Malware 101: Einführung in Malware

Malware hat einen langen Weg zurückgelegt, seit der erste Virus 1971 geschrieben wurde, sowohl was die Ausgereiftheit als auch was die Verbreitung betrifft. Da immer mehr Informationen digitalisiert werden, gibt es auch immer mehr Versuche, diese Informationen zu stehlen und häufig ist Malware auch Teil der Angriffskette. Dies ist der erste Blogbeitrag einer Serie, die darauf abzielt, einen allgemeinen Überblick über Malware zu geben, insbesondere über die verschiedenen Typen von Malware, um ein besseres Verständnis der verschiedenen Taktiken und Ziele der unterschiedlichen Arten von Malware zu vermitteln.

Neue Varianten und zunehmende Komplexität

Die zunehmende Komplexität von Malware und ihren auf verschiedene Ziele ausgerichteten Varianten erfordert eine andere Denkweise über die verbreiteten Typen von Malware, daher werden wir sie kategorisieren, um Ihnen das Verständnis zu erleichtern. Die veralteten Zeichenfolgen wie „Win32/Trojan ...“, die von Antivirensoftware erstellt und verwendet werden, erfassen zahlreiche Varianten nicht vollständig, die mehrere unterschiedliche Typen enthalten, die in diesen Zeichenfolgen verwendet werden. Stattdessen wird nur ein einzelner Typ ausgewählt, um die Variante zu beschreiben, unabhängig davon, für wie viele Typen sie tatsächlich gilt.

Diese Zeichenfolgen beschreiben Aspekte der Malware und sind jedenfalls immer noch sehr nützlich. Sie beschreiben die verschiedenen Verhaltensweisen und Aspekte von Malware, aber sie erfassen einfach nicht ALLE Aspekte und Verhaltensweisen, wenn man bedenkt, wie facettenreich Malware geworden ist. Selbst der Begriff „Malware“ hat Jahre gebraucht, um sich als angemessener Begriff für die meiste Malware durchzusetzen und auch heute noch gibt es manche, die jegliche Malware als „Viren“ bezeichnen, obwohl dies einen speziellen Typen von Malware darstellt.

Die bekannteste statische Analysesoftware zum Erkennen von Malware wird nach wie vor als „Antivirus“ und nicht als „Anti-Malware“ bezeichnet, auch wenn diese Bezeichnung inzwischen eher die verwendeten Techniken als die Absicht beschreibt. Der Ursprung von Antivirensoftware liegt in einer Zeit, als Viren der am häufigsten verwendete und verbreitete Typ von Malware waren, daher auch die Namensgebung. Diese Viren taten oft mehr, als sich einfach selbst zu verbreiten, aber sie waren bei weitem nicht so ausgeklügelt und facettenreich wie die meiste Malware heute.

Die Veränderungen bei Malware beziehen sich seitdem größtenteils auf eine Verlagerung der Motive oder beziehungsweise die Einbeziehung von zwei sehr wesentlichen Motiven, die heute die Grundlage für die meiste verbreitete Malware sind: nationale/politische Ziele und finanzieller Gewinn. Der erste Virus und der erste Wurm wurden nur geschrieben, um zu beweisen, dass es möglich ist, sie zu schreiben.

Die Menge und Art der digital verfügbaren Daten, die Schaffung und Entwicklung von Marktplätzen zum Kaufen und Verkaufen solcher Daten ebenso wie die Bedeutung dieser Daten – sowohl für die Organisationen, die sie haben, als auch für andere – haben die Art und Weise weiterentwickelt, wie Malware geschrieben und verwendet wird. Dies hat wiederum die Art und Weise, wie Malware erkannt wird, weiterentwickelt.

