Von Makroviren und Bootsektorviren bis hin zu Droppern und Packern - hier finden Sie einen Überblick über 9 gängige Virentypen, ihre Funktionsweise und die Aufgaben, die sie für Angreifer erfüllen. [...]
Der menschliche Verstand liebt es, Dinge zu kategorisieren, und Malware ist da keine Ausnahme. Unsere Malware-Erklärung unterteilt Malware danach, wie sie sich verbreitet (sich selbst verbreitende Würmer, Viren, die sich auf anderen Code stützen, oder raffiniert getarnte Trojaner), und danach, was sie auf infizierten Computern anrichtet (Rootkits, Adware, Ransomware, Cryptojacking und Malvertising [engl.]).
Diese Art von technischer Taxonomie ist weit verbreitet, und sie hat durchaus ihren Nutzen. Insbesondere kann es hilfreich sein, verschiedene Arten von Malware-Infektionsvektoren zu unterscheiden, anstatt alles in einen Topf zu werfen und als „Virus“ zu bezeichnen, obwohl dieser Begriff weit verbreitet ist. Aber wir können auch zu viel Wert auf diese Art von Unterteilung legen.
„Viele der Begriffe, die in den 90er und frühen 00er Jahren zur Beschreibung von Malware verwendet wurden, sind technisch immer noch korrekt, aber vielleicht nicht mehr so relevant wie früher“, sagt Jacob Ansari, Security Advocate und Emerging Cyber Trends Analyst bei Schellman, einem weltweit tätigen, unabhängigen Gutachter für Sicherheit und Datenschutz. „Während die Malware früherer Jahrzehnte auf dem Zielsystem installiert wurde und dann ohne menschliches Zutun von selbst lief, werden die meisten modernen Angriffskampagnen von Gruppen von Menschen durchgeführt, die wir gemeinhin als Threat Actors bezeichnen. Die Angreifer versuchen nach wie vor, sich der Entdeckung zu entziehen und trotz aller Verteidigungsmaßnahmen zu verharren, und verwenden eine Vielzahl von Programmier- oder Skriptsprachen, um ihren schädlichen Code zu erstellen.“
Wir haben Ansari und andere Sicherheitsexperten gefragt, wie sie die Malware-Kategorien, mit denen sie zu tun haben, aufschlüsseln. Im Allgemeinen haben wir festgestellt, dass es zwei verschiedene Sichtweisen auf die Malware-Taxonomie gibt: Man kann darüber nachdenken, wie Viren ihre Drecksarbeit erledigen (d. h., was sie Ihnen antun), oder darüber, wo sie in ein Ökosystem passen (d. h., was sie für einen Angreifer tun).
9 häufig vorkommende Arten von Computerviren
- Makro-Viren
- Polymorphe Viren
- Residente Viren
- Bootsektor-Viren
- Mehrteilige Viren
- Dropper
- Beacon/Payload
- Packer
- Kommando und Kontrolle
Virentypen definiert durch das, was sie Ihnen antun
Wenn Sie sich einen Überblick über die verschiedenen Arten von Malware verschaffen wollen, sollten Sie mit jemandem sprechen, der beruflich mit Malware zu tun hat. Das ist der Job von Dahvid Schloss: Er ist Managing Lead für offensive Sicherheit bei Echelon Risk + Cyber und arbeitet an Malware, die reale Threat-Actors imitieren soll, um Kommando- und Kontrollplattformen für die Emulation von Gegenspielern und Red-Team-Einsätze seines Unternehmens auszuführen. Er schlüsselte die verschiedenen Virentypen, mit denen er arbeitet, nach ihrer Funktion auf.
Makro-Viren
„Diese Kategorie ist wahrscheinlich die am weitesten verbreitete Malware-Technologie der Welt“, sagt Schloss. „Ungefähr 92 % der externen Angriffe beginnen mit Phishing, und Makros sind der Kern des Problems. Ein Makro ist eine automatisierte Ausführung von Tastenanschlägen oder Mausaktionen, die ein Programm ohne Benutzerinteraktion durchführen kann – typischerweise handelt es sich um Microsoft Word/Excel-Makros, mit denen sich wiederholende Aufgaben in einem Tabellenblatt oder Dokument automatisiert werden können.“
Makros sind ein extrem verbreiteter Malware-Typ. „Die Übermittlungsmethode ist glaubwürdig, besonders wenn sie arbeitsbezogen aussieht“, sagt Schloss. „Außerdem ist die Programmiersprache (Visual Basic, im Fall von Microsoft) recht einfach. Makroviren erfordern daher weniger technisches Wissen, um sie zu schreiben.“
Lauren Pearce, Incident Response Lead beim Cloud-Sicherheitsunternehmen Redacted, stimmt dem zu. „Wir sehen weiterhin erhebliche Schäden durch einfache Malware“, sagt sie. „Das einfache Makro eines Office-Dokuments ist der häufigste Infektionsvektor.
