Malware nutzt zahlreiche Vektoren, um ihr Ziel zu erreichen. Die Gesamtheit dieser Faktoren wird öfter als Angriffsfläche bezeichnet, deren tatsächliche Breite den Cyberkriminellen einen gewissen Spielraum eröffnet.
Unter den zahlreichen Methoden einer Malware stechen einige Hauptinfektionsvektoren hervor, darunter E-Mails, gefälschte Websites oder in legitime Playund App-Stores oder gar Update-Server von Softwareherstellern hinterlegte manipulierte Anwendungen (Beispiel Solar-Winds‘ Sunburst). Doch die Bedrohung geht nicht nur von der reinen Software-Dimension aus, auch physische Datenträger können zu Infektionsvektoren werden. Faxgeräte, Drucker, Computermäuse, USB-Sticks oder auch USB- und Lightning-Kabel werden regelmäßig als Vektoren ausgenutzt. Anfang 2022 wurde sogar ein Rootkit entdeckt, das im SPI-Flash-Chip eines Computer-Mainboards versteckt war.
Nach dem Herunterladen installiert sich die klassische Malware in temporäre Ordner, die von Anwendungsdaten bis hin zu Browser-Caches reichen. Anschließend wird der bösartige Code ausgelesen und das Skript ausgeführt. Spuren der Installation von Malware sind manchmal auch in der Windows-Registrierung zu finden. Bei der „dateilosen“ Malware hingegen wird gar keine Datei gespeichert, demnach gibt es keine feststellbare Spur: Der Schadcode wird direkt aus dem RAM ausgeführt. Einmal infiziert, gibt es auch nur zum Teil offensichtliche Hinweise auf eine Infektion (langsameres Betriebssystem, plötzlich auftretende Bluescreens). Viele Signale sind eher am verdächtigen Verhalten des Systems einer Arbeitsstation mittels EPP- und EDR-Lösungen zu erkennen.
Die Mischung macht‘s
Noch bevor man an den Schutz des Endgerätes denkt, sind den Anwendern Basiskenntnisse in digitaler Hygiene zu übermitteln. Denn die Unachtsamkeit des Benutzers erleichtert leider in den meisten Fällen die Arbeit der Cyberkriminellen. Zusätzlich zu einem guten Grad an Wachsamkeit sind die regelmäßige Aktualisierung des Betriebssystems und des Browsers sowie die Änderung der Passwörter eine erste Stufe des Schutzes gegen Malware und Angriffe.
Parallel dazu gibt es technische Lösungen, die vor Malware schützen. Auf der Datenfluss-Ebene im Netzwerk sind Lösungen zur Erkennung von Eindringlingen und E-Mail-Filter bewährte Verfahren. Sie analysieren und entfernen Links und gefährliche Anhänge. Was Desktops, Notebooks und Server betrifft, sorgen EPP- und EDR-Lösungen (idealerweise HIPS – „Host Intrusion Prevention Systems“) für Verhaltensschutz und/oder Gerätekontrolle: Das Verschließen von USB-Ports an Computern ist keine Notwendigkeit mehr, um Malware abzuwehren, die über physische Vektoren übertragen wird. Dafür sind EPP-Funktionen da, die raffinierteste Angriffe abwehren, noch bevor EDR-Lösungen Elemente für weitere Analysen liefern.
Wenn die Infektion dennoch erfolgreich ausbricht, ist es sinnvoll, die Verbindung des befallenen Rechners zum Unternehmensnetzwerk und zum Internet zu trennen, um die Beseitigung der Malware vorzunehmen. Dabei sollte man darauf achten, nicht nur die bösartige Datei, sondern auch temporäre Dateien sowie Persistenz-Mechanismen wie Register-Schlüssel zu löschen. Herkömmliche Antivirenprogramme können zudem bestimmte Schadprogramme unter Quarantäne stellen oder löschen – vorausgesetzt, sie werden als solche erkannt. Nur in den komplizierteren Fällen muss eine komplette Neuinstallation des Systems durchgeführt werden. Die Änderung von Kennwörtern sowie die Aktualisierung von Software und Betriebssystem sind ebenfalls unumgängliche Maßnahmen, um eine sofortige Neuinfektion zu vermeiden.
www.stormshield.com