Malware 101: Erkennung und Behebung

Es ist eine allgemeingültige Wahrheit im Bereich der Cybersicherheit, dass ein Angreifer, der entschlossen und raffiniert genug ist, fast immer einen Weg zum Ziel findet. Keine Sicherheitslösung kann alles abfangen, und selbst bei einem robusten, mehrschichtigen Ansatz mit verschiedenen Lösungen gibt es immer eine Schwachstelle, die ausgenutzt werden kann. Außerdem nimmt das Kosten-Nutzen-Verhältnis ab einem bestimmten Punkt deutlich ab.

Nehmen wir als Beispiel VirusTotal: Die Mehrheit der gängigen Malware wird von mindestens der Hälfte der Antivirenlösungen auf der Plattform erkannt (wobei die Anzahl der Erkennungen im Allgemeinen steigt, je länger die betreffende Malware im Umlauf ist). Anspruchsvollere Beispiele werden jedoch möglicherweise nur von einer oder zwei Lösungen rechtzeitig erkannt. Dies ist nicht unbedingt ein Hinweis auf die Qualität der Lösung, sondern eher darauf, dass sie zufällig früher als andere der Malware auf die Spur gekommen sind. Es ist nicht gerade kosteneffizient, Lizenzen für mehr als 40 Antivirenlösungen für jeden Rechner in Ihrem Netzwerk zu kaufen. Außerdem würden die kombinierten Systemanforderungen auf einem Standardcomputer das Arbeiten wahrscheinlich unmöglich machen, da die Sicherheitssoftware alle verfügbaren Ressourcen beanspruchen würde.

Egal, wie viele präventive Sicherheitsprodukte Sie kaufen, irgendein Virus erreicht sein Ziel dann doch immer. Genau aus diesem Grund erwarb Barracuda SKOUT (das jetzt unser XDR-Angebot darstellt), denn diese Art von Lösung kann Bedrohungen aufspüren und beseitigen, die sich erfolgreich ersten Zutritt zum Netzwerk des Kunden verschafft haben. Bei einem mehrschichtigen Schutz kommt es weniger auf die Anzahl der Schichten als auf die Wahl der richtigen Schichten an (denken Sie noch einmal an das Beispiel von VirusTotal).

So erkennt man Malware, die Abwehrmechanismen überwindet

Malware, die es schafft, die Sicherheitsvorkehrungen zu umgehen, ist nicht unbedingt das Nonplusultra der Abwehr. Je nach Ziel(en) der Malware benötigt diese eine gewisse Zeit, um das Ziel des Angreifers zu erreichen. In einigen Fällen, wie z. B. bei persistenter Malware, gibt es keinen bestimmten Zeitpunkt, an dem die Malware ihre Ziele erreicht hat und keinen weiteren Schaden mehr anrichten kann. So können Sie schädliche Verhaltensweisen auf einem System oder in einem Netzwerk erkennen und so das Ausmaß des Schadens verringern.

Jede Malware, die Daten exfiltriert – wozu heutzutage zahlreiche Ransomware-Varianten gehören – erzeugt ein erkennbares Signal (d. h. die übertragenen Daten). Die Fähigkeit, diese Signale zu bemerken und schnell darauf zu reagieren, kann einen großen Einfluss auf den Umfang des von Malware verursachten Schadens haben. Zwar besteht immer noch ein gewisses Risiko, aber das Ausmaß des Risikos kann vermindert werden. Ein Angreifer, der nur 10 % eines bestimmten Datenspeichers exfiltriert, ist ein weitaus besseres Ergebnis als 100 % der Daten. Darüber hinaus kann dies im Fall von Ransomware, die Daten exfiltriert, auch die Anzahl der verschlüsselten Dateien verringern. Zusätzlich zu den Signalen im Netzwerk erzeugt die Malware auch Signale auf dem infizierten System, wie z.B. Änderungen und möglicherweise sogar Fehler in den Protokollen. Anhand dieser Signale lässt sich ein Angriff am effektivsten erkennen.

