Malware 101: Implantate als Infektionsmethode

Menschliches Versagen ist für die Mehrheit von Malware verantwortlich, wenn es darum geht, Zugriff auf ein Gerät oder Netzwerk zu erhalten. Sei es in Form eines Benutzers, der von einem Trojaner ausgetrickst wurde, oder eines Softwareentwicklers, der versehentlich einen Fehler einführt, der ausgenutzt wird. Allerdings ist dies nicht die einzige Möglichkeit, wie Malware Fuß fassen kann, was uns zur dritten Infektionsmethode bringt: Implantate.

Implantate sind keine Fehler, sondern absichtliche Infektionen seitens eines Angreifers. Sie nutzen den Zugriff auf Systeme, um gezielt Malware zu verbreiten. Dieser Zugriff kann über digitale oder physische Mittel erfolgen.

Wie Implantate entstehen können

Exploits sind vielleicht nicht die häufigste Art, wie Malware Zugriff auf ein System erhält, aber sie sind eine gängige Methode für einen Angreifer, sich Zugriff auf ein Netzwerk zu verschaffen. Schwachstellen in jedem Teil des Netzwerk-Perimeters oder in jedem System, das eine Verbindung außerhalb davon herstellen kann, können ausgenutzt werden, um in einem Netzwerk Fuß zu fassen, ebenso wie Berechtigungen zu erweitern und/oder sich innerhalb des Netzwerks lateral zu bewegen, um Zugriff auf weitere Systeme zu erhalten. Sobald ein Angreifer Zugriff innerhalb eines Netzwerk hat, kann Malware implantiert werden, um die Ziele des Angreifers zu unterstützen. Selbst wenn Malware bereits für den ersten Zugriff genutzt wurde, halten sich viele Arten von Malware, wie beispielsweise Bots, weiterhin im Netzwerk auf und können zu einem späteren Zeitpunkt weitere Malware implantieren.

Auch die physische Security gehört zum Netzwerkperimeter und muss daher auch durch Zugriffskontrolle und -überwachung geschützt werden. Firewalls wurden entwickelt, um eine Barriere zu schaffen, die Angreifer fern hält, doch jedes System in einem Netzwerk befindet sich bereits hinter dieser Barriere. Der physische Zugriff auf ein System kann es einem Angreifer ermöglichen, Malware so einfach zu implantieren, als würde er ein USB-Gerät anschließen. Es stehen zwar viele Optionen für Schutz und Überwachung innerhalb des Netzwerks zur Verfügung, aber die Einsätze sind immer höher, nachdem die Bedrohung die Barriere überwindet, die einen Angreifer fernhalten soll.

Wie Trojaner zeigen, liegen Schwachstellen nicht immer in digitaler Form vor. Auch Menschen können eine Schwachstelle sein, ob es ein Benutzer ist, der versehentlich auf einen Trojaner hereinfällt oder seine Zugangsdaten an eine Phishing-Website weitergibt oder ein mit Absicht bösartig agierender Insider, der aus den unterschiedlichsten Gründen Malware implantiert oder Daten stiehlt. Der bösartige Insider möchte vielleicht Unternehmensdaten gegen Geld verkaufen, wurde von einem Angreifer kontaktiert und ihm wurde Geld für den Netzwerkzugriff angeboten, er fühlt sich an seinem Arbeitsplatz beleidigt und möchte sich rächen oder es ist einfach nur eine eifersüchtige bessere Hälfte, die Spyware auf dem Telefon der Partnerin/des Partners installiert.Ein böswilliger Insider kann auch ohne Absicht handeln, wie jemand, der von einem Angreifer dazu verleitet wird, Zugriff zu erteilen oder Informationen preiszugeben.

Die potenziellen Auswirkungen von Implantaten

Der erhaltene Zugriff ist nur so einflussreich wie das, worauf er Zugriff gewährt (oder was er zulässt). Während der Zugriff auf ein einzelnes Benutzerkonto ohne Administratorberechtigungen vielleicht keine großen Auswirkungen hat, kann der Zugriff auf eine Lieferkette enorme Auswirkungen haben. Deshalb haben Angriffe auf Software-Lieferketten in den letzten Jahren zugenommen.

Der Zugriff auf die Lieferkette kann gleichbedeutend mit dem Administratorzugriff nicht nur auf ein, sondern auf viele Konten sein – so viele, wie die kompromittierte Lieferkette nutzt. Wenn eine Code-Bibliothek von 100 Softwarekomponenten verwendet wird, kann sich das Implantieren von Malware in diese Bibliothek potenziell auf alle 100 Projekte auswirken, die sie verwenden. Eine der bekanntesten, wenn auch nicht ersten Kompromittierungen der Software-Lieferkette betraf die Netzwerk-Managementsoftware von SolarWinds. Da die infizierte Software von Natur aus über einen umfangreichen Netzwerkzugriff verfügte und einige hochrangige Kunden betroffen waren, darunter die US-Regierung, hatte dieser Angriff enorme Auswirkungen und dient als Beispiel für die Gefahren von Lieferketten-Angriffen.

Was auch immer das Motiv und die Situation sein mag: Die Gemeinsamkeit aller Malware-Implantate besteht darin, dass die Person, von der die Malware eingesetzt wird, absichtlich handelt. Zu diesem Zweck wird der Zugriff auf Geräte und/oder Netzwerke genutzt. Manchmal verschafft sich ein Angreifer Zugriff und manchmal wird ihm Zugriff erteilt, wie es bei bösartigen Insidern der Fall ist, die im Auftrag eines Angreifers handeln.

Je nach Umfang und Art dieses Zugriffs können die Auswirkungen sehr unterschiedlich und im Falle einer Kompromittierung der Lieferkette ziemlich umfangreich sein. Obwohl sie weitaus seltener sind als andere Infektionsmethoden, können Implantate schwieriger zu verhindern sein, da viele typische präventive Security-Maßnahmen umgangen werden können. Daher ist die Überwachung und Erkennung von Implantaten oder der erhaltene Zugriff zu deren Implantieren wichtig.