Sie sind sich der von Malware ausgehenden Bedrohung für Ihr Unternehmen bereits bewusst – dieses fiese Gefährt, welches verursacht, dass Ransomware, externe Angriffe und Datenverstöße einhergehen. Es ist nun so weit verbreitet, dass sie mehrere Sicherheitsschichten eingerichtet haben, nur um Ihr Unternehmen von diesem einen Angriffsmittel zu schützen. Sie haben also wahrscheinlich schon aktuelle oder “next-gen” AV-Lösungen, E-Mail-Scans und andere Anwendungen installiert, und trotz Allem findet Malware immernoch Ihren Weg zu Ihren Endgeräten, nicht wahr?

Doch sogar mit mehreren Lösungen, die alle zusammenarbeiten, um die Bedrohung durch Malware zu erkennen und zu eliminieren, lautet die Frage: “Warum dringt immernoch Malware ein?” Ist es der von Ihnen gewählte Anbieter der Lösung? Die Erkennungsmethoden? Die Definitionen? Oder ist es etwas, dass überhaupt nichts mit all Ihren Lösungen zu tun hat, sondern mit der Malware selbst?

Früher ging es bei Malware darum, als Autor das Recht zu haben, zu prahlen, jedoch ist es heute ein Softwareprodukt, das von organisierten Unternehmen der Kriminalität entwickelt wurde. Diese profitieren davon, die Angriffe entweder selbst hervorzurufen, oder die Malware (oder ihre Bestandteile) online im Dark Web als Dienst zu verkaufen. Sie müssen also wie jedes andere Software Unternehmen auch ein Produkt erstellen das sich mit der Zeit entwickelt – das heißt, es muss in einem Angriffsszenario erfolgreich so arbeiten, wie es versprochen wurde.

Deshalb haben Malware-Entwickler die letzten Jahre damit verbracht, schwer zu fassende Malware zu entwickeln – Malware, deren Code darauf abziehlt, nicht erkannt zu werden, indem sie genau die von Ihnen verwendeten Lösungen Ihrer Verteidigungsstrategie nutzen.

Aus gewisser Distanz lässt sich erkennen, dass „Evasive Malware“ folgende Strategien anwendet, um unerkannt zu bleiben:

  • Vermeiden von Sandboxes – viele AV und Email Gateway Lösungen verwenden eine isolierte, virtuelle Umgebung, in welcher Anhänge eingeschleust werden, um Verhaltensmuster zu beobachten. Schadprogramme testen die Umgebung auf Sandkästen ( durch das Scannen von Dokumenten, Registrierungs-Schlüssel und -Prozessen) und verweilen im Schlummermodus, wenn die Suche positiv ausfällt.
  • Vermeiden von AV und Security Solutions – Die Grenzen zwischen AV, AV der nächsten Generation, Endpoint Security, Messaging-Gateways und Endpoint Detection and Response (EDR) verschwimmen ziemlich, wenn man sich das Angebot verschiedenster Sicherheitsanbieter anschaut. Aber im Allgemeinen verwenden alle eine oder mehrere gleiche Methoden (z.B. Unterschriften, Heuristiken, Machine Learning, AI, Verhaltensmuster, usw.) um Schadprogramme zu enttarnen. Evasive Malware vermeidet diese Art von Sicherheitskontrolle mit den selben Mitteln, wie bei Sandboxes (und dem Schlummer-Modus), als auch mit Memory Injektionen um die Präsenz der Malware während eines „normalen“ Prozesses zu verschleiern und die Enttarnung somit komplett zu vermeiden.
  • Vermeidet Analysen Tools – Tools, wie Wireshark oder Process Explorer werden zur Erkennung und Enttarnung von Schadprogrammen verwendet und lassen den Analytiker Unterschriften, Muster oder Verhaltensstrukturen erkennen, die gegen zukünftige Infektionen verwendet werden kann. Durch das Durchsuchen des Umfelds nach diesen Memory Tools kann Evasive Malware weiterschlummern und Enttarnung vermeiden.

Es gibt noch einen Faktor, der nicht außer Acht gelassen werden darf, wenn es um das gekonnte Verhalten der Schadprogramme geht. Und das ist die Tatsache, dass Malware-Entwicklern jede Art von Sicherheits-Tools, welche gegen sie verwendet werden, bekannt sind. So kann während der Entwicklung der Schadprogramme alles isoliert auf diverse Sicherheitskontrollen angewandt und getestet werden. Kaum ein Malware-Entwickler wird die Zeit haben jeden Code gegen alle marktfähigen Sicherheitsprogramme auszutesten. Jedoch lohnt sich der Gewinn durch angefordertes Lösegeld oder erfolgreiche Datengewinnung genug, dass man die Schadprogramme gegen die Big Player testet, um die Oberhand zu gewinnen.

Du kannst nicht greifen, was du nicht sehen kannst

Kurz gesagt: Evasive Malware ist paranoid – sie will nicht gesehen, gefunden oder dokumentiert werden. Durch Strategien, wie das Scannen des Umfelds, Inaktivität in bedrohlichem Milieu und direktes Einsetzen von Codierungen ins Memory vermeidet die Malware Enttarnung. Sie verwendet somit die aktuell gefährlichsten Taktik.

Evasive Malware hat die zusätzliche Kompetenz sich einfach vorbeizuschlängeln, da auch mehrlagige Sicherheitsprogramme nur dazu fähig sind Schadprogramme zu erwischen, die sich alleinig auf die Infizierung durch Codierungen fokussieren. Es wird eine zusätzliche Sicherheitsebene spezifisch gegen Evasive Malware gebraucht. Bisherige Methoden steuern nur die Neutralisierung des Schadprogramms an, statt den Versuch den „unsichtbaren“ Virus zu fassen.

Um zu erfahren, wieso Sie unbedingt Ihre Anti-Malware Strategie updaten sollten, lesen Sie den  Whitepaper zu Evasiver Malware: „How and Why your Anti-Malware Strategy Needs to Evolve Beyond AV“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.