Malware 101: Bots, Backdoors und andere persistente Malware

Wie bei dem bereits erwähnten Keylogger versucht manche Malware, sich hartnäckig in einem System aufzuhalten, anstatt ihr Ziel zu erreichen und zu stoppen. Bots sind ein solcher Typ, der sich in den letzten Jahren sehr verbreitet hat. Bots warten im Wesentlichen auf Anweisungen eines Angreifers, was als nächstes zu tun ist – oder genauer gesagt auf Anweisungen eines vom Angreifer erstellten Servers, der als Command-and-Control-Server (C2) bekannt ist. Der Bot sucht regelmäßig nach neuen Anweisungen von diesem Server und führt sie aus. Die Funktionalität der Anweisungen muss meistens in den Bot codiert werden, bevor er verteilt wird, obwohl die Möglichkeit, Bots neue Funktionalität hinzuzufügen – im Wesentlichen ein Update auf die Malware anzuwenden – inzwischen üblich geworden ist. Diese Funktionalität-Komponenten werden häufig als Module bezeichnet.

Die spezifische Funktionalität der Anweisung/des Moduls kann sehr unterschiedlich sein. Es kann darum gehen, technische Daten über den Computer zurückzusenden, auf dem sich der Bot befindet. Daten, Zugangsdaten oder Tastaturanschläge zu stehlen (in diesem Fall wären die im vorherigen Artikel behandelten Ziele auch anwendbar), oder einen Denial-of-Service (DOS)-Angriff gegen einen bestimmten Server auszuführen. In Kombination mit vielen anderen Geräten, die von demselben Bot infiziert sind und Anweisungen von demselben Angreifer erhalten (was als Botnet bezeichnet wird), kann dies in katastrophalen Distributed-Denial-of-Service (DDOS)-Angriffen resultieren. Ein solcher Angriff wurde 2016 vom Mirai-Botnet gegen DynDNS durchgeführt und führte dazu, dass ein Großteil des Internets während des Angriffs in den Vereinigten Staaten nicht erreichbar war.

Wie Cyberkriminelle Botnets für optimierte Angriffe nutzen

Angesichts der vielfältigen Fähigkeiten von Bots ist es für Internetkriminelle durchaus üblich, Botnets zu erstellen, um deren Nutzung an andere Angreifer zu vermieten. Anstatt dass ein Angreifer die Infrastruktur für einen massiven DDOS-Angriff gegen ein bestimmtes Ziel aufbauen muss, kann er zu diesem Zweck ein vorhandenes Botnet mieten. Die Art der Funktionalität, die viele Bots bereitstellen, kann für Anti-Malware-Software und Netzwerk-Monitoring-Software relativ leicht zu erkennen sein. Aus Sicht der Angreifer bietet die Technologie glücklicherweise die Lösung für sie, da fast alles in einen Computer verwandelt werden kann.

Der Markt für das Internet der Dinge (IoT) ist voller Geräte, die zerlegte Versionen von Linux ausführen, die von Bots infiziert werden können. Auch Heimrouter werden im Allgemeinen mit ähnlichen Linux-Distributionen ausgeführt und sind sogar noch weiter verbreitet als IoT-Geräte. (Obwohl es nichts mit Malware zu tun hat, scheint es erwähnenswert, dass Router Netzwerkgeräte und KEINE IoT-Geräte sind.) Daher sind Router und IoT-Geräte sehr häufige Angriffsziele für Bot-Malware und bildeten das bereits erwähnte Mirai-Botnet.

Backdoors und Kryptominer

Bots mögen heute der Superstar unter der hartnäckigen Malware sein, aber eines der frühesten Ziele von Malware ist die Hintertür, die im Grunde eine Möglichkeit für den Angreifer schafft, sich zu einem zukünftigen Zeitpunkt seiner Wahl Zugriff auf das System zu verschaffen. Diese können in ihrer Komplexität sehr unterschiedlich sein und reichen von der einfachen sofortigen Öffnung eines Ports bis hin zu der Anforderung, dass eine bestimmte Abfolge von Anfragen vom System empfangen werden muss, um den Verbindungsport zu öffnen, was als „Port Knocking“ bezeichnet wird.

Vor allem im letzteren Fall können Hintertüren häufig erst dann entdeckt werden, wenn sie tatsächlich genutzt werden. Hintertüren gibt es schon länger als Malware. Zuvor wurden sie auf andere Weise eingesetzt, wie durch physischen Zugriff oder manuelles Hacken in ein System. Das Aufkommen von Malware bot jedoch eine gute Gelegenheit, mehr Automatisierung für die Erstellung von Hintertüren seitens des Angreifers bereitzustellen.

Eine Hintertür kann einfach aus einem offenen Port bestehen (oder einem, der im Falle von Port Knocking geöffnet werden kann), zu dem ein Angreifer eine Verbindung herstellen kann. Eine benutzerfreundlichere Version einer Hintertür ist der Fernzugriff-Trojaner (RAT). Diese fügen meistens weitere Funktionalität hinzu, einschließlich eines Client, den der Angreifer verwenden kann und möglicherweise einsetzbarer Module wie Keylogger, um die Funktionalität des RAT zu erhöhen. Während eine Hintertür eher mit Telnet oder SSH verglichen werden kann, ähnelt ein RAT eher einer Remote-Desktop-Anwendung.

Während Bots und Hintertüren allgemeinere Hartnäckigheit-Ziele darstellen, verfolgen Cryptominer nur einen einzigen Zweck: nämlich die Rechenleistung eines Geräts für das Mining von Kryptowährung zu stehlen. Cryptominer waren vor einigen Jahren sehr beliebt und haben den Prozentsatz der verwendeten Ransomware tatsächlich in einem Ausmaß gestört, dass manche Security-Experten dachten, sie könnten sie tatsächlich als Malware erster Wahl für finanziell motivierte Angreifer ersetzen. Veränderungen sowohl bei der Rentabilität des Krypto-Mining als auch bei den Ransomware-Taktiken (dies fiel mit einem Rückgang der Ransomware-Auszahlungen zusammen), änderte jedoch schließlich diesen Trend.

Konsequenzen persistenter Malware

Während keine Malware wirklich „verschwindet“ bis alle Reste ihrer Infektion beseitigt sind, bleibt hartnäckige Malware so lange aktiv, wie sie dazu in der Lage ist, anstatt einfach in den Ruhestand zu gehen, nachdem die Ziele erreicht sind. Dies gibt ihr sowohl eine Möglichkeit, entdeckt zu werden, als auch die Gelegenheit, ihren Schaden fortzusetzen. Im Falle von Hintertüren kann das Fehlen von Signalen der Malware im Netzwerk, wenn sie nicht aktiv genutzt wird, die Entdeckung deutlich erschweren. Es ermöglicht einem Angreifer außerdem, auf den günstigsten Zeitpunkt für einen Angriff zu warten.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.