Schädlicher Code – Was ist das und wie kann man ihn verhindern?
Was ist ein bösartiger Code?
Die heutige Cyber-Bedrohungslandschaft ist komplexer und anspruchsvoller geworden. Die Zahl der Cyberangriffe und Datenschutzverletzungen ist in den letzten Jahren sowohl in ihrer Größe als auch in ihrem Ausmaß sprunghaft angestiegen. Die aktuellen Malware-Statistiken zeigen, dass Malware weltweit immer noch ein erhebliches Problem darstellt. Im Zentrum dieser Sicherheitsherausforderungen steht eine bösartige Anwendung namens Schadcode. Ein bösartiger Code oder eine Schadsoftware ist jede Software, die absichtlich erstellt wurde, um den Interessen des Computerbenutzers zuwiderzuhandeln, indem sie Schäden am Computersystem verursacht oder auf dem Computer gespeicherte Daten kompromittiert.
Seitdem Breitband-Internetzugang allgegenwärtig geworden ist, wird bösartige Software immer häufiger entwickelt, um die Kontrolle über die Computer der Benutzer zu gewinnorientierten und anderen illegalen Zwecken wie Datenänderung, Diebstahl, Zerstörung, Sabotage oder Geiselnahme zu übernehmen. Die meiste Malware kann sich auf dem System des Opfers installieren, Kopien von sich selbst erstellen und sich auf andere Opfer verbreiten, ein Ereignis verwenden, um die Ausführung ihrer Nutzlast zu initiieren (Dateien stehlen oder löschen, Hintertüren installieren usw.), sich selbst entfernen, nachdem die Nutzlast ausgeführt wurde, und nutzt alle möglichen Ausweichtechniken, um nicht entdeckt zu werden. Zu den Methoden zur Umgehung der Entdeckung gehören:
- Umgehung der Erkennung durch Fingerabdruck der Umgebung bei der Ausführung.
- Verwirrende automatische Erkennungstools wie signaturbasierte Antivirensoftware durch Ändern des von der Malware verwendeten Servers.
- Führen Sie die Ausführung aus, indem Sie bestimmte Aktionen des Benutzers oder in bestimmten anfälligen Zeiträumen ausführen, z. B. während des Startvorgangs, und bleiben Sie die restliche Zeit inaktiv
- Sie verschleiern interne Daten, sodass automatisierte Tools keine Malware erkennen.
- Verwenden Sie Techniken zum Verbergen von Informationen wie Steganographie, um einer Entdeckung zu entgehen (Stegomalware).
Wie kommt es zu Malware-Infektionen?
Malware-Infektionen können Ihren Computer, Ihre Anwendung oder ein ganzes Netzwerk beeinträchtigen. Die Infektionen erfolgen auf unterschiedlichen Wegen, unter anderem physisch und virtuell. Malware-Autoren verwenden häufig Tricks, um Benutzer davon zu überzeugen, schädliche Dateien herunterzuladen und zu öffnen. Zum Beispiel, Phishing-Angriffe sind eine gängige Malware-Übermittlungsmethode, bei der als legitime Nachrichten getarnte E-Mails bösartige Links oder Anhänge enthalten, die die ausführbare Malware-Datei an ahnungslose Benutzer übermitteln können.
Malware kann sich auch über infizierte Wechseldatenträger wie USB-Sticks oder externe Festplatten verbreiten. Die Malware kann automatisch installiert werden, wenn Sie das infizierte Laufwerk an Ihren PC anschließen. Darüber hinaus wird einige Malware mit anderer Software gebündelt, die Sie herunterladen. Dazu gehören unter anderem Software von Websites Dritter, über Peer-to-Peer-Netzwerke geteilte Dateien, Programme zur Generierung von Softwareschlüsseln (Keygens), Browser-Symbolleisten und Plugins.
Angreifer können Fehler (Schwachstellen) in vorhandener Software ausnutzen unsichere Codierungspraktiken um Ihre Anwendung mit Schadcodes zu infizieren. Der Schadcode kann in Form von Injektionsangriffen auftreten ( SQL-Injektion , JSON-Injektion, Cross-Site-Scripting usw. ), Directory-Traversal-Angriffe , Cross-Site-Request-Forgery (CSRF) Angriffe, unter anderem. Ein typisches Beispiel für Fehler in Software ist die Pufferüberlauf-Schwachstelle . Viele Malware nutzt Pufferüberlauf-Schwachstellen aus, um Zielanwendungen oder -systeme zu gefährden.
