Barracuda full logo

Malware 101: Trojaner als Infektionsmethode

Themen:
30. Aug.. 2023
|
Jonathan Tanner

Die griechische Mythologie erzählt von einem jahrzehntelangen Krieg zwischen Achaea und Troja. Nachdem Troja viele Jahre lang der Belagerung standgehalten hatte, fällt es schließlich durch eine List – ein hölzernes Pferd, das man als Siegestrophäe ansah, war mit griechischen Truppen beladen, die so die Tore für ihre Truppen öffneten, sodass diese daraufhin die Stadt stürmen konnten. So wurde die Legende des Trojanischen Pferdes geboren. Heute wird dieser Begriff dazu verwendet, um Malware zu beschreiben, die als legitime Datei getarnt ist. Und es ist nicht eine Stadt, die dieser List zum Opfer fällt, sondern Computer oder sogar ganze Netzwerke. Die wartende Armee ist eine von beliebig vielen Payloads, die dieses Ziel erreichen sollen.

Im Zusammenhang mit Malware beschreibt ein Trojanisches Pferd – in der Regel einfach abgekürzt als „Trojaner“ bezeichnet – die Methode, mit der Malware auf ein Gerät gelangt, nämlich indem sie sich als etwas anderes tarnt und den Benutzer austrickst. Es gibt kein spezifisches universelles Ziel von Trojanern, abgesehen davon, sich Zugriff auf Geräte zu verschaffen, um den eigentlichen zielgerichteten Teil der Malware einzusetzen. Dies geschieht manchmal in Form einer weiteren Malware, die in die Malware eingebettet ist oder aus der Ferne heruntergeladen wird. Diese Untertypen des Trojaners werden als Loader bzw. Downloader bezeichnet (manchmal werden beide auch „Dropper“ genannt).

In anderen Fällen ist das Ziel direkt Teil der ursprünglichen Malware und Trojaner ist einfach eine Klassifizierung für den Aspekt, den Benutzer auszutricksen, während das Ziel als Unterklassifizierung hinzugefügt wird, die auf einem gemeinsamen Auftreten mit dem Social Engineering-Ansatz beruht. Letztendlich beziehen sich der Aspekt und die Terminologie des Trojaners einfach auf die Eigenschaft, einen Benutzer auszutricksen, weshalb Trojaner als Infektionsmethode eingestuft werden – die Art und Weise, wie Malware in ein System gelangt.

Ziele und Unterklassifizierungen von Trojanern

Häufige Ziele, die typischerweise als Unterkategorien von Trojanern verwendet werden, sind Banker, Infostealer/Passwortdiebe, Backdoors und die bereits erwähnten Funktionen Dropper/Loader/Downloader. Neben der Einrichtung sekundärer Payloads besteht das häufigste Ziel von Trojanern – entsprechend ihrer derzeit üblichen Definition – darin, Informationen zu stehlen. Banker stehlen Bankinformationen und -zugangsdaten, während Infostealer und Passwortdiebe in der Regel eher auf Zugangsdaten im Allgemeinen abzielen. Backdoors gewähren einem Angreifer lediglich zukünftigen Zugriff auf das Gerät.

Es ist jedoch durchaus möglich, dass diese Ziele zusammen mit anderen Infektionsmethoden auftreten. Deshalb werden sie in dieser Serie in eigenen Artikeln zu den Zielen von Malware im Allgemeinen näher erläutert.

Ein Trojaner ist nicht die einzige Möglichkeit, Bankdaten zu stehlen. Diese Art von Malware ist jedoch die häufigste und erste, die für diesen Zweck verwendet wurde. Es ist wahrscheinlich, dass die meisten, wenn nicht alle Unterklassifizierungen von Trojanern auf die gleiche Weise entstanden sind und einfach als Unterklassifizierungen eingeordnet wurden, weil sie zu der Zeit nicht häufig genug vorkamen, um eine eigene Klassifizierung zu rechtfertigen, und weil es aufgrund des gemeinsamen Auftretens und der potenziellen Erkennungslogik damals sinnvoll war, sie unter Trojanern zusammenzufassen. Heute jedoch, angesichts der Komplexität von Malware und der Zusammenstellung verschiedener Typen und Techniken, ist es wichtig zu verstehen, dass diese Ziele von der Infektionsmethode getrennt sind.

Die Evolution von Trojanern

Mit der Weiterentwicklung der Technologie im Allgemeinen haben sich auch Malware und insbesondere Trojaner weiterentwickelt. Viele Dokumentenformate enthalten irgendeine Form von Skripting, um sie vielseitiger zu machen, und da es immer einfacher geworden ist, Malware in Form von ausführbaren Dateien zu blockieren (manchmal auch einfach durch das Blockieren von ausführbaren Dateien im Allgemeinen, wie es bei E-Mails sehr oft der Fall ist), verlassen sich Trojaner zunehmend auf verschiedene Dateiformate, insbesondere auf Dokumentendateiformate. Vor allem bei Droppern muss die eigentliche Logik der Malware nicht besonders komplex sein und auch der Funktionsumfang der Skriptsprache muss nicht besonders robust sein, da es nur darum geht, die nächste Payload auf das System zu schleusen und sie auszuführen.

Microsoft Office-Dateien sind seit vielen Jahren ein sehr gängiges Dateiformat für Trojaner, die sich vor allem die Makrofunktion zunutze machen. Die Nutzung von Dynamic Data Exchange (DDE) war vor einigen Jahren sehr beliebt, da die überwiegende Mehrheit der Erkennungsmethoden auf die Erkennung und Analyse von Makros angewiesen war. DDE wurde schließlich standardmäßig deaktiviert, was dazu führte, dass Makros wieder an Popularität gewannen. Aber da auch Makros jetzt standardmäßig deaktiviert sind, ist es wahrscheinlich, dass andere Methoden oder Dateiformate in den kommenden Jahren dominieren werden.

Adobe PDF-Dateien sind ebenfalls ein gängiges Format, obwohl sie weit weniger verbreitet sind als Microsoft Office, was wahrscheinlich auf die Verwendung von JavaScript als Skriptsprache zurückzuführen ist, die aus der Sicht eines Angreifers weitaus eingeschränkter ist als die von Makros verwendete Sprache VBScript. Tatsächlich ist es relativ üblich, dass PDF-Malware VBScript aufruft, was die geringere Popularität von PDF-Malware erklären kann, da es für legitime Dateien eigentlich keinen Grund gibt, dies zu tun, was wiederum die Entdeckung erleichtert.

Mit der Weiterentwicklung von Sicherheitspraktiken und -software rückt Social Engineering immer mehr in den Vordergrund der Angriffsmethoden, denn es genügt ein einziger Benutzer, der ausgetrickst wird, um Zugang zu einem ganzen Netzwerk zu erhalten. Social Engineering ist außerdem weniger kostspielig als das Auffinden und Ausnutzen von Softwarefehlern und ist gleichzeitig sehr effektiv. Umgekehrt ist der Einsatz von Technologie eine viel einfachere Sicherheitsmethode als eine angemessene Schulung des Sicherheitsbewusstseins für jeden Benutzer oder Mitarbeitenden – und selbst eine angemessene Schulung liefert nicht immer konsistente und effektive Ergebnisse. Dennoch ist eine angemessene Sicherheitsschulung von entscheidender Bedeutung für die Bekämpfung heutiger Bedrohungen, einschließlich Malware.

Jonathan Tanner

Jonathan ist ein Senior Security Researcher bei Barracuda Networks. Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.