Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

Vier Best Practices gegen bösartige Verwandlungskünstler

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.07.2018] Ob Viren, Würmer, Bots, Trojaner oder Keylogger, viele der gängigen Malware-Formen bergen nicht nur ein hohes Schadenspotential, sondern sind auch überaus wandlungsfähig. Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyberkriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Weise Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen. Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.

Bild: Digital Guardian

Christoph M. Kumpa: „Abwehrtechnologie muss auf der Verhaltensebene ansetzen.“

Bösartige Verwandlungskünstler: Wie polymorphe Malware agiert

Während polymorphe Malware manche ihrer Erscheinungsmerkmale ändert, bleibt ihre schädliche Funktion, beispielsweise als Ransomware oder Keylogger, jedoch unverändert. Polymorphismus wird verwendet, um die Mustererkennung zu umgehen, auf die sich Sicherheitslösungen wie traditionelle Antivirensoftware verlassen. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten, um herkömmliche AV-Lösungen auszuhebeln. Durch die Veränderung von Merkmalen erkennen signaturbasierte Security-Lösungen die Datei nicht als bösartig. Und selbst, wenn die Signatur identifiziert und in die Datenbank der AV-Lösung aufgenommen wird, kann polymorphe Malware weiterhin permanent ihre Signatur ändern und unentdeckt Angriffe durchführen. So sind Cyberkriminelle traditionellen Abwehrtechniken stets einen Schritt voraus.

Vier Best Practices zum Schutz vor polymorpher Malware

Um gegen diese Form der Malware gerüstet zu sein, ist eine Abwehrtechnologie, die auf der Verhaltensebene ansetzt, entscheidend. Diese sollte zudem Bestandteil eines mehrschichtigen Ansatzes sein, der Mitarbeiter, Prozesse und Sicherheitstechnologien kombiniert.

1. Verhaltensbasierte Erkennungswerkzeuge: Da polymorphe Malware entwickelt wurde, um der Erkennung durch herkömmliche Antiviren-Tools zu entgehen, verwenden Sicherheitslösungen der neuesten Generation fortschrittliche, verhaltensbasierte Erkennungstechniken. Verhaltensbasierte Lösungen wie Endpoint Detection and Response (EDR) oder Advanced Threat Protection (ATP) können Bedrohungen in Echtzeit erkennen, bevor Daten gefährdet werden. EDR-Tools überwachen Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Ein auf den Hostsystemen installierter Software-Agent bildet die Grundlage für die Ereignisüberwachung und das Reporting. Mithilfe fortschrittlicher Verfahren zur Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Dieser Vorgang kann automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösen. Zudem bieten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.
2. Software-Updates: Eine einfache Möglichkeit, Malware-Infektionen zu verhindern, besteht darin, die verschiedenen Anwendungen und Software-Tools des Unternehmens stets auf dem neuesten Stand zu halten. Hersteller von Unternehmenssoftware wie Microsoft, Oracle oder Adobe veröffentlichen regelmäßig Software-Updates, die kritische Sicherheits-Patches für bekannte Schwachstellen enthalten. Das Ausführen veralteter Software mit Sicherheitslücken eröffnet Angriffsflächen für Exploits, die zu einer Vielzahl von Malware-Infektionen führen können.
3. Sensibilisierung der Mitarbeiter für Phishing-Angriffe: Phishing-E-Mails beinhalten häufig bösartige Links oder Anhänge zur Verbreitung von Malware. Eine umfassende Aufklärung der Mitarbeiter, wie sie betrügerische Nachrichten erkennen können, trägt wesentlich dazu bei, diesen gängigen Bedrohungsvektor zu entschärfen.
4. Starke Passwörter: Konten mit starken, nicht mehrfach verwendeten Passwörtern zu schützen, die in regelmäßigen Abständen geändert werden, ist eine weitere bewährte Methode zum Schutz vor Malware. Unternehmen sollten ihre Mitarbeiter über die Standards zur Generierung starker Passwörter informieren und bei Bedarf Funktionen wie Multi-Faktor-Authentifizierung oder sichere Passwortmanager nutzen.

Die Kombination eines mehrschichtigen Security-Ansatzes mit verhaltensbasierten Sicherheitstechnologien wie Endpoint Detection and Response bietet einen grundlegenden Schutzwall gegen polymorphe Malware. Die Vorteile einer kontinuierlichen Transparenz aller Datenaktivitäten machen EDR zu einem wertvollen Bestandteil der Sicherheitsarchitektur, denn verhaltensbasierter Schutz ist wesentlich genauer als herkömmliche signaturbasierte Methoden. EDR-Tools ermöglichen IT-Teams, gängige Angriffe abzuwehren, erleichtert die Früherkennung bereits laufender Attacken durch externe Angreifer oder böswillige Insider und bietet eine rasche Reaktion auf erkannte Bedrohungen.

Weitere Infiormationen zum Thema:

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel