Erkennen von Malware-Infektionen

Durchschaut

Malware gehört zu den großen Bedrohungen jeder IT-Infrastruktur. Gängiges Mittel zur Erkennung und Abwehr sind Virenscanner. Diese untersuchen Dateien auf bestimmte Identifikationsmerkmale, die auf Schadsoftware hindeuten. Was Sie tun können, wenn der Virenscanner trotz begründetem Verdacht nichts findet, zeigt dieser Beitrag.
Sich wiederholende Aufgaben sind mühselig und fehleranfällig, wenn sie von Hand ausgeführt werden. Im August befasst sich IT-Administrator deshalb mit dem ... (mehr)

Die Chance, dass Schadsoftware die eigene IT-Umgebung erreicht, ist relativ groß. Dennoch greifen meist die etablierten Schutzmaßnahmen und so können am Ende nur relativ wenige Exemplare tatsächlich Fuß fassen. Die primären Gründe dafür sind:

- Antiviren-Software arbeitet technologisch gesehen auf einem hohen Niveau und wird durch die Hersteller fortwährend an neue Bedrohungen angepasst.

- Von einem Virus mag es zwar hunderttausende Samples geben, da jeder anders verschlüsselt ist. Letztendlich ist es aber immer der gleiche Schädling, den ein guter Virenscanner durch Heuristik und/oder Verhaltensanalyse entdecken kann.

- Für größeren Erfolg beispielsweise bei Ransomware wird die Malware großflächig verteilt. Damit steigt aber auch die Wahrscheinlichkeit einer frühen Entdeckung durch die Antiviren-Industrie und die zeitnahe Entwicklung eines Erkennungspatterns.

- Malware-Schutz ist bei Providern, Unternehmen und Endanwendern die Regel und reduziert so die Verbreitung bekannter Schadsoftware.

Doch gibt es auch wirklich raffinierte Malware-Exemplare, die sich an allen Schutzmechanismen vorbeischleichen. Und auch wenn ein Unternehmen dummerweise zu den Ersten gehört, das von bislang unbekannten Schädlingen heimgesucht wird, ist die Gefahr einer Infektion groß. Derartige Angriffe lassen sich nur schwer mit Standardwerkzeugen erkennen und abwehren.

Zwar ließe sich die IT-Landschaft derart absichern, dass auch solche Bedrohungen wenig Chancen auf Erfolg hätten, doch wären die Auswirkungen auf den IT-Betrieb spürbar, etwa durch Performance-Einbußen, komplexe Prozesse, Rechte-Einschränkung und empfindliche Komfortverluste. Daher muss sich der Administrator Gedanken darüber machen, wie er einer möglichen Malware-Infektion auf die Spur kommt, die von den etablierten Abwehrsystemen übersehen wurde.

Einfallstore für Angreifer

Auch wenn die IT-Verantwortlichen schon viel getan haben, um die Risiken eines Angriffs zu reduzieren – ganz ausschließen lässt sich ein solcher nie. Im täglichen IT-Betrieb sollten viele Attacken durch Standard-Maßnahmen wie flächendeckend eingesetzte Virenscanner, Firewalls, Intrusion-Detection-Systeme (IDS), ordentliches Patch-Management und ein durchdachtes Rechtekonzept bereits abgefangen werden. Aber es wird immer Bedrohungen geben, die trotzdem durchkommen. Zu den wichtigsten Schwachstellen, die dies begünstigen, zählen

- Unvollständiges Patch-Management: Es werden oft nur die Hauptanwendungen gepatcht. Für den Betrieb erforderliche Zusatzapplikationen fallen durch das Raster. Beliebte Beispiele hierfür sind Apache TomCat, Oracle Java JRE, Adobe Flash oder Adobe Reader. Auch immer mehr Produkte aus dem Open-Source-Umfeld zählen ebenso dazu, wie eine große Anzahl an spezifischen Programmierwerkzeugen. Die Folge sind Sicherheitslücken, die Angreifer und Schadsoftware ausnutzen können.