Bei ausgefeilten Malware-Angriffen kommt häufig ein Command-and-Control-Server zum Einsatz, der es böswilligen Akteuren ermöglicht, infizierte Systeme miteinander zu kommunizieren und zu kontrollieren Botnetz um sensible Daten zu stehlen oder sie dazu zu bringen, ihren Wünschen Folge zu leisten.
Wie können Sie feststellen, dass Ihr Computer mit Schadcode infiziert ist? Ein Benutzer kann möglicherweise eine Malware-Infektion erkennen, wenn er ungewöhnliche Aktivitäten wie einen plötzlichen Verlust von Speicherplatz, erhöhte Geschwindigkeiten, seltsame Cursorbewegungen und Mausklicks, die Verweigerung des Zugriffs auf Ihr Gerät oder Ihre Daten oder das Erscheinen unbekannter Anwendungen beobachtet nicht installiert, unter anderem ungewöhnlicher Netzwerkverkehr.
Wirkt sich Schadsoftware auf Mac, Linux und Mobilgeräte aus?
Die meisten Benutzer glauben, dass nur Windows-Computer anfällig für Malware sind. Sie gehen davon aus, dass Nutzer von Linux- und Mac-Geräten immun sind und keine Vorsichtsmaßnahmen treffen müssen. Die Wahrheit ist, dass Malware Windows-, Linux- und sogar Mac-Geräte befallen kann.
Windows-Geräte gelten als größeres Ziel für Malware als die anderen Plattformen, da sie den Marktanteil dominieren, was sie zu einem bedeutenderen und leichter zugänglichen Ziel für böswillige Akteure gemacht hat. Heutzutage sind Macs nicht mehr so sicher wie früher. Da Mac-Geräte immer beliebter werden, scheinen sich Malware-Autoren mehr auf sie zu konzentrieren. Entsprechend Der Malwarebytes-Bericht zum Stand der Malware 2020 , übersteigt die Menge an Malware auf Macs erstmals die auf PCs.
Es gibt auch Schadcodes, die speziell auf die Betriebssysteme mobiler Geräte wie Tablets, Smartphones und Smartwatches abzielen. Diese Arten von Malware basieren auf den Exploits bestimmter mobiler Betriebssysteme. Obwohl mobile Malware nicht so weit verbreitet ist wie Malware, die auf Workstations abzielt, wird sie für Verbrauchergeräte immer mehr zu einem Problem.
Apple iOS-Geräte wie iPhones sind seltener mit Malware infiziert als Android-Geräte. Dies liegt daran, dass iOS-Geräte stark gesperrt sind und Apps umfangreiche Prüfungen durchlaufen, bevor sie in den App Store gelangen. Wir wissen jedoch, dass einige Regierungen und raffinierte Kriminelle mit millionenschweren Hacking-Tools bewaffnet sind, die in iPhones eindringen können. Ungeachtet dessen sind iOS-Geräte im Allgemeinen sicherer und werden nur bei einem Jailbreak anfälliger.
Was sind die häufigsten Arten von Malware?
Schadcode ist ein weit gefasster Begriff, der sich auf eine Vielzahl von Schadprogrammen bezieht. Beispiele hierfür sind Computerviren, Würmer, Spyware, Adware, Rootkits, Logikbomben, dateilose Malware, Trojaner und Ransomware.
Computer Virus sind kleine Anwendungen oder Zeichenfolgen von Schadcodes, die Computersysteme und Hostanwendungen infizieren. Computerviren verbreiten sich nicht automatisch; Sie benötigen einen Träger oder ein Medium wie USB oder das Internet, um Dateien auf einem Zielcomputer zu verbreiten und fast immer zu beschädigen oder zu ändern. Computerviren gibt es in verschiedenen Formen, darunter:
- Polymorpher Virus – Der polymorphe Virus versucht, signaturbasierte Antivirenanwendungen zu umgehen, indem er bei der Infektion eines neuen Systems seine Signatur ändert.
- Komprimierungsvirus – ein Virus, der sich an ausführbare Dateien auf dem System anhängt und diese mithilfe der Benutzerberechtigungen komprimiert.