Polymorphe Viren
„Während der Makrovirus am einfachsten zu kodieren ist, wäre dieser Typ [der polymorphe Virus] der komplexeste, da der Virus genau das ist, was sein Name sagt: polymorph“, sagt Schloss. „Jedes Mal, wenn der Code ausgeführt wird, wird er etwas anders ausgeführt, und typischerweise wird der Code jedes Mal, wenn er auf einen neuen Rechner übertragen wird, etwas anders sein.“
Schloss gibt zu, dass „diese Kategorie von Viren meine Lieblingsviren sind, da sie sehr komplex und extrem schwer zu untersuchen und zu erkennen sind.“
Residente Viren
Dies ist eine besonders gefährliche Kategorie: ein körperloser Virus, der nicht als Teil einer Datei existiert. „Der Virus selbst wird im RAM des Wirts ausgeführt“, sagt Schloss. „Der Virencode ist nicht in der ausführbaren Datei gespeichert, die ihn aufgerufen hat, sondern in der Regel auf einer über das Internet zugänglichen Website oder in einem Speichercontainer. Die ausführbare Datei, die den residenten Code aufruft, ist in der Regel so geschrieben, dass sie nicht bösartig ist, um eine Erkennung durch eine Antivirenanwendung zu vermeiden.“
Der Begriff „residenter Virus“ impliziert natürlich auch die Existenz eines nicht residenten Virus. Schloss definiert diesen als „einen Virus, der in der ausführbaren Datei enthalten ist, die ihn aufruft. Diese Viren verbreiten sich am häufigsten durch den Missbrauch von Unternehmensdiensten“.
Bootsektor-Viren
„Diese Kategorie bezeichne ich gerne als den ‚Nationalstaaten-Cocktail'“, erklärt Schloss. „Diese Art von Viren soll dem Angreifer eine uneingeschränkte und tiefe Verankerung ermöglichen. Sie infizieren sich bis hinunter zum Master Boot Record (MBR) des Computers, was bedeutet, dass der Virus selbst bei einem Re-Image des Rechners bestehen bleibt und beim Booten im Speicher des Hosts ausgeführt werden kann. Diese Art von Viren ist nur selten außerhalb staatlicher Threat-Actors anzutreffen und beruht fast immer auf einem Zero-Day-Exploit, um die Ebene des MBR zu erreichen, oder wird über physische Medien wie infizierte USB- oder Festplattenlaufwerke verbreitet.“
Mehrteilige Viren
Während sich einige Malware-Entwickler spezialisieren, verfolgen andere einen „All of the above“-Ansatz und greifen überall auf einmal an. „Diese Arten von Viren sind in der Regel am schwierigsten einzudämmen und zu bekämpfen“, sagt Schloss. „Sie infizieren mehrere Teile eines Systems, darunter den Speicher, Dateien, ausführbare Dateien und sogar den Bootsektor. Wir sehen immer mehr Viren dieser Art, und diese Arten von Viren verbreiten sich auf jede erdenkliche Weise, wobei sie in der Regel mehrere Techniken einsetzen, um die Verbreitung zu maximieren.“
Malware-Typen, definiert nach ihrem Nutzen für den Angreifer
Eine weitere Möglichkeit, die verschiedenen Malware-Varianten zu betrachten, besteht darin, wie sie sich in das Gesamtbild eines Angriffs einfügen. Erinnern Sie sich an das, was Ansari von Schellman oben sagte: Moderne Malware wird von Teams eingesetzt, und auch die Viren selbst können als Team betrachtet werden. „Viele Malware-Kampagnen bestehen aus einer Reihe von Komponenten, die manchmal separat entwickelt oder sogar von anderen Malware-Akteuren beschafft werden“, sagt Ansari. Er schlüsselt einige der verschiedenen Player auf:
Dropper
„Diese Malware ist dazu gedacht, andere Malware auf dem infizierten System abzulegen“, so Ansari. „Die Opfer können über einen schädlichen Link, einen Anhang, einen Download oder ähnliches mit einem Dropper infiziert werden, der in der Regel nach dem Ablegen der nächsten Malware-Stufe nicht mehr vorhanden ist.“
„Makro-Malware fällt in die Kategorie der Dropper“, ergänzt Pearce von Redacted. „Es handelt sich um Malware, die nur zu dem Zweck entwickelt wurde, zusätzliche Malware herunterzuladen und auszuführen.
