Payload

Was ist Payload?

In der Datenverarbeitung ist der Payload, also die Nutzlast, die Kapazität eines Pakets oder einer anderen Übertragungsdateneinheit. Der Begriff hat seine Wurzeln im militärischen Bereich und wird oft mit der Fähigkeit von ausführbarem bösartigem Code in Verbindung gebracht, Schaden anzurichten. Der Begriff Nutzlast hat zwei Bedeutungen: Daten-Payload, die sich auf den Transport von Daten über ein Netzwerk bezieht, und Malware Payload, die sich auf bösartigen Code bezieht, der zur Ausnutzung und Gefährdung von IT-Netzwerken und -Systemen verwendet wird.

Datennutzlast. Die Nutzdaten eines bestimmten Netzpakets oder einer anderen Protokolldateneinheit (PDU, Protocol Data Unit) sind die von den kommunizierenden Endpunkten gesendeten Daten; die Netzprotokolle legen auch die maximal zulässige Länge der Paketnutzdaten fest. Die Nutzlast wird dann in ein Paket verpackt, das Informationen wie MAC-Adresse und IP-Informationen, Quality-of-Service-Tags, TTL-Daten (Time-to-live) und Prüfsummen enthält.

Malware-Nutzlast. Nutzlast oder Payload im Zusammenhang mit Malware bezieht sich auf bösartigen Code, der dem anvisierten Opfer Schaden zufügt. Malware Payloads können durch Methoden wie Würmer und Phishing-E-Mails verbreitet werden. Heutzutage verschlüsseln die Malware-Autoren in der Regel die Nutzdaten, um den bösartigen Code vor Antimalware-Erkennungs- und Bereinigungs-Tools zu verbergen.

Typische Beispiele für Payload

Hier sind Beispiele für eine Datennutzlast und eine Malware-Nutzlast:

Datennutzlast des IP-Pakets. Ein IP-Paket besteht aus einem Ethernet-, IP- und TCP-Header. Diese Informationen helfen dem Paket, den Kommunikationsprotokollstandard einzuhalten und sein Ziel im Netz zu erreichen. Der Nutzdatenanteil des Pakets enthält die Daten, die ein Benutzer oder Gerät senden möchte.

Phishing-Malware-Nutzlast. In diesem Szenario enthält eine Phishing-E-Mail einen selbstreplizierenden Virus, der in einem Makro im Anhang einer Excel-Tabelle gespeichert ist.

Wofür steht die Nutzlast eines IP-Pakets?

Ein IP-Paket kann eine Nutzlast mit Befehlen enthalten, die von einem Endanwender erteilt werden, zum Beispiel eine Anfrage nach Webinhalten. Häufiger jedoch enthält es eine Nutzlast, die aus Daten besteht, die von einem Server als Antwort auf eine Benutzeranfrage übertragen werden. Die Obergrenzen für die Nutzlast von PDUs werden in der Regel durch ein Protokoll festgelegt, und die maximale Größe der Nutzlast für eine einzelne PDU ändert sich selten.

Grenzwerte für die Nutzlast von Netzwerkprotokollen sind wichtig, da sie die Leistung des Protokolls beeinflussen können. Kleinere Nutzdaten bedeuten zum Beispiel, dass mehr Pakete für ein bestimmtes Datenvolumen erstellt und übertragen werden müssen. Größere Nutzdaten erzeugen weniger Pakete, erfordern aber ein schnelles und zuverlässiges Netz, das in der Lage ist, große Datenmengen ohne durch Fehler oder vorübergehende Netzbedingungen verursachte Verzögerungen zu übertragen.

Die maximale Größe für Netzwerknutzdaten wird bestimmt, indem die für Protokoll-Header erforderliche Datenmenge - und Trailer (Nachspann), falls das Protokoll sie verwendet - von der maximalen Übertragungseinheit (MTU, Maximum Transmission Unit) für das Protokoll abgezogen wird. Die MTU für IP-Pakete variiert je nach System und Netz. In der ursprünglichen IP-Norm (Request for Comments 791) wurde festgelegt, dass alle Hosts in der Lage sein müssen, Pakete mit einer Größe von 576 Byte mit einer Datennutzlast von 512 Byte und 64 Byte für den Header zu akzeptieren. Die derzeit akzeptierte Standard-MTU für IPv4-Pakete beträgt 1.500 Byte, um die Kompatibilität mit Ethernet-Segmenten zu gewährleisten; für einzelne Systeme können größere oder kleinere MTUs festgelegt werden.

Die maximale Größe der Nutzlast für IP-Pakete wird durch das Feld Gesamtlänge im IP-Header begrenzt; dieses Feld ist 16 Bit lang, das heißt der maximal mögliche Wert ist 216 und der höchstmögliche Wert für die Paketlänge ist 65.535 - keine Nutzlast kann größer sein, abzüglich der Anzahl der für den Paket-Header erforderlichen Bytes.

So funktioniert eine Malware-Nutzlast?

Angreifer verwenden einen zweistufigen Ansatz, um Abwehrmaßnahmen zu umgehen. Dabei wird die Nutzlast - also der Teil, der dem Opfer Schaden zufügt - vom Infektionsvektor getrennt. Auf diese Weise können bewährte Verbreitungsmethoden wie Phishing-E-Mails und Würmer im Laufe der Zeit für die Verbreitung bösartiger Nutzdaten angepasst werden.

Zwar gibt es für Malware-Nutzlasten keine festgelegten Grenzen für die maximale Nutzlast, doch versuchen böswillige Akteure, die Malware-Nutzlasten auf eine angemessene Größe zu beschränken, um zu vermeiden, dass sie von Endpunkt- oder netzwerkbasierten Malware-Erkennungs-Tools erkannt werden.

Fast jede Art von Malware kann mit Hilfe eines Payload-Generators in eine Nutzlast integriert werden, um ausführbare Malware zu erstellen. Sowohl böswillige Akteure als auch Penetrationstester verwenden Payload-Generatoren, um eine ausführbare Malware in eine Nutzlast einzubinden, die dann an die Ziele übermittelt wird. Das Open-Source-Projekt Metasploit enthält Ressourcen für die Erforschung von Sicherheitsschwachstellen, darunter auch einen Payload-Generator.

Der Nutzlastgenerator akzeptiert Shellcode, das heißt eine kurze Codesequenz, die eine ausnutzbare Befehls-Shell auf dem Ziel startet und eine ausführbare Binärdatei erstellt, um die Übermittlung der Nutzlast zu ermöglichen.

Nach der Zustellung und Ausführung infiziert die Nutzlast das Zielsystem - es sei denn, es gibt ein Malware-Erkennungssystem, das anschlägt und reagiert. Eine Nutzlast kann jede Art von Malware enthalten, einschließlich Ransomware, Botnet-Rekrutierung oder andere Arten von Viren oder Würmern.