Barracuda full logo

Malware 101: Zusätzliche Payloads

Themen:
2. Nov.. 2023
|
Jonathan Tanner

Wenn Sie schon einmal die jährlichen Malware-Berichte gelesen haben, ist Ihnen wahrscheinlich aufgefallen, dass Trojaner in der Regel als die häufigste Bedrohung identifiziert werden. Wie wir jedoch bereits festgestellt haben, handelt es sich bei Trojanern lediglich um eine Infektionsmethode. Der Begriff beschreibt nicht die eigentliche Funktionalität und Ziele der Malware. Viele Trojaner enthalten zwar bestimmte Zielfunktionen, wie den Einsatz von Bots oder den Diebstahl von Informationen, aber oft wird ein Trojaner seinem Namensgeber voll und ganz gerecht, indem er einfach den eigentlichen Angriff in Form von zusätzlichen Payloads ausführt.

Im Zusammenhang mit Malware ist eine Payload ein Malware-Bestandteil, der von einem anderen Malware-Bestandteil oder möglicherweise von einem Benutzer im Falle von Implantaten in ein System gebracht wird. Wenn es von einem Trojaner eingesetzt wird, würde es als sekundäre Payload gelten, da es die zweite Malware ist, die im Rahmen des Angriffs verwendet wird, aber auch im weiteren Verlauf des Angriffs können zusätzliche Payloads eingesetzt werden.

Wie Dropper und Downloader funktionieren

Abgesehen von Implantaten, bei denen der Prozess manuell erfolgt, gibt es zwei Methoden, bei denen zusätzliche Payloads automatisch von anderer Malware wie Trojanern oder Bots bereitgestellt werden können. Sie können entweder in die Malware eingebettet sein, die sie einsetzt, oder aus dem Internet heruntergeladen werden.

Wenn die Payload in eine andere Malware eingebettet ist – was in der Regel nur bei Trojanern der Fall ist – wird sie im Allgemeinen als Dropper bezeichnet. Der Dropper wandelt die eingebettete Payload bei Bedarf in ihre ausführbare Form um und führt sie dann auf dem System aus. Der Konvertierungsprozess ist manchmal notwendig, weil die Payload nach bestimmten Standards kodiert ist, z. B. bei PDF-Dokumenten, bei denen eingebettete Dateien komprimiert und/oder in eine ASCII-Darstellung kodiert sein können. Die Konvertierung könnte auch dazu dienen, Vermeidungstechniken zu umgehen, um die eingebettete Payload zu verschleiern und so der Erkennung durch Anti-Malware-Lösungen zu entgehen.

Downloader – wie der Name schon sagt – laden die zusätzliche Payload herunter, die bereitgestellt werden soll, anstatt sie in die primäre Payload einzubetten. Es gibt noch einen dritten Begriff, der häufig verwendet wird: Loader. Dieser Begriff wird jedoch nicht einheitlich verwendet, so dass er sich bei einigen Antimalware-Anbietern auf einen Dropper und bei anderen auf einen Downloader beziehen kann. Ein Verweis auf die spezifische Dokumentation der Lösung mit Loader und sogar Dropper ist oft hilfreich, wenn eine Unterscheidung erforderlich ist. Es gibt sogar eine kleine Anzahl von Anbietern, die eingebettete Dateien als Loader und heruntergeladene Dateien als Dropper bezeichnen, was zur weiteren Verwirrung beiträgt.

Wie sich Dropper und Downloader der Entdeckung entziehen

Das Einbetten einer Payload gegenüber dem Herunterladen hat aus Sicht eines Angreifers, der versucht, unentdeckt zu bleiben, verschiedene Vorteile. Durch das Einbetten einer Payload wird kein zusätzlicher Netzwerkverkehr erzeugt, und die Gefahr, dass die Payload von Firewalls oder anderen Sicherheitslösungen, die den Netzwerkverkehr auf Malware analysieren, erkannt und/oder blockiert wird, ist geringer. Allerdings erhöht sich dadurch sowohl die Größe der ursprünglichen Malware als auch die Wahrscheinlichkeit, dass die zusätzliche Payload von der Sicherheitssoftware früher analysiert wird. In manchen Kontexten kann das bloße Vorhandensein einer eingebetteten Datei ausreichen, um zusätzliche Analyseschritte von Antimalware-Lösungen auszulösen.