- Makrovirus – ein Virus, der in Makrosprachen wie Microsoft Office- oder Excel-Makros geschrieben wurde.
- Bootsektor-Virus – ein Virus, der den Bootsektor eines PCs infiziert und beim Systemstart geladen wird.
- Mehrteiliger Virus – ein Virus, der sich über mehrere Vektoren verbreitet. Wird auch als mehrteiliger Virus bezeichnet.
- Stealth-Virus – ein Virus, der sich vor den Betriebssystemen als Antivirenanwendungen versteckt.
Würmer : Würmer sind Malware, die sich selbst repliziert, um sich auf andere Computer auszubreiten. Sie sind ansteckender als Viren und nutzen häufig ein Computernetzwerk, um sich zu verbreiten, wobei sie auf Sicherheitsmängel auf dem Zielcomputer angewiesen sind, um darauf zuzugreifen. Würmer sind aufgrund des schädlichen Codes, den sie enthalten (Nutzlast), gefährlich und können aufgrund aggressiver Selbstverbreitung zu einer Beeinträchtigung der Bandbreite oder sogar zu einem Denial-of-Service führen. Einer der bekanntesten Computerwürmer ist Stuxnet , die auf SCADA-Systeme von Siemens abzielte. Es wurde vermutet, dass es für den erheblichen Schaden am iranischen Atomprogramm verantwortlich war.
Spyware und Adware: Spyware ist eine Art bösartiger Software, die heimlich installiert wird, um Informationen (einschließlich Surfgewohnheiten) über einen bestimmten Benutzer oder eine bestimmte Entität zu sammeln, die sie dann für böswillige Absichten wie Identitätsdiebstahl, Spam, gezielte Werbung usw. an eine andere Entität sendet.
Adware ist eine Software, die durch die automatische Generierung von Online-Werbung Einnahmen für ihre Entwickler generiert. Die Anzeigen können über Pop-ups, Benutzeroberflächenkomponenten oder Bildschirme bereitgestellt werden, die während des Installationsprozesses angezeigt werden. Das Ziel von Adware besteht darin, Umsatzerlöse zu generieren, und nicht darin, böswillige Aktivitäten durchzuführen. Einige Adware nutzt jedoch invasive Maßnahmen, die zu Sicherheits- und Datenschutzproblemen führen können.
Rootkits: Ein Rootkit ist eine Sammlung bösartiger Softwaretools, die den Root-Zugriff auf einen Computer oder einen Bereich seiner Software ermöglichen sollen, der ansonsten nicht erlaubt wäre. Rootkits werden auf das kompromittierte System geladen, um es dem Angreifer zu ermöglichen, böswillige Aktivitäten auszuführen und dabei seine Spuren zu verbergen. Der Angreifer ersetzt normalerweise Standard-Systemtools durch neue kompromittierte Tools, die ähnliche Namen haben.
Rootkits können sich auf Benutzer- oder Kernelebene des Betriebssystems befinden. Es kann auch in der Firmware oder in einem Hypervisor eines virtualisierten Systems vorhanden sein. Ein Rootkit auf Benutzerebene verfügt über minimale Berechtigungen und kann daher nicht so großen Schaden anrichten. Wenn sich ein Rootkit im Hypervisor eines Systems befindet, kann es Hardware-Virtualisierungsfunktionen ausnutzen und Host-Betriebssysteme angreifen. Rootkits in der Firmware sind schwer zu erkennen, da sich die Überprüfung der Softwareintegrität normalerweise nicht auf die Firmware-Ebene erstreckt. Rootkit-Erkennung und -Entfernung kann kompliziert sein, da das Rootkit möglicherweise in der Lage ist, die Software zu unterwandern, die es finden soll. Zu den Erkennungsmethoden gehören verhaltensbasierte Methoden, signaturbasiertes Scannen und Speicherdump-Analyse.
Logikbomben: Eine Logikbombe ist ein Schadcode, der absichtlich in ein Softwaresystem eingefügt wird, um eine negative Funktion auszulösen, wenn bestimmte Bedingungen erfüllt sind. Die Logikbombensoftware kann viele Auslöser haben, die die Ausführung ihrer Nutzlast zu einem bestimmten Zeitpunkt oder nachdem ein Benutzer eine bestimmte Aktion ausgeführt hat, aktivieren. Beispielsweise kann ein böswilliger Akteur eine Logikbombe installieren und konfigurieren, um alle digitalen Beweise zu löschen, wenn forensische Aktivitäten durchgeführt werden.