Beacon/Payload
Diese Malware-Typen sind die nächste Stufe des Angriffs. Ein Beacon oder eine Payload ist die Malware, die dem Angreifer ihre neu installierten Zugriffsmöglichkeiten signalisiert“, sagt Ansari, „sie wird oft von einem Dropper installiert. „Von hier aus kann ein Angreifer über den vom Beacon eingerichteten Weg auf die Opfersysteme zugreifen und auf das System, die darin enthaltenen Daten oder andere Systeme im Netzwerk zugreifen.“
Packer
Diese Komponenten verpacken andere Komponenten und nutzen kryptografische Techniken, um die Erkennung zu umgehen. „Einige ausgeklügelte Malware-Kampagnen verwenden eine Reihe von Packern, die wie eine Stapelpuppe ineinander geschachtelt sind“, sagt Ansari. „Jede Komponente enthält ein weiteres gepacktes Element, bis letztlich die Payload ausgeführt werden kann.“
Kommando und Kontrolle
Jedes Team braucht einen Anführer, und genau das ist die Rolle, die das Kommando und die Kontrolle für diese kooperativen Malware-Komponenten spielen. „Diese Systeme, die manchmal auch als C&C (Command and Control), CNC oder C2 bezeichnet werden, operieren außerhalb der Umgebung des Opfers und ermöglichen es dem Bedrohungsakteur, mit den anderen Komponenten der auf dem Zielsystem installierten Malware-Kampagne zu kommunizieren“, sagt Ansari. „Wenn die Strafverfolgungsbehörden einen Threat-Actor ins Visier nehmen, beschlagnahmen sie oft die Kommando- und Kontrollsysteme als Teil ihrer Bemühungen, die Bedrohung zu stoppen.“
Klassifizierung von Computerviren
Letztendlich sollte die von uns verwendete Taxonomie nicht zu starr sein, sondern die Vermittlung wichtiger Informationen über Cyberbedrohungen erleichtern. Und das bedeutet, dass Sie Ihre Sprache auf Ihr Publikum zuschneiden müssen, sagt Ori Arbel, CTO von CYREBRO, einem Anbieter von Sicherheitsdienstleistungen.
„Wenn ich für CISOs schreibe, betrachten sie das Thema aus der Risikoperspektive“, sagt er, „während die breite Öffentlichkeit die in den Nachrichten häufig verwendeten Namen besser versteht. Diese Virenkategorisierungen werden aus dem Blickwinkel dessen dargestellt, was am leichtesten zu verstehen ist – aber auf diese Weise werden nicht unbedingt die besten Maßnahmen vermittelt, die Sicherheitsexperten ergreifen sollten. Wenn ich für eine Gruppe von Fachleuten für Bedrohungsdaten schreibe, würde ich eher Begriffe verwenden, die sich auf die Geolokalisierung und die Motivation des Angreifers beziehen, als darauf, was der Virus tatsächlich tut.“
Abschließend gibt es noch eine letzte Möglichkeit, Viren zu kategorisieren, die eigentlich nur aus der Perspektive der Virenjäger selbst Sinn macht: Viren, die würdige Gegner sind, und solche, die es nicht sind.
„Als Reverse-Ingenieur macht mir das Rätsel der Umkehrung Spaß“, sagt Pearce von Redacted. „Makros stellen eine erhebliche Bedrohung für ein Netzwerk dar, aber es macht nicht besonders viel Spaß, sie zu entschlüsseln. Ich genieße es, Beispiele umzukehren, die Anti-Analyse-Techniken einsetzen, um sich aktiv dagegen zu wehren, dass sie umgedreht werden. Malware kann Anti-Debugging-Techniken verwenden, die einen Debugger durch Methoden wie Check-Summing oder Timing-Angriffe erkennen und darauf reagieren. Die Verwendung von Anti-Analyse-Techniken deutet auf einen geschickten Malware-Autor hin und dient dazu, die Zeitspanne zwischen der Entdeckung eines Beispiels und der Extraktion nützlicher Indikatoren zu seiner Bekämpfung zu verlängern.“
Nur weil Ihre Gegner Kriminelle sind, heißt das nicht, dass Sie sie nicht dafür respektieren können, dass sie ihre Arbeit mit Stolz verrichten.
*Josh Fruhlinger ist Schriftsteller und Redakteur aus Los Angeles.
Be the first to comment