Systemsicherheit: 3 Phasen der Malware-Abwehr

Illustration: Absmeier, Waqutiar

Die Welt der Malware ist ein weites Feld und es erweitert sich stetig. Ransomware ist in der Regel eine der am häufigsten diskutierten Formen von Malware. Nicht zuletzt, weil es sich um eine Art von Malware handelt, die sich selbst bemerkbar macht. Die meisten anderen Schadprogramme setzen sehr viel Aufwand dahinter, ihre Erkennung aktiv zu vermeiden. Wer sich auf die Abwehr von Ransomware-Angriffen konzentriert hat, muss sich fragen, ob die bestehenden Abwehrmaßnahmen für Malware anderer Art ebenfalls ausreichen.

 

Ransomware muss sich aktiv bemerkbar machen, wenn die Angreifer ihre Lösegeldforderungen platzieren wollen. Bei Malware die unerkannt bleiben soll, wird jede Benutzerinteraktionen möglichst vermieden, um die Persistenz im Netzwerk zu gewährleisten. Unternehmen sollten sich also durchaus auf die Erkennung und Abwehr solcher Malware konzentrieren.

In beiden Fällen sind aber Abwehrmaßnahmen wirksam, die verhindern, dass eine Malware überhaupt ins System gelangt.

Vor diesem Hintergrund sollte die Malware-Abwehr alle drei Phasen umfassen: Prävention, Erkennung und Behebung.

 

  1. Prävention

Einen Vorfall völlig zu vermeiden wäre der ideale Weg, um Malware zu bekämpfen. Deshalb beginnen wir mit der Prävention. Diese Sicherheitskontrollen sollen die Malware-Erstinfektionen und deren Ausbreitung auf dem System verhindern. Dabei gibt es einige grundlegende Vorgehensweisen.

  • Sicheres Konfigurationsmanagement: Es ist Teil jeder soliden Sicherheitsgrundlage und trägt zum Schutz von Systemen und Dateien vor Malware bei. Prävention beginnt bei einer sicheren Konfiguration. Andernfalls steht die Tür weit offen, durch die eine Malware in eine Netzwerkumgebung gelangen kann.
  • Schwachstellenmanagement: Hand in Hand mit einem sicheren Konfigurationsmanagement gilt es das Risiko von Schwachstellen soweit als möglich zu minimieren. Das ist nach wie vor eine der Schlüsselkomponenten innerhalb der Cybersicherheit. Üblicherweise nutzt eine Malware irgendeine Art von Sicherheitslücke aus, um sich auf einem System zu installieren.
  • Integritätsmanagement: Wenn Sie effektiv von einer sicheren Umgebung ausgehen können, sollten Sie die Integrität dieser Umgebung auch mittel- und langfristig aufrechterhalten. Dazu muss man Veränderungen erkennen und hinsichtlich ihrer möglichen Auswirkungen auf die Gesamtsicherheit einschätzen/bewerten. Wenn ein Unternehmen seine Systemintegrität aufrechterhält, hat es eine Malware wesentlich schwerer in ein System zu gelangen oder man kann zumindest die weitere Verbreitung der Malware in Grenzen halten oder stoppen.
  • Management privilegierter Identitäten: Der Missbrauch oder die Fehlkonfiguration von privilegierten Konten ist ein üblicher Mechanismus, mit dem sich Angreifer Zugang zu einer Umgebung verschaffen oder ihre Präsenz ausweiten. Angreifer suchen dazu häufig nach Workstations oder Laptops, auf denen Administratorrechte ausgeführt werden, um Malware einfacher installieren und verbreiten zu können.
  • E-Mail-Sicherheit: Phishing und andere E-Mail-basierte Angriffe haben sich deutlich weiterentwickelt und haben mit den traditionellen Phishing-Versuchen vergangener Tage nur noch wenig gemein. Die zielgerichteten Angriffe dienen als bevorzugter Einstiegspunkt für alle Arten von Malware. Auch wenn man den Eingang solcher Mails und mit ihnen der Malware möglicherweise nicht 100 % verhindern kann, so birgt es doch ein hohes Risiko die E-Mail-Sicherheit als potenzielle Infektionsquelle zu vernachlässigen.

 

  1. Erkennung

Wenn es eine Malware bereits in Ihre Netzwerkumgebung geschafft hat, sollte man sie im Idealfall erkennen bevor sie Fuß fasst.

