Malware 101: Exploits als Infektionsmethode

Wir sind alle Menschen und daher machen wir manchmal Fehler. Dazu gehören auch Softwareentwickler, die beim Schreiben von Software manchmal Fehler machen, was als „Bug“ in der Software bezeichnet wird. Der Zugriff auf ein Gerät ist die erste Herausforderung für jede Malware, denn erst wenn sie Zugriff hat, kann sie weitere Aktionen ausführen. Während es bei einem Trojaner davon abhängt dass ein Benutzer ausgetrickst wird, um sich diesen Zugriff zu verschaffen, nutzt ein Exploit stattdessen Softwarefehler aus. Angreifer können Exploits nutzen, um sich einen ersten Zugriff auf ein Gerät oder Netzwerk zu verschaffen, einen günstigeren Zugriff darauf zu erhalten oder einfach anderen Benutzern den Zugriff zu verweigern.

Exploits sind keineswegs auf Malware beschränkt, aber sie werden häufig von Malware verwendet, um Zugriff auf Systeme zu erhalten, die ansonsten geschützt wären. Da es sich um eine Infektionsmethode handelt, ist es bei Exploits nicht erforderlich, einen Benutzer auszutricksen, denn der ausgenutzte Fehler ist bereits in der Software vorhanden und muss nicht durch Social Engineering erzeugt werden.

Malware kann Exploits jedoch für mehr als den ersten Zugriff nutzen und daher gleichzeitig mit Trojanern vorkommen. Ein Trojaner könnte beispielsweise einen Exploit nutzen, um Privilegien zu erweitern oder vielleicht sogar selbst den ersten Zugriff zu erhalten, vor allem angesichts der Verlagerung auf Dokumenten-basierte Trojanern im Laufe der Jahre, die aus Gründen der Security von vornherein Aspekte der Host-Systeme isolieren. Exploits können Trojanern dabei helfen, diese Security-Ebene zu durchdringen. Exploits werden häufig auch mit Methoden von Neu-Infizierung gekoppelt, speziell mit Würmern, um die Ausbreitung auf neue Systeme ohne Benutzerinteraktion zu unterstützen.

Wie Exploits aufgedeckt werden und wie sie der Entdeckung entgehen

Da Exploits auf Softwarefehlern beruhen, können diese Fehler durch Security-Updates der Software behoben werden. Manchmal werden diese Korrekturen vorgenommen, bevor der Exploit überhaupt aus bösartigen Gründen genutzt wird, beispielsweise wenn er von Security-Experten entdeckt wird. Manchmal werden Exploits jedoch aufgedeckt und/oder genutzt, bevor sie gepatcht werden. Dies wird als Zero-Day-Exploit bezeichnet. Da es noch keine Behebung gibt, können diese Exploits sehr viel Schaden anrichten, vor allem dann, wenn sie die Ausführung von Code aus der Ferne zulassen, was es einem Angreifer ermöglicht, seinen eigenen Code unter Verwendung des Exploits auszuführen, als wäre er ein legitimer Teil der Software, die den Fehler enthält.

Die breite Verwendung von Zero-Day macht die Verantwortlichen für die Wartung der Software sofort auf den Fehler aufmerksam und veranlasst sie dazu, so schnell wie möglich einen Security-Patch bereitzustellen, ebenso wie Security-Anbieter, deren Software in der Lage ist, verwendete Exploits zu erkennen. Es kommt zu einer Art Wettlauf zwischen Angreifern und Verteidigern: Die eine Seite versucht, den Exploit so weit wie möglich auszunutzen, bevor er gepatcht wird oder erkennbar ist und die andere Seite versucht, den Exploit selbst zu patchen oder zu erkennen.

