Was ist Malware?

Foto: SkillUp – shutterstock.com

Malware ist ein Oberbegriff, es handelt sich nicht um eine bestimmte Gattung von Schadsoftware, sondern um verschiedene Arten, darunter Viren, Würmer und Trojaner. Diese unterscheiden sich durch den Prozess ihrer Vermehrung und die Art und Weise, wie sie sich verbreiten.

Malware – Definition

Malware bezeichnet Software, die dazu dient, unerlaubt in einen Computer, Server oder Netzwerk einzudringen und dort Störungen oder Schaden zu verursachen. Geht es darum, Malware zu kategorisieren, spielt die Art und Weise, wie sich die bösartige Software verbreitet, eine zentrale Rolle. So gibt es drei unterschiedliche Arten, wie Malware Zielcomputer infizieren kann:

• ein Wurm ist ein eigenständiges Stück bösartiger Software, das sich selbst reproduziert und sich – historisch zu Beginn über Datenträger, später dann über das Netzwerk – von Computer zu Computer verbreitet;

• ein Virus fügt sich in den Code eines eigenständigen Programms ein und zwingt dieses dazu, bösartige Aktionen durchzuführen und sich selbst zu verbreiten;

• ein Trojaner ist ein oft als nützliches Tool getarntes Programm, das sich nicht selbständig replizieren und auch keine Dateien infizieren kann. Es dient dazu, in einem System die Hintertüren für destruktive oder datenstehlende Malware wie Keylogger oder Adware zu öffnen.

Malware kann auch “manuell” installiert werden, indem Angreifer physischen Zugang zu einem Rechner erlangen oder sich mithilfe von erweiterten Privilegien Administrationsrechte erschleichen. Malware lässt sich auch anhand dessen kategorisieren, was eine Schadsoftware anrichtet, wenn sie den Computer ihres Opfers infiziert hat.

Malware – Angriffstechniken

• Bei Spyware etwa handelt es sich um eine Malware, die heimlich Daten über einen ahnungslosen Benutzer sammelt. Sie spioniert das Anwenderverhalten sowie die gesendeten und empfangenen Daten aus, sobald der User den infizierten Computer verwendet. Ziel ist es, diese Informationen an einen Dritten zu senden. Eine bekannte Spyware ist der Keylogger, der alle Tastenanschläge eines Benutzers aufzeichnet. Er ist ideal dazu geeignet, Passwörter zu stehlen.

• ein Rootkit ist ein Bündel an Software-Tools, die Angreifern aus der Ferne die Kontrolle über einen Computer oder ein System verschaffen. Der Name ist darauf zurückzuführen, dass es sich um einen Satz von Tools handelt, die meist illegal Root-Zugriff auf das Zielsystem erlangen. Gemeint ist damit die Kontrolle auf Administrator-Ebene. Diese Macht wird auch dazu genutzt, Spuren zu verwischen und die eigene Anwesenheit zu verbergen.

• Bei Adware handelt es sich um Malware, die den Browser manipuliert. Sie zwingt die Internet-Zugangssoftware dazu, auf eine bestimmte Web-Werbung umzuleiten, über die arglose Nutzer dann oft weitere, noch bösartigere Software herunterladen. Adware ist oft an scheinbar attraktive, “kostenlose” Programme wie Spiele oder Browsererweiterungen gekoppelt.

• Ransomware, auch bekannt als Erpressersoftware, verschlüsselt die Dateien auf der Festplatte der Angriffsopfer. Gegen Bezahlung, meist in Bitcoin, bieten die Gangster den Betroffenen eine Software zur Entschlüsselung an. In den vergangenen Jahren gab es zahlreiche aufsehenerregende Malware-Ausbrüche, etwa durch Ransomware-Tools wie Petya, Locky, Bad Rabbit, JigSaw oder Cryptolocker. Ohne Entschlüsselungs-Key ist es für die Opfer mathematisch unmöglich, wieder Zugriff auf ihre Dateien zu erhalten.