  • Anti-Malware-Tools: Anti-Malware-Tools fallen einem dann möglicherweise als erstes ein. Standard-Anti-Malware-Tools sind hilfreich, um den Befall mit Schadsoftware im Netzwerk oder auf einem Host zu erkennen. Aber bislang ist keines dieser Tools perfekt. Und man sollte weitere grundlegende Sicherheitskontrollen zur Malware-Erkennung in Betracht ziehen.
  • Change Detection: Jeder Vorfall beginnt mit einer Veränderung. Das gilt auch für eine Malware-Infektion. In den weitaus meisten Fällen muss die Malware irgendeine Änderung in der Umgebung vornehmen. Oft lassen sich die dabei verbleibenden Änderungen verwenden, um die Malware zu identifizieren. Das können beispielsweise neue Dateien auf einem System sein, Änderungen an den Einstellungen oder der Protokollierung usw. Ein gutes Change-Detection-System unterscheidet zudem zwischen verdächtigen Änderungen und solchen, die in dieser Umgebung als üblich zu betrachten sind.
  • Log-Management: Protokolldaten zu erfassen und zu analysieren ist eine weitere grundlegende Sicherheitsmaßnahme, mit der man auch die ursprüngliche Aktivität einer Malware und das Ausmaß einer Infektion ermitteln kann. Umfassendes Log Management bietet wichtige Einblicke in böswillige Aktivitäten.
  • Verdächtige Dateien: Verdächtige Dateien, die das betreffende Malware-Erkennungstools nicht erkannt hat, müssen analysiert werden. Sandbox-Tools für Malware können eine Datei ausführen (oder vernichten) und ihr Verhalten analysieren, um festzustellen, ob die Datei bösartig, verdächtig oder vielleicht sogar gutartig ist. Hierbei handelt es sich um eine erweiterte Funktion zur Erkennung von Malware, die man in die Change Detection- und Log Management-Funktionen integrieren kann.

 

  1. Behebung

Die Bekämpfung von Malware wird oft einfach mit »Malware entfernen« gleichgesetzt. Das sollte aber nicht das letztendliche Ziel sein. Vielmehr geht es darum, die gesamte Umgebung wieder in einen vertrauenswürdigen Zustand zu versetzen. Andernfalls bleiben die Systeme anfällig für andere Vorfälle.

  • Anti-Malware-Tools: Sie können mit einem Anti-Malware-Tool beginnen, um Malware in Quarantäne zu verschieben oder sie zu entfernen.
  • Backups: Backups dienen nicht nur der Wiederherstellung von verlorenen Daten. Die Wiederherstellung von einem guten Backup ist auch nötig, um Vertrauen wiederherzustellen. Eine Umgebung, die kompromittiert wurde, ist nicht mehr vertrauenswürdig. Die Umgebung sollte wieder in den schon erwähnten vertrauenswürdigen Status versetzt werden.
  • Konfigurationsmanagement: Wer nicht auf ein Backup dieser Art zugreifen kann, muss wohl oder übel diesen Sicherheitsstatus einer vertrauenswürdigen Umgebung wieder neu aufbauen. Dazu definiert man zunächst wie dieser vertrauenswürdige Zustand aussehen soll. Das kann man über Basiskonfigurationen erreichen, die sich bewährt haben und die man zukünftig pflegt. Diese Basis dient als Leitfaden für den Neuaufbau und die Konfiguration von Systemen nach einem Sicherheitsvorfall.

Diese Sicherheitskontrollen sind im Allgemeinen Best Practices. Sie befassen sich jedoch auch speziell damit, wie Malware in eine Umgebung eindringt und wie sie sich dort auswirkt. Eine Strategie zur Malware-Abwehr sollte alle drei Phasen der Prävention, Erkennung und Behebung umfassen. Unabhängig davon, ob Sie sich gegen eine im Verborgenen agierende Malware zum Cryptojacking handelt oder eine Ransomware.

Tim Erlin, VP Produktmanagement und Strategie bei Tripwire

 

1048 Artikel zu „Malware“

Mobile Malware und APT-Spionage in ungeahnten Dimensionen

Aktuelle Studie analysiert mobile Malware in plattformübergreifenden Überwachungs- und Spionagekampagnen durch organisierte APT-Angreifer, die im Interesse der Regierungen Chinas, Irans, Nordkoreas und Vietnams tätig sind . BlackBerry Limited veröffentlicht eine neue Studie mit dem Titel »Mobile Malware und APT-Spionage: erfolgreich, tiefgreifend und plattformübergreifend« [1]. Darin wird aufgezeigt, inwiefern organisierte Gruppen mittels mobiler Schadsoftware in Kombination mit…

Advanced Malware: Fünf Best Practices zum Schutz gegen Spionage und Datendiebstahl

Cyberkriminelle nutzen Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten. Ziel ist in der Regel Spionage und Datendiebstahl. Opfer sind diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden.   Advanced Malware, auch als Advanced Persistent Threats (APT) bezeichnet, sind Malware-Stämme, die mit…

Vier Best Practices zum Schutz vor modularer Malware: Bösartige Multitalente

Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Die Vorgehensweise der Cyberkriminellen Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die…

Marktanteile: Anti-Malware-Markt ohne klare Nummer 1

Der Anti-Malware-Markt hat keine klare Nummer 1. Das geht aus Daten des Unternehmens OPSWAT hervor, die sich auf englischsprachige Programm-Versionen für Windows beziehen [1]. Demnach liegen die Anbieter McAfee, AVAST Software und ESET mit Marktanteilen zwischen 11,5 und 13,1 Prozent fast gleichauf an der Spitze. Dahinter hält Bitdefender (9,7 Prozent) Anschluss an die Spitze. Kaspersky…

