Advanced Malware: Kampf gegen hartnäckige Schädlinge Fünf Best Practices schützen vor Spionage und Datendiebstahl
20. September 2019Cyber-Kriminelle nutzen Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten. Ziele derartiger Angriffe sind in der Regel Spionage und Datendiebstahl. Opfer sind diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden.
„Advanced Malware“ rangiert auch unter der Bezeichnung „Advanced Persistent Threats“ (APT). Dabei handelt es sich um Malware-Stämme, die mit erweiterten Funktionen für die Infektion, Kommunikation, Steuerung, Bewegung im Netzwerk oder Daten-Exfiltration- und Payload-Exekution ausgestattet sind.
Diese Schadware ist darauf auslegt, möglichst unentdeckt und hartnäckig zu sein, und entgeht der Erkennung durch herkömmliche Antivirenlösungen. Aufgrund der ausgeklügelten Angriffsmöglichkeiten und der Geschwindigkeit, mit der Cyber-Kriminelle immer neue Malware-Versionen entwickeln, sind in den letzten Jahren die APT-Attacken deutlich gestiegen.
Wie Advanced Malware funktioniert
Advanced Malware-Angriffe folgen in der Regel einer gemeinsamen Angriffsabfolge:
- Planung: In dieser Phase wählen Cyberkriminelle ein Ziel aus und untersuchen dessen Infrastruktur, um festzustellen, wie die Malware eingeführt wird, welche Kommunikationsmethoden während des Angriffs verwendet und wie und wo Daten extrahiert werden sollen. Bei Advanced Malware-Attacken beinhaltet diese Phase typischerweise die Planung gezielter Social-Engineering-Angriffe.
- Malware-Einführung: In diesem Stadium wird Malware zur Erstinfektion an die Opfer abgegeben. Dies geschieht häufig über Spear-Phishing-E-Mails mit infizierten Anhängen oder über Drive-by-Angriffe durch eine verseuchte Website.
- Command and Control: Advanced Malware kommuniziert mit dem Angreifer, um ihm erkannte Informationen zu senden und zusätzliche Befehle von ihm zu erhalten. Die Schadware sendet Benutzer-, Netzwerk- und Maschineninformationen an den Hacker und erhält von ihm neue Anweisungen, welche Identitäten oder Maschinen als nächstes infiziert werden sollen, wie man die Ziele identifiziert sowie Anweisungen zur Datenexfiltration.
- Ausweitung der Infizierung: Advanced Malware verfügt oft über robuste Selbstvermehrungsfunktionen, um Ziele schnell zu identifizieren und zu infizieren. Angreifer werden solange wie möglich das Netzwerk erforschen und Malware verbreiten, bis sie diejenigen Computer oder Systeme infizieren, die Zugriff auf wertvolle Daten haben.
- Zielerkennung: Sobald der Angreifer Fuß gefasst und das Netzwerk erkundet hat, werden die Ziele für die Endphase der Malware-Ausbreitung identifiziert. In diesem Stadium wird die Malware auf Computer oder Systeme verbreitet, die die gewünschten Daten enthalten.
- Exfiltration: Nun wird die Malware-Payload ausgeführt. Bei einem Angriff, der sich auf Datendiebstahl konzentriert, ist dies die Phase, in der gezielte Daten gesammelt und an einen vom Angreifer kontrollierten Ort übertragen werden. Advanced Malware verwendet Verschleierungstechniken, um diese Exfiltration sowie andere Aktivitäten zu verbergen, zum Beispiel die Verschlüsselung oder Komprimierung von Dateien mit Hilfe von Krypto- und Packer-Tools.
- Rückzug: Nachdem ein Advanced Malware-Angriff abgeschlossen ist, zieht sich die Malware oft zurück und versteckt sich in einem Computernetzwerk oder zerstört sich selbst, je nach Zielorganisation und der Wahrscheinlichkeit einer Entdeckung durch Sicherheitssysteme.
Best Practices zum Schutz vor Advanced Malware-Angriffen
Um einen möglichst guten Schutz vor derartiger Malware zu realisieren, sollte man die Best Practices dazu kennen:
- Kontext- und verhaltensbasierte Erkennung von Anomalien: Die von Advanced Malware eingesetzten Verschleierungstechniken machen viele traditionelle Sicherheitslösungen unwirksam, um Angriffe zu erkennen oder abzuwehren. Deshalb wenden sich Unternehmen Lösungen zu, die kontext- und verhaltensbasierte Erkennung einsetzen, um Malware anhand ihrer Aktivität, statt durch Signaturen zu identifizieren und zu stoppen. Um die Erkennung von Advanced Malware-Angriffen zu verbessern, sollten IT-Teams auf erhöhte Bedrohungsaktivitäten oder anderes anomales Verhalten in Systemen achten. Sie sollten zudem Endpunkte auf Warnzeichen für einen Advanced Malware-Angriff überwachen, einschließlich Netzwerkerkundung, verdächtige Dateiübertragungen und Kommunikation mit verdächtigen Befehls- und Steuerservern.
- Sandboxing: Advanced Threat Detection-Lösungen bieten Sandboxing und die Überwachung zur Erkennung von Advanced Malware-Angriffen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird. Dies ermöglicht eine Entdeckung der Malware, bevor sie die Systeme infiltrieren und Schäden verursachen kann.
- Kontrolle aller Infiltrations- und Exfiltrationspunkte: Advanced Malware-Präventions- und Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren – sowohl Infiltrations- als auch Exfiltrationspunkte – konzentrieren, um das Potenzial für Infektionen und Datendiebstahl zu minimieren. Die Anwendung von Kontrollen auf Vektoren wie E-Mail, Internetverbindungen, Dateitransfer und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie die Datenexfiltration im Falle einer erfolgreichen Advanced Malware-Infektion.
- Verschlüsselung sensibler Daten: Alle sensiblen Datenbestände sollten verschlüsselt sein und alle Schlüssel als letzte Verteidigungslinie sicher gespeichert werden. Dies trägt dazu bei, dass der Schaden so gering wie möglich bleibt, auch wenn das Netzwerk infiltriert wird und das Ereignis nicht erkannt wird.
- Sicherheitsschulungen: Schließlich ist es angesichts der immer ausgefeilteren Social Engineering-Angriffe auch wichtig, den Mitarbeitern umfassende und kontinuierliche Cybersicherheitsschulungen zu bieten. Phishing-Angriffe sind eine beliebte Methode für Advanced Malware-Angriffe, weshalb es wichtig ist, dass die Mitarbeiter mit den Taktiken der Cyberkriminellen vertraut sind.
Die Bedrohung durch Advanced Malware wird auch zukünftig weiter steigen. Um sensible Daten wie Geschäftsgeheimnisse, geistiges Eigentum, Finanz- und Kundendaten zu schützen, benötigen Unternehmen deshalb einen mehrschichten Security-Ansatz aus Mitarbeitertrainings und Technologien.
Advanced Threat Detection-Tools sowie Sicherheitslösungen, die Data Loss Prevention (DLP), Endpoint Detection and Response (EDR) und die Überwachung von Anomalien im Nutzer- und Entitätsverhalten auf Basis von Machine Learning gewährleisten, können das Risiko von Datenexfiltration und Spionage durch Advanced Malware-Angriffe erheblich reduzieren.
Christoph M. Kumpa ist Director DACH & EE bei Digital Guardian.