Malware 101: Logikbomben verwenden, um der Entdeckung zu entgehen

Während die Spionage bei weitem eine der produktivsten Aktivitäten der Beteiligten am Kalten Krieg war und bis heute eine reichhaltige Quelle für Spionagefilme und -sendungen darstellt, war diese Ära auch die Geburtsstunde der Cyberkriegsführung. Im Jahr 1982 beschloss die CIA, eine als Pipeline-Software getarnte Malware zu entwickeln, da sie den Erfolg des KGB beim Diebstahl von Informationen und Technologie aus den USA satt hatte.

Die Software funktionierte für eine bestimmte Zeit planmäßig und begann dann, Signale an die von ihr gesteuerten Pumpen und Ventile der Pipeline zu senden, die zu einer Beschädigung der Ausrüstung und schließlich zu einer Explosion entlang einer der Pipelines der Sowjetunion führen würden. Diese Malware war die erste sogenannte Logikbombe: eine Umgehungsmethode, bei der Malware darauf wartet, dass bestimmte Bedingungen erfüllt sind, bevor sie böswillig handelt (oder „detoniert“, um einen Begriff zu verwenden, der dem Namen besser entspricht).

Funktionsweise von Logikbomben

Eine Logikbombe kann eine beliebige Anzahl verschiedener Bedingungen als Auslöser verwenden, wobei die Zeit eine der häufigsten Bedingungen ist. Die CIA-Malware verwendete ein Zeitintervall als Bedingung, während der Michaelangelo-Virus, der in dem Artikel über Viren besprochen wurde, ein bestimmtes Datum (6. März) verwendete. Der Elk-Cloner-Virus hingegen nutzte die Anzahl der Starts seit der Infektion als logischen Auslöser. Logikbomben sind vielleicht nicht die raffinierteste aller Umgehungsmethoden, aber sie können auch heute noch sehr effektiv sein.

Bei der dynamischen Analyse handelt es sich um eine Technik, die das Verhalten einer bestimmten Datei untersucht. Sie ist bei Anti-Malware-Software und der manuellen Malware-Analyse weit verbreitet. Sowohl die Software als auch die Analysten können jedoch nur so viel Zeit auf jede einzelne Datei verwenden, da es noch viele weitere Dateien zu analysieren gibt. Indem die Ausführung von Malware um einige Stunden verzögert wird, können beide manchmal dazu verleitet werden, eine Datei bei der ersten Überprüfung für nicht bösartig zu halten, obwohl sie es in Wirklichkeit ist.

Natürlich sind Logikbomben unter Analysten und Anti-Malware-Firmen wohlbekannt, und bei der Analyse werden oft Methoden eingesetzt, die der Malware vorgaukeln, dass gängige logische Auslöser erfüllt wurden. Dennoch geht der Kampf zwischen Angreifern und Verteidigern ständig weiter, und fortgeschrittenere Malware-Autoren werden nach neuen Techniken suchen, um ihre Malware so lange wie möglich der Erkennung zu entziehen.

Tarnung und Täuschung

Auch außerhalb des Anwendungsbereichs von Logikbomben ist es nicht ungewöhnlich, dass sich Angreifer Zugang zu einem Netzwerk verschaffen (sei es mithilfe von Malware oder auf andere Weise) und Tage oder sogar Wochen warten, bevor sie die beabsichtigten Malware-Systeme ins Netzwerk einschleusen. Diese Technik wird vor allem bei Ransomware häufig eingesetzt, da die Malware ihr Ziel nicht erreicht und die Angreifer somit nicht die Möglichkeit haben, das Lösegeld einzufordern.

Während sich der Angreifer unbemerkt im Netzwerk aufhält, kann er Informationen darüber und die darin befindlichen Systeme sammeln. Dabei wird er versuchen, nicht entdeckt zu werden, um die Erfolgschancen des Angriffs zu erhöhen. Sogar Bots sammeln oft solche Informationen und senden sie an die Command-and-Control-Server.

Bei Logikbomben geht es um Tarnung und Täuschung (das Programm, das die erste Logikbombe herstellte, hieß „Deception Program“), was sehr effektiv sein kann, um die Entdeckung durch Verteidiger und Cybersecurity-Software zu umgehen. Sie mögen weniger technisch ausgefeilt sein als andere Malware und Umgehungstechniken, dafür sind sie ziemlich strategisch. Insbesondere das Verstecken vor Anti-Malware-Software erhöht die Erfolgsquote von Malware-Angriffen erheblich und ist ein gemeinsamer Nenner bei fast allen Umgehungstechniken.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.