Viren, Trojaner & Co.: Malware-Strategien gegen fortgeschrittene Angriffstechniken

iBanking, Poweliks und Zeus bedrohen zunehmend auch Unternehmensnetzwerke. Mit dem richtigen Vorgehen lassen sich die Risiken minimieren.

Solange es angriffswürdige Ziele gibt und damit Geld verdient werden kann, wird Schadsoftware, auch Malware genannt, Teil unseres Alltags bleiben. Es liegt in der Natur des Geschäftsmodells, dass die Entwickler bösartiger Software sich fortlaufend gerissenere Techniken zur Täuschung aneignen, um ihre Produkte noch effizienter und profitabler zu gestalten. 

In der jüngsten Vergangenheit sind vermehrt Beispiele zunehmend ausgeklügelter Malware beobachtet worden, darunter der Evolutionsschritt des Online-Banking-Trojaners Zeus von 32 auf 64 Bit und die Modernisierung des gegen Android gerichteten Schädlings iBanking.

Neben dem zunehmenden Funktionsumfang von Malware zeigt sich auch ein relativ neuer Trend, bei dem Hacker in das Zielsystem eingebaute oder legitime Werkzeuge verwenden, um die Entdeckung ihre Angriffe durch Antimalware-Software zu unterbinden. Der Trojaner Poweliks ist eines der jüngsten Beispiele für diese Gattung.

In diesem Artikel erfahren Sie mehr über die aktuellsten Malware-Entwicklungen und lernen wirksame Enterprise-Maßnahmen für die Entdeckung und Kontrolle der Malware kennen.

Trojaner, Viren und andere Malware werden moderner

Der Trojaner TROJ_POWELIKS.A, oder Poweliks, ist eine selbst ohne Dateien arbeitende Malware, die dem Download anderer Malware und der anschließenden Kontrollübernahme über das kompromittierte System dient. 

Poweliks benötigt einen eigenen Angriffsvektor, um das lokale System zu infizieren und die Malware zu installieren, welche Berichten zufolge eine schadhafte Word-Datei ist. Nach der initialen Infektion wird die Malware installiert und in der Registry des Systems als codierte Dynamic Link Library (DLL) abgelegt, die von dort extrahiert wird und sich in legitime dllhost.exe-Prozesse des Betriebssystems injiziert, von denen sie dann ausgeführt wird.

Wenngleich es für die Installation von Malware auf einem System unüblich ist, eine DLL-Datei codiert in der Registry abzulegen, erschwert dieses Vorgehen doch die Aufdeckung der Malware, denn nicht jede Antimalware-Software durchsucht auch die Registry. Für solche, die es tun, wäre allerdings eine solch auffällige Datenmenge in einem Registry-Schlüssel ein guter Grund, um Alarm zu schlagen.

Poweliks nutzt auch PowerShell-Kommandos, um seine Attacke zu vollenden. PowerShell-Befehle stellen eine gute Möglichkeit dar, die Schädlingserkennung auszutricksen, da PowerShell auf den meisten Systemen installiert ist und über eine Vielzahl erweiterter Möglichkeiten der Interaktion mit dem Betriebssystem verfügt, die für Angriffe vitale Funktionalität bereitstellen.

Auch andere Malwareprogramme sind zur Profitsteigerung ihrer Autoren fortlaufend weiterentwickelt worden. Der vergleichsweise ausgewachsene Trojaner Zeus erhält immer wieder neue Funktionalitäten

Zuletzt etwa wurde von einer Social Engineering-Erweiterung berichtet, die eine Browserwarnung nachahmt, um den Nutzer zur Installation der Malware zu verleiten. Ähnlich hat auch iBanking.Android neue Funktionalität erhalten, die Sicherheitssoftware imitiert, um den Benutzer zu Installationshandlungen für die Malware aufzufordern. Anschließen entwendet die Software SMS-Nachrichten für die Zweifaktor-Authentifizierung.

Antimalware-Lösungen für Unternehmen

Die Erkennung hochentwickelter Malware kann auf viele verschiedene Arten erfolgen. Mehrstufige Malware wie Poweliks und mehrstufige Attacken können Unternehmen mehr Zeit für die Erkennung bösartiger Szenarien verschaffen, da jede einzelne Stufe eine gewisse Zeit benötigt. 