Durch das Herunterladen zusätzlicher Payloads hingegen bleiben sowohl die Dateigröße als auch die auszuführenden Anweisungen kompakter. Außerdem können alle über ein System oder Netz gewonnenen Informationen bei der Bereitstellung der zusätzlichen Payload berücksichtigt werden, so dass auf der Grundlage dieser Informationen unterschiedliche Payloads bereitgestellt werden können. Es ist nicht ungewöhnlich, dass legitime Dateien Remote-Dateien herunterladen, so dass diese Aktion allein nicht ausreicht, um Verdacht zu erregen. Aber auch die Payload selbst unterliegt jeglicher netzwerkbasierter Sicherheit.

In beiden Fällen ist die Logik, die die Payload ausführt oder in einen Prozess lädt, weitaus schwieriger zu verbergen, es sei denn, der Dateityp ist für diese Art von Verhalten vorgesehen, z. B. die Tarnung als Installationsprogramm. Beide Bereitstellungsarten haben außerdem den Vorteil, dass die zusätzliche Payload von der ersten entkoppelt ist und somit auch die Erstellung und Pflege beider getrennt erfolgen kann. Ein Angreifer kann nämlich vorhandene Dropper oder Downloader getrennt von den Payloads schreiben oder verwenden. Auch diese können entweder vom Angreifer geschrieben werden, oder er kann stattdessen eine vorhandene Malware verwenden.

Kontinuierliche Entwicklung der Angriffe

Mit dem Aufschwung des Marktes für Malware-as-a-Service – der sich vor allem bei Ransomware großer Beliebtheit erfreut – und Tools, die die Konfiguration und Anpassung von Malware erleichtern, benötigt ein Angreifer keine Kenntnisse über das Schreiben von Malware, um eine Kampagne zu starten. Malware-Autoren sind auch nicht darauf angewiesen, Kampagnen zu starten, da es möglich ist, ihre Arbeit stattdessen als Produkt oder Dienstleistung zu vermarkten, was eine stärkere Spezialisierung und Arbeitsteilung bei allen Aspekten von Malware-Angriffen zulässt.

Da die Logik, die für die Vorbereitung und Ausführung zusätzlicher Payloads erforderlich ist, im Vergleich zu anderen Zielen relativ simpel ist, ist es auch viel einfacher, eine größere Anzahl von Dateitypen für diese Logik zu verwenden. Skripte oder Dateitypen, die Skripte enthalten können, können diese Art von Logik handhaben, während komplexere Interaktionen mit dem Betriebssystem oft ausführbare Dateien oder zumindest stabilere Skriptsprachen erfordern, die von einigen Betriebssystemen vielleicht nicht standardmäßig unterstützt werden.

Daher werden neben ausführbaren Dateien auch Microsoft Office-Dateien und PDFs häufig als Downloader oder Dropper verwendet. Dies bietet mehr Flexibilität bei der Durchführung eines Angriffs oder einer Kampagne sowie einige zusätzliche Möglichkeiten, nicht entdeckt zu werden. Die Einfachheit und Flexibilität, die Dropper und Downloader einem Angreifer bieten, haben sowohl zu einer weit verbreiteten Nutzung geführt als auch zusätzliche Herausforderungen für Sicherheitslösungen geschaffen, die sich anpassen müssen, um diese Art von Bedrohungen zu erkennen.

Die anderen Artikel der Reihe Malware 101 finden Sie hier

Jonathan Tanner

Jonathan ist ein Senior Security Researcher bei Barracuda Networks. Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
Malware 101: Erkennung und Behebung
Malware 101: Erkennung und Behebung
 Malware 101: Prävention
Malware 101: Prävention
 Malware 101: Dateisystemumgehung – Rootkits und Bootkits
Malware 101: Dateisystemumgehung – Rootkits und Bootkits
 Malware-Grundlagen: Umgehung des Dateisystems – nur im Speicher und in der Registrierung
Malware-Grundlagen: Umgehung des Dateisystems – nur im Speicher und in der Registrierung
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.