- Veraltete Einstellungen: Eine Firewall, ein URL- und ein Spam-Filter – alle Tools und Produkte, die vor Angriffen schützen, sind individuell konfigurierbar. Dies ist erforderlich, um Adressen anzupassen (Domains, Ports, Protokolle) und auch eigene Sicherheitseinstellungen vorzunehmen. Doch oft bleiben Einstellungen dann über Monate oder Jahre unverändert und öffnen so Lücken. Was heute noch als sicher gilt, ist morgen bereits der Geheimtipp zur Verbreitung von Schadsoftware. Vermeintlich sichere Dateitypen, wie HLP-, JPG- oder PDF-Dateien, belegen dies.

- Keine Dokumentation: Veraltete, falsche oder fehlende Dokumentationen sind Pluspunkte für Angreifer. Denn wie soll ein Administrator Sicherheitseinstellungen nachbearbeiten, wenn er keine valide Dokumentation zur Verfügung hat. Sperrt er den Internet-Traffic komplett, ausgenommen für wesentliche Applikationen, kann dies schnell negative Effekte für die Mitarbeiter haben, wenn eben nicht alle wichtigen Anwendungen korrekt dokumentiert wurden oder die zugewiesenen Gruppen lasch gepflegt sind.

Für mehr Sicherheit zu sorgen ist also keine Hexerei, sondern eher Tagesgeschäft, das aber mangels Ressourcen oft auf der Strecke bleibt. Auch organisatorische Standards wie die Festlegung von Zuständigkeiten und Eskalationswege müssen gepflegt und gelebt werden, um im Ernstfall einen Nutzen zu bieten. Kurzum: Das IT-Umfeld muss laufend kalibriert werden, um Sicherheit zu gewährleisten.

Bekämpfung von erfolgreichen Angriffen

Den Worst Case stellen aktive Angreifer im eigenen Netzwerk dar, denn diese haben bereits wesentliche Sicherheitskomponenten überwunden und können dynamisch auf weitere Verteidigungsmaßnahmen reagieren. Wie aufwendig eine Bekämpfung dann sein kann, zeigte sich 2016, als sich ThyssenKrupp mit einem Angriff der Hacker-Gruppe Winnti konfrontiert sah [1].

Eher wahllos verbreitete Schadsoftware ist jedoch ein nicht minder ernstzunehmender Gegner. Denn einmal programmiert und freigesetzt, strebt sie Lemmingen gleich ihrem Ziel entgegen. Die Frage ist, wie entdecken Sie Malware im eigenen Umfeld, wenn der Virenscanner nichts meldet, aber Indizien dafür vorliegen:

- Subjektiv und objektiv erkennbare Verlangsamung der Systeme.

- Verlust von Dateien, indem sie gelöscht, teilzerstört oder verschlüsselt wurden.

- Unerwartete Zunahme von Dateien und Verzeichnissen und damit einhergehender Speicherreduzierung.

- Deaktivierte Security-Vorkehrungen wie Virenscanner oder lokale Web-Reputationsdienste.

- Zunahme von Fehlermeldungen bei Programmen oder gar Fehlfunktionen.

- Offensichtliche Ransomware-Erpresserschreiben auf dem Bildschirm.

- Zunahme von Registry-Hives. Dabei handelt es sich um eine Gruppe von Schlüsselworten, Sub-Schlüsseln und Werten der Registry.

Vereinfacht lassen sich dabei drei Arten von Malware unterscheiden, die momentan populär sind. Da ist zum einen die Ransomware, deren Auswirkungen unmittelbar erkennbar sind dank Dateiverschlüsselung und Erpresserschreiben. Dann gibt es eine recht fortschrittliche Bedrohung in Form von dateiloser Malware, die ihren Code lediglich im Arbeitsspeicher vorhält und gegebenenfalls in der Registry gut versteckt. Und letztendlich sind da noch die üblichen dateibasierten Schädlinge [2] in Form von Viren, Würmern, Rootkits, Trojanern oder Adware und Spyware, die sich im System einnisten.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023