Dateilose Malware: Dateilose Malware Wie der Name schon sagt, schreibt es keinen Teil seiner Aktivität in Dateien auf der Festplatte des Computers. Stattdessen nutzt es ausschließlich den Speicher des Computers des Opfers. Da keine Dateien gescannt werden müssen, ist sie schwerer zu erkennen als herkömmliche Malware. Es erschwert auch die Forensik, da die Malware verschwindet, wenn der Computer des Opfers neu gestartet wird.
Da es keine Dateien gibt, die von Antiviren- und forensischen Tools analysiert werden können, kann es schwierig sein, solche Malware zu erkennen. Im Jahr 2017 Kaspersky Lab hat einen Bericht veröffentlicht über dateilose Malware-Angriffe, die weltweit 140 Unternehmensnetzwerke betreffen, wobei Banken, Telekommunikationsunternehmen und Regierungsorganisationen die Hauptziele sind.
Trojanisches Pferd: A Trojanisches Pferd ist jede Malware, die sich als legitimes Programm ausgibt, um Benutzer über ihre wahre Absicht zu täuschen. Trojanische Pferde führen zusätzlich zu den bösartigen Funktionen im Hintergrund ihre erwarteten normalen Funktionen aus. Benutzer werden in der Regel durch irgendeine Form von Social Engineering dazu verleitet, Trojaner auf ihre Systeme zu laden und auszuführen. Einmal installiert, können Trojaner auch Täuschungsmanöver nutzen, um die Illusion aufrechtzuerhalten, dass sie legitim sind.
Wenn beispielsweise ein Trojaner, der als Hintergrundbild oder Spieleanwendung getarnt ist, ausgeführt wird, wird er typischerweise als Hintergrundbild oder Spieleanwendung ausgeführt. Während der Benutzer durch diese Lockvögel abgelenkt wird, kann der Trojaner im Hintergrund unbemerkt bösartige Aktionen ausführen. Trojaner werden nach der Art der von ihnen ausgeführten schädlichen Aktionen klassifiziert. Beispiele hierfür sind Banking-Trojaner, Fernzugriffstrojaner (RAT) , Backdoor-Trojaner, FakeAV-Trojaner usw. Bemerkenswerte Beispiele für Trojaner sind Zeus, MEMZ und FinFisher.
Ransomware: Ransomware ist eine Art von Malware, die droht, die Daten des Opfers zu veröffentlichen oder den Zugriff darauf dauerhaft zu blockieren, indem die Dateien des Opfers verschlüsselt werden, sofern kein Lösegeld gezahlt wird. Ransomware-Angriffe werden typischerweise im Rahmen eines Phishing-Betrugs oder mithilfe eines Trojaners ausgeführt, der als legitime Datei getarnt ist und der Benutzer dazu verleitet wird, sie herunterzuladen oder zu öffnen, wenn sie als E-Mail-Anhang eintrifft. Der Angreifer verschlüsselt dann bestimmte Informationen, die nur mit einem ihm bekannten mathematischen Schlüssel geöffnet werden können. Wenn der Angreifer die Zahlung erhält, werden die Daten entsperrt.
Zu den bemerkenswerten Ransomware-Angriffen gehören: Ich könnte heulen (2017) und REvil (2020). Die Ransomware WannaCry verbreitete sich 2017 über das Internet, infizierte mehr als 230.000 Computer in über 150 Ländern und kostete 300 US-Dollar pro Computer. REvil ist privat Ransomware-as-a-Service (RaaS) Operation, die droht, die Daten der Opfer auf ihrem Blog zu veröffentlichen ( doxxen ), es sei denn, es wird ein Lösegeld gezahlt. Im April 2021, REvil hat die kommenden Produktpläne von Apple gestohlen und drohte, sie zu veröffentlichen, sofern kein Lösegeld in Höhe von 50 Millionen US-Dollar gezahlt würde. Sowohl WannaCry als auch REvil wurden entfernt.
Wie können Sie Ihre IT-Ressourcen vor einer Malware-Infektion schützen?
