- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Mustererkennung umgehen


Polymorphe Malware – Meister der Tarnung
Vier Best Practices gegen bösartige Verwandlungskünstler

- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Ob Viren, Würmer, Bots, Trojaner oder Keylogger, viele der gängigen Malware-Formen bergen nicht nur ein hohes Schadenspotential, sondern sind auch überaus wandlungsfähig. Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyberkriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Manier Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen. Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.

Bösartige Verwandlungskünstler: Wie polymorphe Malware agiert
Während polymorphe Malware manche ihrer Erscheinungsmerkmale ändert, bleibt ihre schädliche Funktion, beispielsweise als Ransomware oder Keylogger, jedoch unverändert. Polymorphismus wird verwendet, um die Mustererkennung zu umgehen, auf die sich Sicherheitslösungen wie traditionelle Antivirensoftware verlassen. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten, um herkömmliche AV-Lösungen auszuhebeln. Durch die Veränderung von Merkmalen erkennen signaturbasierte Security-Lösungen die Datei nicht als bösartig. Und selbst, wenn die Signatur identifiziert und in die Datenbank der AV-Lösung aufgenommen wird, kann polymorphe Malware weiterhin permanent ihre Signatur ändern und unentdeckt Angriffe durchführen. So sind Cyberkriminelle traditionellen Abwehrtechniken stets einen Schritt voraus.

Vier Best Practices zum Schutz vor polymorpher Malware
Um gegen diese Form der Malware gerüstet zu sein, ist eine Abwehrtechnologie, die auf der Verhaltensebene ansetzt, entscheidend. Diese sollte zudem Bestandteil eines mehrschichtigen Ansatzes sein, der Mitarbeiter, Prozesse und Sicherheitstechnologien kombiniert.

1. Verhaltensbasierte Erkennungswerkzeuge: Da polymorphe Malware entwickelt wurde, um der Erkennung durch herkömmliche Antiviren-Tools zu entgehen, verwenden Sicherheitslösungen der neuesten Generation fortschrittliche, verhaltensbasierte Erkennungstechniken. Verhaltensbasierte Lösungen wie Endpoint Detection and Response (EDR) oder Advanced Threat Protection (ATP) können Bedrohungen in Echtzeit erkennen, bevor Daten gefährdet werden. EDR-Tools überwachen Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank.

Ein auf den Hostsystemen installierter Software-Agent bildet die Grundlage für die Ereignisüberwachung und das Reporting. Mithilfe fortschrittlicher Verfahren zur Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Dieser Vorgang kann automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösen. Zudem bieten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.

2. Software-Updates: Eine einfache Möglichkeit, Malware-Infektionen zu verhindern, besteht darin, die verschiedenen Anwendungen und Software-Tools des Unternehmens stets auf dem neuesten Stand zu halten. Hersteller von Unternehmenssoftware wie Microsoft, Oracle oder Adobe veröffentlichen regelmäßig Software-Updates, die kritische Sicherheits-Patches für bekannte Schwachstellen enthalten. Das Ausführen veralteter Software mit Sicherheitslücken eröffnet Angriffsflächen für Exploits, die zu einer Vielzahl von Malware-Infektionen führen können.

3. Sensibilisierung der Mitarbeiter für Phishing-Angriffe: Phishing-E-Mails beinhalten häufig bösartige Links oder Anhänge zur Verbreitung von Malware. Eine umfassende Aufklärung der Mitarbeiter, wie sie betrügerische Nachrichten erkennen können, trägt wesentlich dazu bei, diesen gängigen Bedrohungsvektor zu entschärfen.

4. Starke Passwörter: Konten mit starken, nicht mehrfach verwendeten Passwörtern zu schützen, die in regelmäßigen Abständen geändert werden, ist eine weitere bewährte Methode zum Schutz vor Malware. Unternehmen sollten ihre Mitarbeiter über die Standards zur Generierung starker Passwörter informieren und bei Bedarf Funktionen wie Multi-Faktor-Authentifizierung oder sichere Passwortmanager nutzen.

Die Kombination eines mehrschichtigen Security-Ansatzes mit verhaltensbasierten Sicherheitstechnologien wie Endpoint Detection and Response bietet einen grundlegenden Schutzwall gegen polymorphe Malware. Die Vorteile einer kontinuierlichen Transparenz aller Datenaktivitäten machen EDR zu einem wertvollen Bestandteil der Sicherheitsarchitektur, denn verhaltensbasierter Schutz ist wesentlich genauer als herkömmliche signaturbasierte Methoden. EDR-Tools ermöglichen IT-Teams, gängige Angriffe abzuwehren, erleichtert die Früherkennung bereits laufender Attacken durch externe Angreifer oder böswillige Insider und bietet eine rasche Reaktion auf erkannte Bedrohungen.
(Digital Guardian: ra)

eingetragen: 10.08.18
Newsletterlauf: 27.08.18

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.