die Struktur einer Containerdatei verändert. Viele der Angriffe, die in den vergangenen Monaten bekannt geworden sind, nutzen Werkzeuge, die mit ›SAD THUG‹ hätten erkannt und unter Umständen frühzeitig abgewehrt werden können. Das gilt nicht zuletzt auch für die dem russischen Geheimdienst zugerechnete Hammertoss-Malware.«

Jonathan Chapman
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE
Abteilung »Cyber Analysis and Defense«
E-Mail: jonathan.pascal.chapman@fkie.fraunhofer.de
Telefon: 0049 228 50212-573

https://www.fkie.fraunhofer.de/de/Pressemeldungen/sad_thug_usenix.html

Media Contact

Silke Wiesemann idw - Informationsdienst Wissenschaft

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Verstärktes Signal und extrem empfindlich: Leichten Dunkle Materieteilchen auf der Spur

Neue Technik der Kernmagnetischen Resonanz um fünf Größenordnungen empfindlicher. Ein internationales Forscherteam unter Beteiligung des Exzellenzclusters PRISMA+ der Johannes Gutenberg-Universität Mainz (JGU) und des Helmholtz-Instituts Mainz (HIM) hat eine Labor-Methode…

Osteoporose frühzeitig mit Ultraschall erkennen

Kieler Forschungsteam erhält Bundesförderung zur Entwicklung eines neuartigen Ultraschallgeräts. Osteoporose, auch als „Knochenschwund“ bezeichnet, zählt zu den häufigsten und teuersten Volkskrankheiten weltweit und erhöht das Risiko, einen Knochenbruch zu erleiden….

Jungkorallen geben Einblick in die Erholung nach Korallenbleiche

Wie sich Riffe von Korallenbleichen erholen, kann die Anzahl an Jungkorallen verraten. Das zeigt eine neue Studie der Universität Bremen, die kürzlich in der Fachzeitschrift PLOS ONE veröffentlicht wurde. Die…

Partner & Förderer