Die Entwicklung der Malware-Erkennung

Anti-Malware-Software verwendet heutzutage verschiedene Techniken, obwohl traditionelle Antiviren-Software für Endbenutzer außerhalb von Geschäftsumgebungen leider am zugänglichsten und erschwinglichsten ist. Zu dieser Technik gehört das Durchsuchen von Dateien, Speichern, Netzwerkverkehr oder dergleichen nach bestimmten Byte-Sequenzen, von denen bekannt ist, dass sie mit Malware in Verbindung stehen. Hier kommen die bereits erwähnten Zeichenfolgen zur Klassifizierung ins Spiel, da diese intern den Byte-Sequenzen zugeordnet werden, die zur Erkennung der Malware verwendet wurden. Dies ist eine Form der statischen Analyse – einer Analyse, bei der die Datei nicht ausgeführt werden muss – aber es ist nicht die einzige Technik, die heutzutage verwendet wird. Es gibt auch eine Reihe von fortschrittlicheren statischen Analyseoptionen, die häufig durch maschinelles Lernen unterstützt werden, um die Erkennung zu unterstützen. Barracuda Advanced Threat Protection verwendet eine solche Technologie als Teil seiner Erkennung.

Die andere wichtige Art der Analyse und Erkennung von Malware ist die dynamische Analyse. Dabei wird die Probe ausgeführt und das Verhalten und die durchgeführten Aktionen werden beobachtet. Da dies möglicherweise das Ausführen einer bösartigen Datei beinhaltet, sollte es natürlich nicht auf den Computern der Endbenutzer geschehen. Normalerweise wird die Datei auf einen Server hochgeladen, der über eine sichere Sandbox verfügt, um die Datei auszuführen und das Verhalten zu beobachten. Deshalb wird die dynamische Analyse manchmal als „ Sandboxing“ bezeichnet. Die dynamische Analyse kann auch das Ausführen der Malware nachbilden. Das ist jedoch ein komplizierter Prozess und die meisten Lösungen ziehen es vor, einfach eine Sandbox-Umgebung zu verwenden. Die dynamische Analyse ist sowohl der Ursprung als auch das Herzstück von Advanced Threat Protection, da andere Methoden entweder für bestimmte Dateitypen gelten oder Dinge übersehen können.

Ein Blick in die Zukunft

Im Laufe dieser Blogserie wird in jedem Blogbeitrag ein anderer wichtiger Typ von Malware im Kontext von vier Kategorien behandelt, in denen die Aspekte von Malware beschrieben werden: Infektionsmethode, Nutzdaten/Ziel, Verbreitungsmethode und Umgehungsmethode.

Die Zeichenfolge „Trojaner“ aus dem vorherigen Beispiel bezieht sich beispielsweise auf eine Infektionsmethode – die Art, wie Malware ein Gerät infiziert. Wenn die Infektion erfolgreich ist, führt die Malware weitere Aktionen durch, um ihr/e Ziel/e zu erreichen, und das sind die Nutzdaten/das Ziel. Das kann ein einfaches Ziel sein, wie das Herunterladen einer weiteren Malware und deren Installation auf dem System, oder es kann aus mehreren Zielen bestehen, wie dem Stehlen von gespeicherten Passwörtern, gefolgt von dem Implantieren eines Bots auf dem System und dem Scannen des restlichen Netzwerks nach anderen anfälligen Rechnern. Die Malware versucht möglicherweise, sich entweder auf den infizierten Computer oder auf andere Rechner zu kopieren, was eine Verbreitung ist. Schließlich kann die Malware bestimmte fortschrittliche, aber gängige Designmuster anwenden, um der Erkennung zu entgehen, was eine Umgehungsmethode ist.

Die Typen in jeder Kategorien beziehen sich alle auf Zeichenfolgen der Klassifizierung, die von herkömmlicher Antivirensoftware verwendet werden. Da Malware jedoch mehrere Typen umfassen kann, helfen diese Kategorien dabei, das Verhalten zu unterscheiden, das der Typ tatsächlich beschreibt. Es wird behandelt, was jede Art von Malware tatsächlich bedeutet und tut, zusammen mit den Möglichkeiten, sich dagegen gegebenenfalls zu wehren – abgesehen von der offensichtlichen Schutzmethode, ein "Antivirenprogramm" zu installieren – ebenso wie die betreffende Geschichte und Entwicklung. Außerdem sind bemerkenswerte Beispiele enthalten, um eine Verbindung herzustellen zwischen dem Typen der Malware mit den bekanntesten Fällen, in denen sie zum Einsatz kam.