- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Modulare Malware: Bösartige Multitalente


Die sich schnell entwickelnde Bedrohung durch modulare Malware erfordert eine mehrschichtige Schutzstrategie aus Technologien und Best Practices
Typischerweise handelt es sich bei modularer Malware um eine sehr einfache anfängliche Nutzlast

- Anzeigen -





Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs.

Die Vorgehensweise der Cyberkriminellen
Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die für eine umfangreiche Verbreitung geschrieben wurde, ist Modularität zur neuen Norm geworden. Malware-Autoren organisieren sich zunehmend professionell und übernehmen und implementieren Praktiken der Softwareindustrie, einschließlich Qualitätssicherung und Tests, um den Erfolg von Angriffen zu optimieren. Als Reaktion auf die Anforderung, mehrere Fähigkeiten mit einer Malware-Datei zu erfüllen, hat sich modulare Malware zu einer funktionsreichen und flexiblen Angriffslösung für Cyberkriminelle entwickelt.

Die meisten modularen Schadprogramme werden als Dokumentanhang verteilt, der per Spam an umfangreiche E-Mail-Listen gesendet wird. Diese Listen werden im Darknet gehandelt, neu zusammengefasst und kontinuierlich überarbeitet.

Sobald ein infiziertes Dokument von einem Opfer geöffnet wird, installiert sich entweder die Malware automatisch oder es wird ein stark verschleiertes Makro/Skript verwendet, um die Schadware von einer externen Quelle herunterzuladen und zu installieren. Gelegentlich wird ein Link oder ein anderes anklickbares Element verwendet, aber dieser Ansatz ist bei Phishing-Angriffen wesentlich häufiger als bei Malware-Angriffen.

Typischerweise handelt es sich bei modularer Malware um eine sehr einfache anfängliche Nutzlast. Sobald die Schadware im System Fuß gefasst hat, verbindet sich die Nutzlast mit einem Remote C2 (Command and Control)-Server für zusätzliche Bestandteile. Dadurch können Informationen über das System vom C2-Server gesendet und verarbeitet sowie zusätzliche Nutzlasten serverseitig basierend auf diesen Informationen ausgewählt werden. Oder auch nicht, falls eine Analyseumgebung im System des Opfers erkannt wird. Dieser Ansatz wurde bei Banking-Trojanern, darunter Emotet, TrickBot und CoreBot, sowie bei Infostealern, darunter LokiBot und Pony, eingesetzt.

Erkennen und Blockieren von modularer Malware
Die sich schnell entwickelnde Bedrohung durch modulare Malware erfordert eine mehrschichtige Schutzstrategie aus Technologien und Best Practices. So können Unternehmen ihre E-Mail-Sicherheit maximieren und das Risiko minimieren, Opfer anspruchsvoller Angriffe zu werden. Zu den Maßnahmen zählen:

1. Gateway-Verteidigung: Es sollten fortschrittliche In- und Outbound-Sicherheitstechniken eingesetzt werden, einschließlich Malware-Erkennung, Spamfilter, Firewalls und Sandboxing.

Bei E-Mails mit bösartigem Dokumenten-Anhang können sowohl statische als auch dynamische Analysen Indikatoren aufzeigen, wenn das Dokument versucht, eine ausführbare Datei herunterzuladen und zu starten – was kein Dokument jemals tun sollte. Die URL für die ausführbare Datei kann oft durch Heuristiken oder Threat Intelligence-Systeme gekennzeichnet werden. Die durch die statische Analyse erkannte Verschleierung kann auch anzeigen, ob ein Dokument verdächtig sein könnte.

Da viele Phishing-E-Mails mittlerweile sehr überzeugend wirken, können zudem Spam-Filter und zugehörige Sicherheitssoftware subtile Hinweise aufgreifen und verhindern, dass potenziell gefährliche Nachrichten und Anhänge in den E-Mail-Posteingang gelangen. Wenn ein Benutzer einen bösartigen Anhang öffnet oder auf einen Link zu einem Drive-by-Download klickt, bietet eine moderne, Cloud-basierte Firewall, die in der Lage ist, Malware-Analysen durchzuführen, darüber hinaus die Möglichkeit, den Angriff zu stoppen, indem sie die ausführbare Datei markiert.