• Sogenannte Scareware ist eine Art Ransomware Light. Sie erweckt den Eindruck, die Kontrolle über den Computer übernommen zu haben und fordert ein Lösegeld. In Wirklichkeit verwendet Scareware diverse Tricks wie etwa Browser-Umleitungsschleifen, um den Anschein zu erwecken, dass sie mehr Schaden angerichtet hat, als dies tatsächlich der Fall ist. Anders als Ransomware lässt sich Scareware leicht deaktivieren.

• Cryptojacking infiziert Computer, um dessen Rechenressourcen zu stehlen. Der Schädling nutzt Ihre CPU-Zyklen, um damit beispielsweise Kryptowährungen wie Bitcoin zu schürfen und dem Angreifer so zu Profit zu verhelfen. Die Mining-Software kann im Hintergrund des Betriebssystems oder sogar als JavaScript in einem Browserfenster laufen.

• Malvertising ist ein Kofferwort aus Malware und Advertising. Hier werden schädliche Skripte, Programme oder Flash-Applikationen heimlich über Werbebanner oder ganze Werbenetzwerke verbreitet. Kriminelle versuchen so, die Kontrolle über einen oder mehrere Rechner zu gewinnen oder sensible Informationen wie etwa Bankdaten abzugreifen. Klicken die User auf solche eine Werbung oder laden eine Website mit solch bösartiger Werbung, wird die Schadsoftware aktiviert. In manchen Fällen wird die in einer Anzeige eingebettete Malware automatisch und ohne Zutun des Benutzers ausgeführt. Die Technik nennt sich Drive-by-Download.

Jede Malware nutzt eine bestimmte Infektionsmethode und lässt sich jeweils einer Verhaltenskategorie zuordnen. So ist beispielsweise WannaCry ein Ransomware-Wurm. Eine bestimmte Malware kann auch in verschiedenen Formen mit unterschiedlichen Angriffsvektoren auftreten. Die Banken-Malware Emotet wurde beispielsweise sowohl als Trojaner als auch als Wurm gesichtet.

Der häufigste Infektionsvektor sind Spam-E-Mails, die Nutzer dazu verleiten, die Malware im Stil eines Trojaners zu aktivieren. WannaCry und Emotet sind stark verbreitete Malware-Typen, aber viele andere, darunter NanoCore und Gh0st, sind so genannte Remote Access Trojaner (RATs) – also Rootkits, die sich wie Trojaner verbreiten. Cryptocurrency-Malware wie CoinMiner rundet das Angebot ab.

Schutz vor Malware – Endpoint Security und mehr

Da Spam- und Phishing-E-Mails die Hauptübertragungswege für Malware-Infektionen sind, besteht die beste Möglichkeit sich vor Malware zu schützen darin, die E-Mail-Systeme gut abzusichern und dafür zu sorgen, dass die User im Unternehmen wissen, wie sie Gefahren erkennen können. Bewährt haben sich das sorgfältige Überprüfen angehängter Dokumente kombiniert mit dem Einschränken potenziell gefährlicher Verhaltensweisen der Benutzer. Außerdem sollten die Endanwender mit den gängigen Phishing-Betrügereien vertraut gemacht werden.

Es gibt außerdem eine Reihe von technischen Präventivmaßnahmen, die Unternehmen ergreifen können. Dazu gehört ein konsequentes Patch-Management: Alle Systeme sollten ständig auf dem neuesten Stand gehalten werden. Wichtig ist es auch, die Hardware zu inventarisieren und kontinuierlich auf Schwachstellen zu überprüfen. Gegen Ransomware-Angriffe können sich Anwender wappnen, indem Sie das Thema Backup ernstnehmen und häufig Sicherungskopien ihrer Dateien anfertigen. So sind die Dateien nicht verloren, sollten die Festplatten von Angreifern verschlüsselt werden.

