F

Spyware Turla: Verteidigung gegen nicht erkennbare Malware

Die Spyware Turla stellt sich bei Entdeckungsversuchen schlafend. Die Angreifer betreiben hohen Aufwand bei Planung und Entwicklung der Malware.

Ich habe kürzlich über die hochentwickelte Turla-Spyware gelesen. Ich bin besorgt darüber, wie Turla in den Schlafzustand geht, wenn ihr Controller einen möglichen Erkennungsversuch bemerkt. Wie schaffen die Turla-Angreifer das und wie kann man sich am besten gegen offenbar nicht erkennbare Malware schützen?

So wie sich die IT und die IT-Sicherheit weiterentwickeln, so tun es auch die Angreifer. Es sollte nicht besorgen, dass böswillige Angreifer Techniken aus der professionellen Software-Entwicklung adaptieren. Tatsächliche wäre es weit mehr Besorgnis erregend, wenn die Angreifer diese Techniken nicht übernehmen würden. Das würde nämlich bedeuten, dass sie den Verteidigern so weit voraus sind, dass ihre Angriffe tatsächlich bereits nicht mehr erkennbar wären.

Die APT-Kampagne von Turla setzt viele innovative Techniken ein, die von fortgeschrittener Malware verwendet wird. Sie demonstriert so professionelle und disziplinierte Software-Entwicklungspraktiken. Die Programmierer scheinen erhebliche Anstrengungen in die Planung, langfristige Entwicklung und den Betrieb der Malware gesteckt zu haben - so wie beim kürzlich entdeckten Cousin Epic. Es hat ein modulares Framework-Design, bei dem die verschiedenen Komponenten des Angriffs automatisiert sind. Wenn eine neue Angriffstechnik gefunden wird, kann das Entwicklungsteam die neuen Funktionen leicht in den Angriffsplan integrieren und den Malware-Check im Command-and-Control-System einspielen, um ein Update zu erreichen.

Laut einer ungenannten Quelle in einem Reuters-Artikel verwendet das Turla-Entwicklungsteam eine Technik, die oft auch bei manuellen Angriffen genutzt wird. Sobald ein „manueller“ Angreifer sieht, dass ein Teil seines Angriffs erkannt wird, weiß er, dass für die anderen Komponenten des Angriffs nun ein erhöhtes Risiko besteht entdeckt zu werden. Es ist dann an der Zeit die Taktik zu ändern und die Angriffe auszusetzen oder zu beschleunigen, um Zugang zu erhalten oder die gesuchten sensiblen Daten zu stehlen. Ähnlich wie andere Malware entfernt Turla Protokolle aus dem lokalen System, so dass sie nicht verwendet werden können, um die Aktivitäten der Angreifer zu erkennen.

Die Turla-Spyware ist so konzipiert, dass sie ihre Operationen pausiert, wenn sie einen Erkennungsversuch erkennt. So kann ein Update freigegeben werden, um die Chancen zu reduzieren, dass der Angriff erkannt wird. Turla senkt die Gefahr durch die Überwachung ihrer Command-and-Control-Infrastruktur. Wenn ein zentraler Knoten offline geht, zwingt dies die Malware dazu bis auf weiteres schlafen zu gehen. Unternehmen können Turla mit einer Anti-Malware-Netzwerk-Appliance bekämpfen, einem Anaylse-Tool für DNS-Malware, einem Tool für die Erkennung von Netzwerk-Anomalien oder fortgeschrittener Endpoint-Security-Software.

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close