- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Mustererkennung umgehen


Polymorphe Malware – Meister der Tarnung
Vier Best Practices gegen bösartige Verwandlungskünstler

- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Ob Viren, Würmer, Bots, Trojaner oder Keylogger, viele der gängigen Malware-Formen bergen nicht nur ein hohes Schadenspotential, sondern sind auch überaus wandlungsfähig. Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyberkriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Manier Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen. Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.

Bösartige Verwandlungskünstler: Wie polymorphe Malware agiert
Während polymorphe Malware manche ihrer Erscheinungsmerkmale ändert, bleibt ihre schädliche Funktion, beispielsweise als Ransomware oder Keylogger, jedoch unverändert. Polymorphismus wird verwendet, um die Mustererkennung zu umgehen, auf die sich Sicherheitslösungen wie traditionelle Antivirensoftware verlassen. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten, um herkömmliche AV-Lösungen auszuhebeln. Durch die Veränderung von Merkmalen erkennen signaturbasierte Security-Lösungen die Datei nicht als bösartig. Und selbst, wenn die Signatur identifiziert und in die Datenbank der AV-Lösung aufgenommen wird, kann polymorphe Malware weiterhin permanent ihre Signatur ändern und unentdeckt Angriffe durchführen. So sind Cyberkriminelle traditionellen Abwehrtechniken stets einen Schritt voraus.

Vier Best Practices zum Schutz vor polymorpher Malware
Um gegen diese Form der Malware gerüstet zu sein, ist eine Abwehrtechnologie, die auf der Verhaltensebene ansetzt, entscheidend. Diese sollte zudem Bestandteil eines mehrschichtigen Ansatzes sein, der Mitarbeiter, Prozesse und Sicherheitstechnologien kombiniert.

1. Verhaltensbasierte Erkennungswerkzeuge: Da polymorphe Malware entwickelt wurde, um der Erkennung durch herkömmliche Antiviren-Tools zu entgehen, verwenden Sicherheitslösungen der neuesten Generation fortschrittliche, verhaltensbasierte Erkennungstechniken. Verhaltensbasierte Lösungen wie Endpoint Detection and Response (EDR) oder Advanced Threat Protection (ATP) können Bedrohungen in Echtzeit erkennen, bevor Daten gefährdet werden. EDR-Tools überwachen Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank.

Ein auf den Hostsystemen installierter Software-Agent bildet die Grundlage für die Ereignisüberwachung und das Reporting. Mithilfe fortschrittlicher Verfahren zur Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Dieser Vorgang kann automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösen. Zudem bieten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.

2. Software-Updates: Eine einfache Möglichkeit, Malware-Infektionen zu verhindern, besteht darin, die verschiedenen Anwendungen und Software-Tools des Unternehmens stets auf dem neuesten Stand zu halten. Hersteller von Unternehmenssoftware wie Microsoft, Oracle oder Adobe veröffentlichen regelmäßig Software-Updates, die kritische Sicherheits-Patches für bekannte Schwachstellen enthalten. Das Ausführen veralteter Software mit Sicherheitslücken eröffnet Angriffsflächen für Exploits, die zu einer Vielzahl von Malware-Infektionen führen können.

3. Sensibilisierung der Mitarbeiter für Phishing-Angriffe: Phishing-E-Mails beinhalten häufig bösartige Links oder Anhänge zur Verbreitung von Malware. Eine umfassende Aufklärung der Mitarbeiter, wie sie betrügerische Nachrichten erkennen können, trägt wesentlich dazu bei, diesen gängigen Bedrohungsvektor zu entschärfen.

4. Starke Passwörter: Konten mit starken, nicht mehrfach verwendeten Passwörtern zu schützen, die in regelmäßigen Abständen geändert werden, ist eine weitere bewährte Methode zum Schutz vor Malware. Unternehmen sollten ihre Mitarbeiter über die Standards zur Generierung starker Passwörter informieren und bei Bedarf Funktionen wie Multi-Faktor-Authentifizierung oder sichere Passwortmanager nutzen.

Die Kombination eines mehrschichtigen Security-Ansatzes mit verhaltensbasierten Sicherheitstechnologien wie Endpoint Detection and Response bietet einen grundlegenden Schutzwall gegen polymorphe Malware. Die Vorteile einer kontinuierlichen Transparenz aller Datenaktivitäten machen EDR zu einem wertvollen Bestandteil der Sicherheitsarchitektur, denn verhaltensbasierter Schutz ist wesentlich genauer als herkömmliche signaturbasierte Methoden. EDR-Tools ermöglichen IT-Teams, gängige Angriffe abzuwehren, erleichtert die Früherkennung bereits laufender Attacken durch externe Angreifer oder böswillige Insider und bietet eine rasche Reaktion auf erkannte Bedrohungen.
(Digital Guardian: ra)

eingetragen: 10.08.18
Newsletterlauf: 27.08.18

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Fachkräfte im Bereich Cybersicherheit

    Laut einer im Herbst letzten Jahres von der (ISC)² veröffentlichten Studie beläuft sich der Mangel an Fachkräften im Bereich Cybersicherheit derzeit auf nahezu 3 Millionen weltweit. Der Befund an sich ist nicht überraschend, allerdings klafft die Schere immer weiter auseinander. Unterbesetzte IT- und IT-Sicherheitsabteilungen auf der einen Seite, und eine sich in Art und Umfang rasant weiter entwickelnde Bedrohungslandschaft auf der anderen. Gut ausgebildete IT-Sicherheitsfach- und Führungskräfte sind Mangelware und selten lange auf Jobsuche. Die Lücke zwischen Angebot und Nachfrage ist beträchtlich. Die Folgen bekommen Unternehmen täglich zu spüren.

  • Security-GAU: Advanced Persistent Threats

    Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und geben ihnen dauerhaft Zugriff auf sensible Dateien wie Produktionspläne, Entwicklungsberichte, Kommunikationsdaten oder Sitzungsprotokolle. Eine ständige Analyse des Datenverkehrs im Netzwerk kann jedoch auch solche Angriffe aufdecken.

  • Mit UEBA die Sicherheit der IT erhöhen

    Das Verhältnis von erfolgreichen und nicht erfolgreichen Cyberangriffen auf Unternehmen schätzen Experten auf 80 zu 20 ein. Und nein, die Zahlen sind keinesfalls verdreht: Experten gehen tatsächlich davon aus, dass viermal so viele Angriffe erfolgreich sind, wie abgewehrt werden. Zwar werden erfolgreiche Cyberbangriffe auf Organisationen jeder Art in den Schlagzeilen tagtäglich publik und man sollte meinen, diese seien die Ausnahme. Tatsächlich stellen diese Angriffe jedoch nur die sichtbare Spitze des Eisbergs dar. Dies gibt zu denken, geben Unternehmen doch jährlich Milliarden für den Schutz ihrer IT aus, deren Abwehrstrategien auf Prävention und reaktionäres Management von Bedrohung basieren. Und es muss die Frage gestellt werden, ob diese eingesetzten Sicherheitsprodukte denn überhaupt noch geeignet sind, vor heutigen Cyberattacken schützen zu können. Denn eines ist sicher: die derzeitigen Cyberbedrohungen entwickeln sich ständig weiter - und die IT-Security muss mit ihnen Schritt halten. Doch wie kann die IT-Security ihren Rückstand aufholen?

  • Die Strategie der Cyberkriminellen

    Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder System-Schwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social-Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.

  • IAM eine der grundlegenden Sicherheitsmaßnahme

    Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" - sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.