Antivirensoftware ist das bekannteste Schutzprodukt vor Malware. Obwohl das Wort “Virus” im Namen steckt, bekämpfen die meisten Angebote alle Formen von Schadsoftware. Viele Sicherheitsexperten sehen den Einsatz von Antivirensoftware als veraltete Schutzmaßnahme, tatsächlich ist sie aber immer noch das Rückgrat einer grundlegenden Abwehr. Antivirensoftware identifiziert Schadprogramme wie Spyware, Keylogger, Würmer oder Bots und hindert sie daran, den digitalen Perimeter zu durchdringen und sich auf den Geräten der User breitzumachen. Sie können Realtime-Scans auf E-Mails, Websites und Downloads durchführen und dabei im Hintergrund arbeiten, ohne dass die Anwender gestört werden. Die derzeit führende Antiviren-Software kommt von Anbietern wie Kaspersky, Symantec oder Trend Micro.

Einen umfassenderen Schutz vor Malware bieten in Unternehmensnetzwerken Endpoint-Security-Lösungen und -Services. Sie schützen jeden einzelnen “Endpunkt” im Netzwerk, also PCs und Workstations genauso wie mobile Endgeräte und IoT-Devices. Dazu bekommt das Security-Team ein zentrales Management-Portal an die Hand, über das es die Endpoint-Überwachung an den verschiedenen Niederlassungen und in den Home-Offices steuern kann. So bleiben beispielsweise problematische Regionen oder verdächtige Datenbewegungen ständig im Blick. Endpoint-Security-Lösungen vereinen signaturbasierte Malware-Erkennung, wie sie von Antivirenprogrammen bekannt ist, mit Anti-Spyware-Software, Firewalls, Anwendungskontrolle und verschiedenen Varianten der Intrusion Prevention. Gartner nennt in seinen Rankings der besten Produkte unter anderem Cylance, CrowdStrike und Carbon Black.

Malware erkennen und entfernen – so geht’s

Mit hoher Wahrscheinlichkeit werden die meisten Systeme irgendwann mit Malware infiziert. PC-User können das besonders einfach überprüfen, indem sie in ihrem Start-Menü Windows-Sicherheit anklicken und einen Scan mit dem Windows-Defender vornehmen. Zudem gibt es zahllose kostenlose Virenscanner, beispielsweise von Norton Lifelock (Avira, Avast, AVG), Panda, Bitdefender und anderen – für den PC und teilweise auch für den Mac.

Auf der Ebene der Unternehmens-IT gibt es fortschrittliche Visibility-Tools, mit denen Sie Malware in Ihren Netzwerken erkennen und auch sonst sehen können, was in Ihren Netzwerken vor sich geht. Dazu steht eine breite Palette von Netzwerküberwachungs-Tools zur Verfügung, deren Preise von einigen wenigen bis hin zu Tausenden von Euro reichen. Ebenso gibt es SIEM-Tools (Security Information and Event Management), die sich aus Lösungen für das Logdaten-Management weiterentwickelt haben. Diese Tools analysieren Protokolldaten von verschiedenen Computern und Geräten in der eigenen Infrastruktur und suchen nach Anzeichen für Probleme, einschließlich Malware-Infektionen. Die Palette der SIEM-Anbieter reicht von Branchengrößen wie IBM und HPE bis zu Spezialisten wie Splunk und Alien Vault.

Malware wieder loszuwerden kann einfach oder kompliziert sein, abhängig vom Typ und vom Umfang der Infektion. Fachpublikationen wie CSO haben jede Menge Artikel darüber veröffentlicht, wie sich Rootkits, Ransomware oder Cryptominer entfernen lassen. Ebenso finden sich dort Leitfäden zur Überprüfung der Windows Registry, um herauszufinden, wie man im Einzelnen vorgehen kann. Wer auf der Suche nach Tools zur Bereinigung seines Systems ist, findet zudem auf Tech Radar eine gute Zusammenstellung von Werkzeugen zum Schutz vor Ransomware, unter anderem von Spezialanbietern wie Malwarebytes.