Ein explizit in der Firewall integrierter Malware-Schutz schützt das interne Netzwerk vor schädlichen Inhalten, indem er Web-Inhalte (HTTP und HTTPs), E-Mails (SMTP, POP3) und Dateitransfers (FTP) über eine tief integrierte AV-Engine scannt. Zusätzlich kann eine verhaltensbasierte Analyse via Cloud-basierter Sandbox zugeschalten werden. Der Schutz vor Malware basiert auf regelmäßigen Signatur-Updates sowie einer erweiterten Heuristik, um Malware oder andere potenziell unerwünschte Programme zu erkennen, noch bevor Signaturen verfügbar sind.

Solch ein intensiver Malware-Schutz umfasst Viren, Würmer, Trojaner, bösartige Java-Applets und Programme, die bekannte Exploits in PDF-, Bild- und Office-Dokumenten ausnutzen, Makroviren und vieles mehr, selbst wenn Stealth- oder Morphing-Techniken für die Verschleierung verwendet werden. Weiterhin tragen Verschlüsselung und Data Loss Prevention (DLP) zum Schutz vor versehentlichem und bösartigem Datenverlust bei. Auch ist die E-Mail-Archivierung für Compliance- und Geschäftskontinuitätszwecke von entscheidender Bedeutung.

2. Belastbarkeit: Regelmäßige Backups helfen bei der Wiederherstellung nach der Datenlöschung. Die Kontinuität stellt außerdem sicher, dass kritische E-Mails auch während eines möglichen Ausfalls gesendet werden können.

3. Betrugsschutz: Für den Schutz vor Spear-Phishing sollten Technologien auf Basis von Künstlicher Intelligenz eingesetzt werden. Dadurch werden Angriffe, die das E-Mail-Gateway umgehen können, gestoppt. Eine DMARC-Validierung erkennt und verhindert zudem E-Mail- und Domain-Spoofing.

4. Menschliche Firewall: Diese Ebene der E-Mail-Abwehr ist für jedes Unternehmen die kritischste. Phishing-Simulationen und regelmäßige Schulungen sollten deshalb Bestandteil des Sicherheitstrainings sein. Mitarbeiter sollten über neue Arten von Angriffen informiert und darüber aufgeklärt werden, wie sie potenzielle Bedrohungen erkennen können. Zudem sollte die Effektivität der Schulungen getestet und die Benutzer identifiziert werden, die am anfälligsten für Angriffe sind.
Durch diesen mehrschichtigen Ansatz aus Sicherheitstechnologien und kontinuierlichen Mitarbeitertrainings können die Gefahren durch modulare Malware erheblich gesenkt werden.
(Barracuda Networks: ra)

eingetragen: 10.07.19
Newsletterlauf: 05.08.19

Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Sicherheit & Schutz der Privatsphäre

    Patientendaten sind extrem vertrauliche Informationen. Sie besonders zu schützen ist nur konsequent, und die Institutionen im Gesundheitswesen sind sich der Tragweite bewusst. Die hier anfallenden Daten, die sogenannten PHI-Daten, Personal Health Information, sind so sensibel wie begehrt. Das führt schon seit einigen Jahren dazu, dass Institutionen im Gesundheitswesen kontinuierlich mit Angriffen von Innentätern als auch von externen Cyberkriminellen zu kämpfen haben. Die Beispiele erfolgreicher Attacken sind Legion. Auch hierzulande hat es bereits spektakuläre Vorfälle mit schwerwiegenden Folgen gegeben. PII-Daten gehören zu den Daten, die sich besonders gut verkaufen lassen, und die finanzielle Motivation spielt bei externen Angreifern eine entscheidende Rolle. Es verwundert also nicht, dass die Zahl der Angriffe steigt und die verwendeten Vektoren zunehmend ausgefeilter werden. Ziel ist es, illegitim auf alle Arten von medizinischen Daten und Patienteninformationen zuzugreifen und dabei möglichst lange unentdeckt zu Werke zu gehen. Gleichzeitig gehört die Gesundheitsbranche zu den besonders stark regulierten Industriezweigen. Regulatorischer Druck und mögliche Strafen, stellen die Verantwortlichen vor nicht zu unterschätzende Herausforderungen.

