Malware | Was ist Malware und wie schützen Sie sich vor Malwareangriffen?

Was ist Malware?

Malware ist eine Software, die den Normalbetrieb eines Computers stören soll. Dazu zählen Viren, Trojaner und andere schädliche Programme, mit denen Angreifer Systeme und Netzwerke infizieren, um sich Zugriff auf sensible Informationen zu verschaffen.

Definition von Malware

Bei Malware (ein Kofferwort, abgeleitet von „malicious software“ – schädliche Software) handelt es sich um schädliche Dateien oder Schadcode, die in der Regel über ein Netzwerk verbreitet werden. Damit können Angreifer Systeme infizieren und ausspähen, Daten stehlen und verschiedene andere Aktivitäten ausführen. Da es so viele unterschiedliche Malwarevarianten gibt, sind auch die Methoden zum Infizieren von Computersystemen nahezu unbegrenzt. Doch grundsätzlich werden alle für eines der folgenden Ziele genutzt:

• Remotezugriff für Angreifer zur Ausnutzung des infizierten Computers
• Versenden von Spam von dem infizierten Computer an ahnungslose Opfer
• Ausspähen des lokalen Netzwerks des Opfers
• Diebstahl sensibler Daten

Arten von Malware

Malware ist ein Oberbegriff für diverse Arten schädlicher Software. Dazu gehören unter anderem:

Adware: Manche Formen von Adware sind legitim, aber viele werden für den nicht autorisierten Zugriff auf Computersysteme ausgenutzt und beeinträchtigen die Benutzererfahrung erheblich.

Botnet: Kurz für „Roboternetz“. Botnets bestehen aus mehreren infizierten Computern, die von einem Angreifer vernetzt und dann über Command-and-Control-Server gesteuert werden. Botnets lassen sich leicht anpassen und sind daher vielseitig einsetzbar. Aufgrund redundanter Server und der Nutzung infizierter Computer zur Weiterleitung von Datenverkehr sind sie zudem sehr resilient. Botnets werden häufig für Distributed-Denial-of-Service(DDoS)-Angriffe ausgenutzt.

Cryptojacking: Dieser Begriff bezieht sich auf schädliches Cryptomining (das Bereitstellen hoher Rechenleistung zum Verifizieren von Transaktionen in einem Blockchainnetzwerk und der Erhalt von Kryptowährungen für diesen Service). Dabei hacken Cyberkriminelle geschäftliche und private Computer, Laptops und Mobilgeräte, um Software zu installieren.

Malvertising: Malvertising ist ein Kofferwort, das sich aus „malware + advertising“ (Malware + Werbung) zusammensetzt und die Nutzung von Onlinewerbung zur Verbreitung von Malware bezeichnet. Dabei werden in der Regel Schadcode oder Werbeanzeigen, in die Malware eingebettet ist, in legitime Onlinewerbenetzwerke und Webseiten eingefügt.

Polymorphe Malware: Dazu zählt jegliche Malware, die regelmäßig weiterentwickelt werden kann. Dabei wird der Code verändert, aber der zugrunde liegende Algorithmus beibehalten. Durch das veränderte Erscheinungsbild wird diese Software von herkömmlichen signaturbasierten Antiviruslösungen nicht erkannt.

Ransomware: Das ist ein kriminelles Geschäftsmodell, bei dem mithilfe von schädlicher Software wertvolle Dateien, Daten oder Informationen verschlüsselt werden, um Lösegeld zu erpressen. Opfer von Ransomwareangriffen müssen damit rechnen, dass der Geschäftsbetrieb stark beeinträchtigt oder sogar vollständig lahmgelegt wird.

Remote Administration Tools (RATs): Dabei handelt es sich um Software, mit der ein System aus der Ferne gesteuert werden kann. Diese Tools wurden ursprünglich für legitime Zwecke entwickelt, werden aber inzwischen häufig von Angreifern missbraucht. Mit RATs verfügen Angreifer über Administratorrechte und können daher nahezu beliebige Aktivitäten auf einem infizierten Computer ausführen. Die Tools sind nur schwer zu erfassen, da sie meist nicht in der Liste der aktiven Programme oder Aufgaben aufgeführt werden und ihre Aktivitäten oft für die Prozesse legitimer Programme gehalten werden.