Malware – Beispiele

Wir haben bereits einige der aktuellen Malware-Bedrohungen erörtert, die heute eine große Rolle spielen. Doch Malware hat eine lange Geschichte, die bis zu den infizierten Disketten zurückreicht, die in den 1980er Jahren von Apple II-Bastlern ausgetauscht wurden. Aufsehenerregende Malware-Beispiele der Vergangenheit sind:

• CryptoLocker, eine erstmals 2013 erkannte Ransomware-Software, mit der Cyberkriminelle Millionen von Dollar erbeuteten und die erst durch die konzertierte Aktion einer international zusammengestellten Task-force (Operation Tovar) gestoppt werden konnte. Zur Verbreitung nutzten die Angreifer das Gameover-Zeus-Botnet. CryptoLocker setzt auf eine Methode zur asymmetrischen Verschlüsselung, die das Knacken erschwert. Das Zwei-Schlüssel-System verwendet einen öffentlichen Key zur Verschlüsselung und einen privaten zur Entschlüsselung, wobei beide miteinander verbunden sind;

• Conficker, auch Downadup genannt, ist ein Wurm, der ungepatchte Schwachstellen in Windows ausnutzte und eine Vielzahl von Angriffsmöglichkeiten nutzte – von der Einschleusung bösartigen Codes bis hin zu Phishing-E-Mails -, um schließlich Passwörter zu knacken und Windows-Geräte in einem Botnet zu übernehmen;

• Emotet, ein von den Gesetzeshütern und Sicherheitsinstitutionen als besonders gefährlich bezeichneter Trojaner, der erstmals 2014 auftrat und vorzugsweise die Rechner in Banken und Gesundheitseinrichtungen befiel. In Deutschland machte ein Angriff auf das Krankenhaus in Fürstenfeldbruck Schlagzeilen, bei dem rund 450 Rechner in die Knie gezwungen wurden;

• Loveletter, ein Wurm, der sich im Jahr 2000 nach dem Prinzip eines Kettenbriefs (Betreffzeile: ILOVEYOU) im E-Mail-Anhang rasant verbreitete und einen Schaden von mehr als 10 Milliarden Dollar anrichtete. Loveletter, geschrieben in der Skriptsprache Visual Basic Script, war ein einfaches Programm, das in der VBScript-Laufzeitumgebung ausgeführt werden musste. Der Wurm verschickte sich an Einträge aus dem persönlichen Outlook-Adressbuch. Der Anhang hieß LOVE-LETTER-FOR-YOU.TXT.vbs. Die Empfänger fühlten sich aufgrund der Endung .txt sicher, zumal die Erweiterung .vbs in einer Standard-Windows-Installation nicht angezeigt wird.

• Auf MyDoom geht der wohl schlimmste und teuerste Virenangriff überhaupt zurück, allein der Schaden im Jahr 2004 soll sich auf 38 Milliarden Dollar belaufen. Der Wurm hat sich in Rekordgeschwindigkeit verbreitet und vernetzte Windows-Rechner für Angreifer geöffnet. Der Wurm sammelte E-Mail-Adressen auf den PCs seiner Opfer und verschickte sich an diese weiter. Von den infizierten Rechnern aus starteten Cyberkriminelle via Botnet DDoS-Angriffe.

• Petya/NotPetya, eine Ransomware, die sich 2016/2017 verbreitete und denselben EternalBlue-Exploit nutzte wie WannaCry (siehe unten), verbreitete sich über E-Mail-Phishing-Attacken und zerstörte die Festplatten der Nutzer. Ein Schlüssel zur Wiederherstellung wurde nicht angeboten. Im Gegensatz zu anderen Ransomware-Varianten zielten Petya und die Subvariante NotPety auf den Master Boot Record (MBR) in einem PC.

• SQL Slammer brachte den Internetverkehr nach seiner ersten schnellen Verbreitung im Jahr 2003 innerhalb kürzester Zeit zum Erliegen. Der Wurm infizierte SQL-Server und Systeme, auf denen eine ungepatchte Version von Microsoft SQL Server 2000 lief. Insgesamt 13.000 Geldautomaten der Bank of America wurden lahmgelegt, außerdem waren 27 Millionen Menschen vom Ausfall eines Mobilfunknetzes betroffen.