Um Ihr Gerät, wichtige Anwendungen und sogar Ihr gesamtes Netzwerk vor diesen langen Malware-Listen zu schützen, ist mehr als nur die Einführung von Antivirensoftware erforderlich. Heutzutage werden Antivirenprogramme und ein anderer signaturbasierter Sicherheitsansatz nicht mehr als ausreichend angesehen, um Systeme vor modernen Cyber-Bedrohungen zu schützen. Mit über Täglich werden 350.000 neue Malware entdeckt ist es für Antivirenanwendungen praktisch unmöglich, diese neuen und aufkommenden Bedrohungen im Auge zu behalten.
Aus diesem Grund müssen Unternehmen ein risikobasiertes Informationssicherheitsprogramm entwickeln, das die Grundsätze des berücksichtigt Zero-Trust-Sicherheitsmodell in ihrer Sicherheitsstrategie zur Erhöhung der Cyber-Resilienz. Ein Sicherheitsprogramm sollte Risikoprobleme aus strategischer, taktischer und operativer Sicht angehen. Dazu gehört die Gestaltung und Implementierung administrativer, physischer und technischer Kontrollen zum Schutz kritischer digitaler Vermögenswerte, wie in Tabelle 1.0 unten aufgeführt. Verwaltungskontrollen konzentrieren sich auf Sicherheitsrichtlinien, -verfahren und -richtlinien, Schulungen zum Sicherheitsbewusstsein und andere menschliche Sicherheitsfaktoren, die Personal- oder Geschäftspraktiken im Einklang mit den Sicherheitszielen der Organisation definieren. Physische Kontrollen sind Maßnahmen, die eingerichtet werden, um unbefugten physischen Zugriff auf kritische IT-Ressourcen zu verhindern. Technische Kontrollen konzentrieren sich auf Hardware- oder Softwarekomponenten wie Antivirenprogramme, Firewalls, IPS/IDSs, Zugriffskontrolllisten (ACLs) , Anwendungs-Whitelisting , usw.
Körperlich | Physische Zugangskontrolle | CCTV- und Überwachungskameraprotokolle | Reparieren und restaurieren Sie physisch beschädigte Vermögenswerte |
Administrativ | Risikomanagement, Sicherheitsrichtlinien und -verfahren, Backup-Plan usw. | Auditing, Sicherheitsereignisverwaltung, Änderungsverwaltung usw. | Vorfallreaktionsplan, DR/BCP. |
Technisch | Antivirus, IPS, MFA-Lösung, Updates, Whitelisting, ACL usw | IDS, Honeypots, Schwachstellenscanner, statische Tests usw. | Patching, Blacklisting, Quarantänetechniken usw |
Tabelle 1.0 | Vergleich administrativer, physischer und technischer Sicherheitskontrollen
Für Unternehmen, die geschäftskritische Anwendungen entwickeln, besteht eine Möglichkeit, zu verhindern, dass bösartiger Code Ihre Anwendungen ruiniert, darin, sie zu nutzen sichere Codierungspraktiken , einschließlich statischer Codeanalyse in Ihrem Softwareentwicklungslebenszyklus. Die statische Analyse wird zum Sichern von Anwendungen verwendet, indem der Quellcode überprüft wird, wenn er nicht ausgeführt wird, um schädliche Codes oder Hinweise auf bekannte unsichere Praktiken zu identifizieren. Dies ist eine der effektivsten Methoden, um zu verhindern, dass bösartiger Code erfolgreich Schäden an den kritischen Anwendungen Ihres Unternehmens anrichtet. Automatisierte Tools wie z Unbesiegbar , Acunetix , Veracode , Checkmarx , und andere implementieren eine statische Codeanalyse, um bösartige Codes wie Hintertüren, Logikbomben, Rootkits usw. zu erkennen und zu verhindern.
Benutzer, die ihre PCs schützen und verhindern möchten, dass bösartige Codes sie infizieren, können Antimalware-Software als zusätzliche Sicherheitsebene installieren. Darüber hinaus können Benutzer Malware vermeiden, indem sie auf ihren Computern oder anderen persönlichen Geräten sicheres Verhalten praktizieren. Dazu gehört unter anderem, die Software auf dem neuesten Stand zu halten, so weit wie möglich nicht-administrative Konten zu verwenden und beim Herunterladen unbekannter Programme und Anhänge vorsichtig zu sein, die möglicherweise Malware in getarnter Form enthalten.