F

Erkennung von mehrstufigen Angriffen: Best Practices für Unternehmen

Malware-Angreifer betreiben mit mehrstufigen Angriffen ein Versteckspiel vor Antiviren-Software. Die verwendeten Tools hinterlassen dennoch Spuren.

Das Toolkit „g01pack“ lädt sich in mehreren Stufen (Multi-Stage) auf die Computer der Opfer. Damit führt die Malware Antiviren-Software in die Irre und bleibt unerkannt. Gibt es eine Möglichkeit, solche mehrstufigen Angriffe bereits frühzeitig zu erkennen? Wenn nicht, was ist die beste Methode, um solche Angriffe aufzuspüren?

Damit Malware-Schreiber Erfolg haben, müssen Sie ständig neue Techniken adaptieren. g01pack ist ein allgemeines Toolkit für Malware-Autoren. Es beinhaltet Funktionen, um individuellen Schad-Code im Laufe der Zeit maßzuschneidern und zu verbessern. Bei diesem Paket handelt es sich um eine populäres Beispiel eines mehrstufigen (Multi-Stage) Toolkits. Die Erkennung der Malware zu vermeiden, ist den Urhebern oft wichtiger als die Funktionalitäten zu verbessern. Viele Cyberkriminelle fügen der Angriffs-Prozedur möglicherweise weitere Stufen hinzu. Oftmals dienen diese zur Verschleierung des Java-Applets, das für die erstmalige Infektion des Systems genutzt wird.

Mehrstufige Toolkits während des Infektions-Vorgangs zu erkennen, kann man auf verschiedene Weisen realisieren. Das hängt von der Malware und den verfügbaren Tools ab. Eine der effizientesten Techniken zur Identifizierung der Angriffe ist die Erkennung von irregulär ausgehendem Netzwerk-Traffic, der wiederum vom infizierten Host ausgeht. Hier finden wir oft ein Indiz, dass die nächste Stufe des Malware-Downloads läuft. Unternehmen können auch nach anomalen Interaktionen mit der Java Laufzeitumgebung (JRE / Java Runtime Environment) schauen. Hier überwacht man, welche Befehle auf einem System ausgeführt werden. Weiterhin sehen sich Malware-Schreiber gezielt nach Schwachstellen um. Der Download beinhaltet möglicherweise Funktionalitäten von Metasploit oder einen Schwachstellen-Scanner. Damit wollen die Cyberkriminellen die schwächste Stelle im System und somit einen idealen Ort für das Platzieren der Malware finden.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close