• Stuxnet, ein extrem ausgeklügelter Wurm, der Computer auf der ganzen Welt infizierte, aber nur an einem Ort wirklichen Schaden anrichtete: in der iranischen Nuklearanlage in Natanz, wo er Zentrifugen zur Urananreicherung zerstörte. Hinter Stuxnet stecken wohl US-amerikanische und israelische Geheimdienste, obwohl dies nie wirklich zugegeben wurde.

• WannaCry, eine 2017 aufgetretene sehr populäre Ransomware, die auf infizierten Rechnern die Festplatte verschlüsselte und einen Freigabeschlüssel nur nach Zahlung eines Lösegeldes in Bitcoin versprach. Berühmt wurde etwa ein Angriff auf die Taiwan Semiconductor Manufacturing Company (TSMC), der das Unternehmen zwang, seine Produktion zeitweilig herunterzufahren.

• Zeus, auch bekannt als Zbot, ist ein 2007 entdeckter Keylogger-Trojaner, der Windows-Systeme befiel und es dort auf Bankdaten abgesehen hatte. Zeus erkennt, ob Anwender sich auf der Anmeldeseite einer Bank befinden und zeichnet die Tastaturanschläge bei der Anmeldung auf. Die Verbreitung erfolgte über Spam-Mails und Drive-by-Downloads.

Malware – Trends

Man kann sich darauf verlassen, dass Cyberkriminelle immer der Spur des Geldes folgen. Sie suchen sich ihre Opfer danach aus, ob ein Erfolg wahrscheinlich und der zu erzielende Ertrag ausreichend ist. Die Schwankungen in Bezug auf die Beliebtheit bestimmter Malware-Typen haben damit zu tun, ob sich die Kriminellen einen angemessenen Return on Invest (RoI) versprechen. Diverse Forschungsberichte zeigen interessante Verschiebungen bei den Taktiken und Zielen der Angreifer. Cryptominers, die Ransomware als häufigste Art von Malware überholt hatten, sind aufgrund des Wertverfalls von Kryptowährungen in Ungnade gefallen. Wieder im Aufwind ist Ransomware: Die Angriffe werden zielgenauer, und aufgrund der Verfügbarkeit von Ransomware-as-a-Service-Kits im Darknet sinkt die Eintrittsbarriere für Cybergangster immer weiter.

Laut den Marktforschern von IDC ist im Jahr 2021 bereits jedes dritte Unternehmen weltweit (37 Prozent) in irgendeiner Form Opfer eines Ransomware-Angriffs geworden. Die US-amerikanische CISA (Cybersecurity and Infrastructure Security Agency) berichtete im Februar 2022, 14 der 16 US-Institutionen, die in den Vereinigten Staaten zur kritischen Infrastruktur zählen, hätten mindestens einen Ransomware-Vorfall gehabt. Und VirusTotal schreibt in einem Report, man habe bereits mehr als 130 verschiedene Ransomware-Arten identifiziert, wobei die GandCrab-Familie mit 78 Prozent aller Angriffe den Ton angebe.

“Wir haben beobachtet, dass die Cyberkriminellen sich von den Verbrauchern abwenden und stattdessen ihre schweren Geschütze gegen Unternehmen auffahren”, beobachtet Adam Kujawa, Direktor von Malwarebytes Labs. Ehemals auf Endverbraucher ausgerichtete Malware werde zu einer größeren, vielseitigeren Bedrohung für Unternehmen umfunktioniert.

Die meisten Angriffe richten sich derzeit gegen Bildungseinrichtungen, den Handel, Dienstleister und Regierungsbehörden. Einer Studie von Veeam zufolge hat knapp die Hälfte der angegriffenen Unternehmen und Institutionen Lösegeld bezahlt und seine Systeme anschließend wieder in Betrieb nehmen können. 24 Prozent zahlten, konnten aber dennoch nicht auf ihre Systeme zugreifen und nur 19 Prozent weigerten sich zu zahlen. Trotzdem haben auch sie ihre IT-Anlagen nach einiger Zeit wieder zum Laufen gebracht.

Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation CSO Online.