Zero-Day-Exploits können überwältigend sein, bis sie gepatcht werden. Das Patchen wird zu einer hohen Priorität, sobald die Autoren der Software, die den Fehler enthält, davon erfahren. Dies geschieht in der Regel entweder durch die Verwendung, weil sie bereits veröffentlicht sind oder durch die Entdeckung durch einen Security-Experten, der nach Exploits in Software sucht. Während Letzteres außerhalb der Kontrolle eines Angreifers liegt, ist Ersteres nicht unbedingt auch außerhalb der Reichweite.

Raffiniertere Angreifer, wie nationalstaatliche Gruppen– allgemein als Advanced Persistent Threats (APTs) bezeichnet – können Exploits eingeschränkt entdecken und einsetzen, um ihre Entdeckung durch die Softwareautoren zu verhindern. 2016 veröffentlichte eine Gruppe namens The Shadow Brokers eine Reihe von Zero-Day-Exploits, die sie angeblich von der Equation Group (vermutlich eine Abteilung innerhalb der U.S. National Security Agency) erhalten hatten. Während dieses Leck dazu führte, dass die Exploits in großem Umfang genutzt und anschließend gepatcht wurden, wurden die Exploits bis zu dem Leck für die Nutzung in geringem Umfang geheim gehalten, um eine Entdeckung und ein Patchen zu verhindern.

Andere Nutzung von Exploits durch Angreifer

Auch wenn dies etwas außerhalb des Rahmens dieser Serie liegt, ist es erwähnenswert, dass Exploits auch häufig von Angreifern manuell genutzt werden und nicht in Malware enthalten sind. Die Bewegung durch das Netzwerk eines Opfers, erfordert häufig Exploits um entweder einen besseren Zugriff zu erhalten (Erweiterung von Privilegien) oder zu anderen Maschinen zu gelangen (laterale Bewegung). Die gleichen Techniken können auch von Malware verwendet werden, sind aber manchmal zu komplex, um sie in der Malware zu berücksichtigen, da jedes Netzwerk anders ist und daher möglicherweise spezielle Techniken an das Netzwerk angepasst werden müssen. Malware kann auch später während des Angriffs implantiert werden, sobald ein Angreifer die für seine Ziele am besten geeignete Zugriffsebene erreicht hat.

Eine weitere gängige Verwendung von Exploits im Zusammenhang mit Malware: Exploit-Kits kombinieren mehrere bekannte Browser-Exploits in der Hoffnung, nicht gepatchte Systeme, die eine bestimmte Webseite aufrufen, mit Malware zu infizieren. Auch wenn es häufig darum geht, einen Benutzer überhaupt dazu zu verleiten, die Website zu besuchen, unterscheidet sich dies von Trojanern, da der Social-Engineering-Aspekt von der Malware selbst entfernt ist und eher die Form von Phishing oder bösartiger Werbung annimmt, die das Werbenetzwerk dazu bringt, das Exploit-Kit zu hosten.

Die Macht des Patchings

Exploits sind äußerst vielseitige Angriffstechniken, die Malware beinhalten können oder auch nicht. Ihre Haupteinschränkung besteht darin, dass der Exploit nicht mehr funktioniert, sobald diese Fehler gepatcht sind, da sie auf Softwarefehlern beruhen. Leider kümmern sich viele Benutzer und Organisationen nicht rechtzeitig um die Aktualisierung von Security-Patches und Software-Updates. Daher bleiben viele Exploits auch noch lange brauchbare Angriffsmethoden, wenn sie es nicht mehr sein sollten.

Aus diesem Grund wird in der überwiegenden Mehrheit der Artikel, in denen Abhilfemaßnahmen oder allgemeine Security-Praktiken erläutert werden, darauf hingewiesen, dass Updates und Security-Patches rechtzeitig installiert werden müssen. Je weniger Systeme noch anfällig für einen Exploit sind, desto weniger effektiv sind die Exploits. Das wiederum bedeutet, es ist unwahrscheinlicher, dass ein Angreifer einen Exploit in Malware einbaut, da Malware-Taktiken und -Techniken dazu tendieren, sich auf das zu verlassen, was am effektivsten ist.