Verbesserte Erkennung von Zero-Day-Phishing-Kampagnen

Die Sicherheitsforscher von Check Point Software Technologies haben eine bedeutende Verbesserung in der Erkennung und Abwehr von Phishing- und Malware-Kampagnen vorgestellt. Mithilfe der „ssdeep Fuzzy-Hashing-Technologie“ in Check Points Zero-Phishing gelingt es, neue Gefahren effizienter zu identifizieren und gezielt zu blockieren, was für die Erkennung von Zero-Day-Bedrohungen entscheidend ist.

 

Die Funktionsweise von „ssdeep Fuzzy Hashing“

Das Programm „ssdeep“ erstellt sogenannte Fuzzy-Hashes, eine Art digitaler Fingerabdrücke, die es ermöglichen, selbst bei modifizierten Dateien und Web-Seiten Gemeinsamkeiten zu früheren Bedrohungen zu erkennen. Mit dieser Methode können signifikante Korrelationen zwischen verschiedenen Domains und bekannten bösartigen Kampagnen aufgedeckt werden. Dadurch können selbst völlig neue Phishing-Seiten, die keiner bekannten Signatur entsprechen, erkannt und gestoppt werden. Auch wenn sich der Code auf den ersten Blick unterscheidet, kann „ssdeep“ durch den Vergleich bestimmter Code-Muster feststellen, ob eine Datei oder Webseite in Wirklichkeit Teil einer bekannten Malware- oder Phishing-Kampagne ist.

Grafische Datenbankvisualisierung zur Darstellung der Korrelationen zwischen Phishing-Kampagnen (Erzeugt mit Gephi von Check Point).

Durch den Einsatz von „ssdeep Fuzzy Hashing“ hat Check Point ein System entwickelt, das effektiv Phishing-Kampagnen erkennt und in Cluster zusammenfasst, indem es Webseiten von verschiedenen Domains mit ähnlichem HTML-Quellcode gruppiert. Dieser innovative Ansatz hat es ermöglicht, Tausende von Phishing-Cluster zu identifizieren und somit weltweit mögliche Opfer vor Angriffen zu schützen.

 

 

Herausforderung durch Phishing-Kits: Effektive Abwehr durch Clustering

Mit der zunehmenden Verfügbarkeit von Phishing-Kits, die es selbst unerfahrenen Cyber-Kriminellen ermöglichen, Phishing-Websites zu erstellen, hat die Bedrohung durch Phishing erheblich zugenommen. Diese Kits ermöglichen es Angreifern, Vorlagen zu nutzen, um Phishing-Angriffe auf bekannte Marken durchzuführen. Die Anpassung dieser Templates ist meist minimal, was es erschwert, solche Angriffe durch traditionelle Sicherheitsmechanismen zu erkennen.

Check Point begegnet dieser Bedrohung mit einer fortschrittlichen Cluster-Methode, die in der Lage ist, auch solche geringfügig modifizierten Phishing-Seiten zu identifizieren. Durch die Anwendung von „ssdeep-Hashes“ werden Webseiten, die mit Phishing-Kits erstellt wurden, systematisch in Clustern erfasst und blockiert. So wird eine breite Palette von Phishing-Seiten, unabhängig von der Domain, effektiv ausgeschaltet.

 

Umfangreiche Datenbank zu Phishing-Kampagnen als Grundlage

Über die Jahre hat Check Point eine umfassende Datenbank mit Quell-Code von Phishing-Kampagnen aufgebaut, die auf verschiedenen Domains laufen. Diese Datenbank wird kontinuierlich gepflegt und bereinigt, um nur aktive Bedrohungen zu enthalten. Jeder extrahierte HTML-Code wird mit einem „ssdeep-Hash“ versehen und in einer indizierten Datenbank gespeichert. Durch den Vergleich dieser Hashes wird eine hohe Ähnlichkeit zwischen neuen und bekannten Bedrohungen hergestellt, was es ermöglicht, neu auftretende Phishing-Kampagnen schnell zu blockieren.

Zusätzlich setzt Check Point auf eine Graphen-Datenbank, um komplexe Korrelationen zwischen verschiedenen Objekten darzustellen. Dieser Ansatz ist besonders effektiv, um die Verbindungen zwischen unterschiedlichen Phishing-Kampagnen zu erkennen und zu analysieren. Durch die Visualisierung dieser Verbindungen in Clustern können Sicherheitsteams potenzielle Bedrohungen noch präziser identifizieren und entsprechende Gegenmaßnahmen ergreifen.

 

Prävention durch Erkennung

Die Kombination aus „ssdeep Fuzzy Hashing“ und Check Points Threatcloud-AI bietet Unternehmen weltweit einen entscheidenden Schutz vor Phishing-Angriffen. Diese Technologien ermöglichen nicht nur die Erkennung bekannter Bedrohungen, sondern auch die Identifizierung und Abwehr neuartiger Phishing-Kampagnen. Indem Check Point den sich ständig entwickelnden Taktiken der Hacker stets einen Schritt voraus bleibt, bietet das Unternehmen seinen Kunden einen zuverlässigen und umfassenden Schutz vor den komplexesten Bedrohungen der heutigen Zeit.

#CheckPoint