Rootkits: Diese Programme gewähren privilegierten Zugriff (mit Root-Berechtigungen) auf einen Computer. Es gibt diverse Rootkitvarianten und sie werden im Betriebssystem verborgen.

Spyware: Diese Malware sammelt Informationen zur Nutzung des infizierten Computers und leitet diese Daten an den Angreifer weiter. In diese Kategorie fallen Botnets, Adware, Backdoors, Keylogger, Programme für den Datendiebstahl und Netzwerkwürmer.

Trojaner: Diese Malware wird in legitim wirkender Software verborgen. Nachdem sie aktiviert wurde, kann sie die Aktivitäten ausführen, für die sie entwickelt wurde. Im Gegensatz zu Viren und Würmern vermehren sich Trojaner nicht selbst. Die Bezeichnung „Trojaner“ ist eine Anlehnung an den griechischen Mythos. Im Trojanischen Krieg hatten sich griechische Soldaten in einem hölzernen Pferd versteckt, das den ahnungslosen Bewohnern von Troja übergeben wurde, sodass die Stadt dann von innen angegriffen werden konnte.

Viren: Das sind Programme, die sich auf einem Computer oder in einem Netzwerk selbst kopieren können. Viren werden an vorhandene Programme angefügt und nur aktiv, wenn ein Benutzer das jeweilige Programm startet. Im schlimmsten Fall können sie Daten beschädigen oder entfernen, sich über das E-Mail-System des Benutzers verbreiten oder sogar sämtliche Inhalte einer Festplatte löschen.

Würmer: Dabei handelt es sich um Viren, die sich selbst vermehren können und Sicherheitslücken ausnutzen, um sich auf Computern und in Netzwerken zu verbreiten. Im Gegensatz zu den meisten Viren werden Würmer nicht an vorhandene Programme angefügt und verändern auch keine Dateien. Sie bleiben häufig unentdeckt, bis sie sich so stark vermehrt haben, dass ihre Aktivitäten die Systemressourcen oder die Netzwerkbandbreite überlasten.

Arten von Malwareangriffen

Malware nutzt verschiedene Methoden, um sich vom ersten Angriffsvektor auf weitere Computersysteme zu verbreiten. Dazu gehören unter anderem:

• E-Mail-Anhänge mit Schadcode werden von ahnungslosen Benutzern geöffnet und der Code dadurch gestartet. Werden diese E-Mails weitergeleitet, kann sich die Malware sogar noch weiter in dem betroffenen Unternehmen verbreiten und eventuell das gesamte Netzwerk beeinträchtigen.
• Dateiserver, zum Beispiel mit den gängigen Internetprotokollen (SMB/CIFS) und Netzwerkprotokollen (NFS), können eine schnelle Verbreitung von Malware ermöglichen, da Benutzer darauf zugreifen und dann infizierte Dateien herunterladen.
• Über Software für die Dateifreigabe kann sich Malware auch auf Wechselmedien festsetzen und dann in diversen Computersystemen und Netzwerken verbreiten.
• Bei der Peer-to-Peer(P2P)-Dateifreigabe gelangt Malware über scheinbar harmlose Dateien wie Musik oder Bilder auf diverse Systeme.
• Über Sicherheitslücken, die per Remotezugriff ausgenutzt werden können, gelangen Hacker auch in geografisch weit entfernte Systeme – und oft sogar ganz ohne Unterstützung eines Computerbenutzers.f

Mit den modernen Funktionen zur Abwehr von Bedrohungen und WildFire®, dem cloudbasierten Service zur Bedrohungsanalyse von Palo Alto Networks, können Sie Ihr Netzwerk vor bekannten und unbekannten Malwarevarianten schützen.

So schützen Sie sich vor Malware:

Es gibt diverse Lösungen für die Erkennung und Abwehr von Malware. Dazu gehören Firewalls, Next-Generation Firewalls, Intrusion-Prevention-Systeme (IPS), Deep Packet Inspection(DPI)-Funktionen, Unified-Threat-Management(UTM)-Systeme, Antivirus- und Anti-Spam-Gateways, virtuelle private Netzwerke (VPN), Lösungen zur Inhaltsfilterung und Systeme zur Verhinderung von Datenlecks. Es empfiehlt sich, alle Sicherheitslösungen mit möglichst vielen unterschiedlichen Malwareangriffsmethoden zu testen, um ihre Effektivität sicherzustellen. Als Grundlage sollte eine zuverlässige Bibliothek mit aktuellen Malwaresignaturen dienen, damit auch die neuesten Angriffstechniken abgedeckt werden.