Vor diesen fünf Malware-Trends sollten sich Unternehmen 2019 wappnen

Ransomware, router-basierte Angriffe, polymorphe IoT-Malware, Angriffe durch künstliche Intelligenz & Co. Die Sicherheitsforscher von Avast haben die Angriffe der vergangenen Monate untersucht und prognostizieren die folgenden Malware-Trends für 2019.   Ransomware-Angriffe auf Unternehmen nehmen zu Angreifer werden sich mit ihren Ransomware-Angriffen im Jahr 2019 verstärkt auf Unternehmen und Organisationen konzentrieren, da diese – im Gegensatz…

Mylobot-Botnetz liefert einen Doppelschlag mit Khalesi-Malware

Neue Infektionstaktiken durch weltweit verbreitete Malware.   Ein neuer Bericht von CenturyLink, Inc. zeigt auf, dass das Mylobot-Botnetz nach dem Infizieren eines Computers noch andere Arten von Schadsoftware herunterladen und so größeren Schaden beim Diebstahl von Informationen verursachen kann. Mylobot enthält hochentwickelte antivirtuelle Maschinen- und Anti-Sandboxing-Techniken, um seine Erkennung und Analyse zu erschweren. Dazu gehört…

Malware, Viren und Trojaner – (un)sicherer IT-Betrieb im Krankenhaus

Karsten Glied* äußert sich zum Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck, zu seinen Folgen und zum Aufbau einer sicheren IT:   »Die aktuelle Meldung über einen Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck reiht sich ein in die lange Liste der kritischen IT-Vorfälle dieses Jahres. Reichte es früher, Virenscanner, Firewall und das Betriebssystem upzudaten, muss heute in komplexen…

Hacker, willkommen – Schatten-IT als Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

  Schatten-IT – Soft- und Hardware, die nicht durch das Sicherheitsteam eines Unternehmens freigegeben wurde – ist seit langem ein beliebter Angriffsvektor für Cyberkriminelle und Insider. Während Insider zunehmend bereits installierte, legitime und dadurch schwer zu entdeckende Tools wie PowerShell, WMI oder Cmd.exe einsetzen, um Unternehmensrechner mit Malware zu kapern, herrscht kein Mangel an scheinbar…

20 Prozent der Software in Deutschland ist illegal – Sorge vor Data Hacks und Malware

Um Risiken durch Cyberangriffe zu reduzieren und reibungslose Geschäftsprozesse zu gewährleisten, sollten Unternehmen Unterlizenzierungen ihrer Software beseitigen und effektive Software-Asset-Management-Prozesse einführen. Dies ist die Kernaussage der neuesten Auflage der BSA-Studie [1]. In Deutschland ist Software im Wert von 1,3 Milliarden Euro ohne Lizenz im Einsatz: Jedes fünfte Programm (20 Prozent) ist unlizenziert. Dies stellt einen…

Malware in der Cloud: Best Practices zum Schutz vor einer wachsenden Bedrohung

Das enorme Wachstum von Cloud Services in der Geschäftswelt hat einen leidigen, aber vorhersehbaren Nebeneffekt: Die Cloud wird zum beliebten Ziel für Cyberkriminelle. Aufgrund der vernetzten Struktur kann sich Malware in der Cloud rasch auf Anwendungen und Geräte verbreiten, falls keine Sicherheitsmaßnahmen getroffen werden. Doch mit entsprechenden Best Practices können Unternehmen sich gegen die wachsende…

Detect-to-Protect-Ansatz in der IT-Sicherheit scheitert auch bei Mining-Malware

Immer neue Spielarten treten in der Cyberkriminalität zutage. Neuestes Beispiel liefert die Mining-Malware: Auch hier zeigt sich, dass der traditionelle Detect-to-Protect-Ansatz in der IT-Sicherheit bei neuen Angriffsszenarien letztlich immer zum Scheitern verurteilt ist, konstatiert Sicherheitssoftware-Anbieter Bromium.   Unternehmen investieren jedes Jahr Unsummen, um die IT-Sicherheit aufrechtzuerhalten, Bedrohungen aufzuspüren und Datenverlust zu verhindern. Dabei dominieren nach…

Ransomware: 70 Prozent der großen Unternehmen in Deutschland von Erpresser-Malware betroffen

Ransomware-Angriffe kosten große Unternehmen durchschnittlich 750.000 Euro. Angriffe mit Erpresser-Malware haben sich zu einem kostspieligen Massenphänomen entwickelt, wie eine Studie nun offenbart [1]. 70 Prozent und damit fast drei Viertel der Unternehmen mit mehr als 1000 Mitarbeitern in Deutschland wurden in den vergangenen zwölf Monaten demnach Opfer eines Ransomware-Angriffs. Der Großteil der Unternehmen wurde dabei…