Andererseits bergen sie das Risiko, dass der mehrstufige Angriff nicht erkannt wird, da jede Stufe für sich betrachtet harmlos wirken könnte. Im Fall von Poweliks etwa ist es relativ schwer, das Auftreten der einzelnen Stufen zu registrieren. Aber die Korrelation aller Stufen und Aktionen hilft bei der Erkennung und Entschärfung bösartiger Software.

Während beispielsweise PowerShell-Befehle nutzbringende Werkzeuge für Administratoren und erfahrene Anwender sind, werden sie vom Durchschnittsbenutzer in der Regel eher selten genutzt werden. 

Bösartige PowerShell-Befehle zu erkennen ist im Unternehmensnetzwerk eine komplexe Fragestellung, denn gerade dort gibt es zahlreiche legitime Einsatzzwecke. Sollen PowerShell-Skripte hingegen von normalen Endanwendern eingesetzt werden, könnte der Administrator vorgeben, dass solche Skripte vor der Ausführung einen Signaturtest bestehen müssen und so Malware an der Ausführung bösartiger Skriptbefehle hindern. 

Einen zielgerichteten Angriff wird diese Maßnahme alleine nicht verhindern können, jedoch wird damit die Latte so hoch gelegt, dass so mancher Hacker sich frustriert abwenden könnte, womit ein Angriff erfolgreich abgewehrt wäre.

Auch wenn das Erkennen der PowerShell-Aspekte von Poweliks mühsam sein mag – seine Kommando- und Steuerungsinfrastruktur sowie Netzwerkverbindungen könnten einfacher zu erkennen sein. Ein Blogeintrag von TrendMicro benennt eine spezifische IP-Adresse, die als Indikator für eine Kompromittierung dienen kann und somit tauglich ist, um im Unternehmensnetzwerk nach Verbindungen zu dieser IP-Adresse Ausschau zu halten. 

Auch ungewöhnliche Netzwerkaktivität eines Systems kann eine nähere Untersuchung auf Befall rechtfertigen. Möglich ist dies etwa über Logs des Cisco-Netzwerkprotokolls NetFlow, anhand derer Sie feststellen können, welche Netzwerksysteme die meisten oder aktivsten auswärtigen IP-Datenverbindungen verursachen und dabei gehäufte Authentifikationsablehnungen aufweisen.

Die zuletzt modifizierten Varianten von Zeus und iBanking.Android können durch ganz ähnliche Schritte wie die oben zu Poweliks erklärten ausgemacht werden. Zeus-Befälle können durch Überwachung von Verbindungen zur Kommando- und Steuerungs-IP-Adresse erkannt werden. iBanking.Android lässt sich mithilfe eines mobilen Antimalware-Tools ausmachen, das im System nach bösartigen Dateien Ausschau hält.

Sie sollten sich zudem bewusst sein, dass die effiziente Bekämpfung von Malware nur zu einem Teil auf Erkennung basiert. Gründliche Reaktionen auf Malware-Vorfälle gehören zur Grundausstattung der Folgenminimierung eines kompromittierten Systems.

Fortlaufende Pflege und Anpassung der Unternehmens-IT

Es sollte niemanden überraschen, dass sich Malware ständig weiterentwickelt und die effektivsten Angriffstechniken noch weiter automatisieren wird. Bereits die ausgeklügelten Unternehmenslösungen zur Malware-Abwehr sorgen dafür, dass Angreifer unausweichlich neue Methoden ersinnen, um diese zu umgehen. 

Konstant hohe Aufmerksamkeit ist daher für Unternehmen das A und O, um in Bedrohungslagen die Oberhand zu behalten. Sicherheitssysteme für Unternehmen müssen fortlaufend gepflegt werden, um tagtäglich neue Angriffe bestmöglich abzuwehren. Der Wechsel von Sicherheitsprogrammen und -maßnahmen nach der Entdeckung neuer Schwachpunkte oder Attacken ist maßgeblich dafür, den Anschluss nicht zu verlieren.

Ebenso kritische Erfolgsfaktoren für Unternehmen sind nicht nur die Neubewertung des Systemmanagements, sondern auch dessen Einschätzung in Bezug auf Funktionalitäten. Hier sind zum Beispiel besagte PowerShell-Skripte gemeint, die möglicherweise nicht oder nur begrenzt benötigt werden, jedoch Risiken in die Systemumgebung einbringen und zusätzliche Strategien erforderlich machen, um aus ihnen resultierende Sicherheitslücken beherrschen zu können.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de

Close