  • Die ersten 90 Tage

    Sicherheit in einem wachstumsstarken Unternehmen auf- und ausbauen ist die zentrale Aufgabe eines designierten IT-Sicherheitschefs. Mit großer Wahrscheinlichkeit hat das Unternehmen bereits eine Reihe grundlegender Sicherheitsverfahren und Technologien implementiert, wie etwa Scan-Tools oder einen jährlichen Penetrationstest. Worin aber besteht das beste Fundament für maßgeschneiderte Sicherheitskonzepte? Welche Schritte sind geeignet Sicherheitsmaßnahmen einzuziehen, die mit dem Unternehmen wachsen? Neue und laufende Projekte, konkurrierende Prioritäten, Upgrades, potenzielle Sicherheitsschwachstellen und die 5-Jahresplanung. Mangelnde Betätigung und zu wenig Herausforderungen sind vermutlich das letzte über das sich ein Sicherheitsexperte beklagen muss. Angesichts der Fülle an Aufgaben mag es paradox anmuten: Trotzdem sollte man die Anfangsphase nutzen um sich zunächst gründlich zu orientieren. Nehmen Sie sich die Zeit, den aktuellen Status des Unternehmens gut zu verstehen. Dieses Verständnis trägt entscheidend dazu bei, präzise zu definieren wie der Status in Zukunft sein soll.

  • Wird Bluekeep zu WannaCry 2.0?

    Vor kurzem entdeckte Microsoft die Sicherheitslücke Bluekeep, die die schlimmsten Cyberangriffe seit der berüchtigten Ransomware-Attacke WannaCry aus 2017 ermöglichen könnte. WannaCry konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor WannaCry geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar. Mit Bluekeep droht sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung von Bluekeep und Bereitstellung des Patches durch Microsoft sind immer noch fast eine Millionen Systeme mit extern exponiertem RDP ungepatcht.

  • Der primäre Anwendungsfall unserer Zeit

    Es scheint ein Widerspruch zu sein: Obwohl die meisten Unternehmen viele ihrer Anwendungen in die Cloud migrieren, erfreut sich das klassische Rechenzentrum nach wie vor großer Beliebtheit. Seit nun mehr als einem Jahrzehnt virtualisieren Unternehmen ihre Rechenzentren und führen Cloud-Technologien ein. Und sagten einige Experten vor gut zehn Jahren voraus, dass das Rechenzentrum der Zukunft vollständig in der Cloud betrieben würde, sehen wir heute, dass dies nicht eingetreten ist. Stattdessen führten Unternehmen Hybrid- und Multi-Cloud-Umgebungen ein, die ihnen die Wahl geben, ihren Anwendungen und Daten das ideale Zuhause zu geben.

  • Modulare Malware: Bösartige Multitalente

    Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die für eine umfangreiche Verbreitung geschrieben wurde, ist Modularität zur neuen Norm geworden. Malware-Autoren organisieren sich zunehmend professionell und übernehmen und implementieren Praktiken der Softwareindustrie, einschließlich Qualitätssicherung und Tests, um den Erfolg von Angriffen zu optimieren. Als Reaktion auf die Anforderung, mehrere Fähigkeiten mit einer Malware-Datei zu erfüllen, hat sich modulare Malware zu einer funktionsreichen und flexiblen Angriffslösung für Cyberkriminelle entwickelt.