Schritte zur Behebung von Malware

Eine Bedrohung kann entweder entdeckt und gestoppt werden oder ihre Ziele erfolgreich erreichen. In jedem Fall sind Abhilfemaßnahmen erforderlich, die auf den jeweiligen Vorfall und das Ausmaß des verursachten Schadens abgestimmt sind. Malware muss von allen betroffenen Systemen entfernt werden, was wiederum von den Besonderheiten des Angriffs abhängt, da manche Malware einfacher zu entfernen ist als andere. Hier können Datensicherungen nicht nur im Fall von Ransomware eine wichtige Rolle spielen. Es ist eventuell sinnvoll oder einfacher, die infizierten Systeme neu zu sichern oder zu ersetzen, damit keine Überbleibsel der Malware zurückbleiben.

Wenn in diesen Systemen kritische Daten gespeichert waren, die bereits gesichert wurden, lässt sich die Wiederherstellung der Daten auf den Systemen viel einfacher und sicherer gestalten. Selbst beim Versuch, die Daten nachträglich zu sichern, besteht die Gefahr, dass Überreste des Malware-Angriffs wieder auf dem System landen. Im Falle von Ransomware sind Datensicherungen möglicherweise die einzige Möglichkeit zur Datenwiederherstellung – abgesehen von der Zahlung des Lösegelds, was aus verschiedenen Gründen nicht zu empfehlen ist. Dazu gehört auch das Risiko, dass die Zahlung des Lösegelds am Ende nicht zur Wiederherstellung der Daten führt.

Malware kann sich auf den infizierten Systemen in vielfältiger Weise entfalten, z. B. durch das Ändern oder Löschen von Registrierungsschlüsseln in Windows, das Verändern bestehender Systemdateien, das Hinzufügen oder Entfernen von Einträgen in den Startskripten, das Freigeben von Ports und das Deaktivieren bestehender Sicherheitsfunktionen auf dem System. Bei einem Reimaging des Systems müssen neben dem Löschen der Malware-Dateien selbst auch diese Änderungen rückgängig gemacht werden, um das System vollständig wiederherzustellen. Das Verständnis der vorgenommenen Änderungen ist hier von entscheidender Bedeutung und kann häufig von der jeweiligen Malware-Variante abhängen, da sie sich bei allen Angriffen im Allgemeinen ähnlich verhält.

Angesichts der zahlreichen Änderungen, die durch Malware am System auftreten können, ist klar, warum es oft am einfachsten ist, das System nochmals zu importieren oder es ganz auszutauschen, wenn die Malware die Firmware infiziert hat, anstatt einfach Änderungen auf der/den Festplatte(n) vorzunehmen. Sogar bei signaturbasierten Scans und insbesondere bei Lösungen, die Dateien zur Remote-Analyse hochladen, kann zwischen dem ersten Eindringen der Malware in ein System und ihrer Entdeckung eine gewisse Zeit vergehen. Eine von der Sicherheitssoftware erfolgreich unter Quarantäne gestellte Malware kann das System ebenfalls modifiziert haben. Daher muss sichergestellt werden, dass die Malware keine Gelegenheit hatte, Änderungen am System vorzunehmen, ehe Sie davon ausgehen, dass das System sauber ist.

Mehrschichtige Abwehr

Die Abwehr von Malware ist vielschichtig, wie bei jeder anderen Angriffsart auch. Ein Angriff kann ganz oder überwiegend aus Malware bestehen oder mit anderen Angriffstechniken kombiniert werden. Obwohl viele Aspekte der Abwehr behandelt wurden, ist dies keineswegs eine vollständig Auflistung aller verfügbaren Arten der Abwehr.

Jedes Unternehmen sollte seine Abwehrschichten anhand von Faktoren wie Risiko, Budget, Zeitaufwand, Anzahl der Mitarbeiter, die sich aktiv um die Sicherheit kümmern, und anderen Faktoren prüfen, um herauszufinden, was unter diesen Bedingungen die beste Abwehr gegen Angriffe darstellt. Wir hoffen, dass wir Ihnen mit dieser Serie einen Einblick in die verschiedenen Malware-Bedrohungen und möglichen Abwehrmaßnahmen geben konnten, die Ihnen bei diesen Entscheidungen helfen können.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.