Der Cortex XDR-Agent kombiniert verschiedene Schutzmechanismen, die an kritischen Punkten in den Angriffsverlauf eingreifen, um die Ausführung von Schadsoftware und die Ausnutzung von Schwachstellen in legitimen Anwendungen zu unterbinden. Dabei ist es unerheblich, welches Betriebssystem auf dem fraglichen Endpunkt läuft, ob er online oder offline ist und ob er sich innerhalb oder außerhalb des Unternehmensnetzwerks befindet. Da der Cortex XDR-Agent keine Signaturen, sondern eine Kombination aus Schutzmaßnahmen verwendet, kann er auch Zero-Day-Malware und unbekannte Exploits abwehren.

Malwareerkennung:

Es gibt verschiedene effektive Tools für die Malwareanalyse und -erkennung, zum Beispiel Firewalls, Intrusion-Prevention-Systeme (IPS) und Sandbox-Lösungen. Einige Arten von Malware sind einfacher zu erfassen, wie beispielsweise Ransomware, die sich nach der Verschlüsselung der Dateien selbst zu erkennen gibt. Andere Malware wie Spyware bleibt auf dem Zielsystem verborgen, um Angreifern langfristigen Zugriff zu sichern. Doch unabhängig von der Art oder Definition von Malware, der Sichtbarkeit oder der für die Verbreitung verantwortlichen Person – Malware wird immer zu schädlichen Zwecken eingesetzt.

Wenn Sie die verhaltensbasierte Erkennung von Bedrohungen in die Sicherheitsrichtlinien für die Endpunkte integrieren, kann der Cortex XDR-Agent die Aktivitäten auf den Endpunkten kontinuierlich überwachen und nach Abfolgen schädlicher Ereignisse suchen, die von Palo Alto Networks identifiziert wurden.

Malwareentfernung:

Antivirussoftware kann die meisten gängigen Infektionen beheben und es gibt viele Standardlösungen. Cortex XDR ermöglicht nach der Ausgabe eines Alarms oder positiven Untersuchungsergebnissen die Fehlerbehebung auf einem Endpunkt. Administratoren haben dann mehrere Möglichkeiten: Sie können die Endpunkte isolieren, indem sie den Netzwerkzugriff auf einem betroffenen Endpunkt vollständig blockieren und nur den Datenverkehr zur Cortex XDR-Konsole zulassen, die Prozesse beenden, um sämtliche Malwareaktivitäten zu unterbinden, und die weitere Ausführung blockieren. Anschließend können sie Schaddateien isolieren und aus den aktiven Verzeichnissen entfernen, falls der Cortex XDR-Agent dies nicht bereits erledigt hat.

Malwareschutz:

Zum Schutz vor Malware benötigen Sie eine umfassende, unternehmensweite Strategie. Standardbedrohungen sind Exploits, die nicht sonderlich komplex sind und sich daher auch einfacher erkennen und abwehren lassen. Dazu dient eine Kombination aus Antivirus- und Anti-Spyware-Lösungen, Funktionen zum Schutz vor Sicherheitslücken sowie URL Filtering und Funktionen zur Anwendungsidentifizierung auf der Firewall.

Weitere Informationen zu Malware, den Varianten und dem effektiven Schutz Ihres Unternehmens finden Sie in den folgenden Ressourcen:

• Was ist Malwareschutz?
• Was versteht man unter dateilosen Malwareangriffen und der „Living off the Land“-Methode?
• Ransomware Threat Report
• Was ist Ransomware?
• Ransomware: Typische Angriffsmethoden
• Malware und Exploits im Vergleich
• Was ist eine schadcodebasierte Signatur?
• Cortex XDR für die Bedrohungserkennung und -abwehr
• Threat Prevention
• Malwareanalyse-Engine WildFire