IT Sicherheit ist ein Weg, kein Ziel!

Schadsoftware - Die Übersichtsseite

Schadsoftware ist der deutschsprachige Oberbegriff für die verschiedenen Arten von unerwünschter Software. Dazu zählen beispielsweise Computerviren, Trojaner, Backdoors, Ransomware und weitere spezialisierte Software-Fremdkörper.
Im Security-Umfeld spricht bezeichnet man Schadsoftware auch analog mit dem Begriff Malware. Dies ist ein Kofferwort, welches sich aus den beiden englischsprachigen Wort-Fragmenten Malicious und Software zusammensetzt.

Schadsoftware ist kein fixes Set an Bedrohungen, sondern ein dynamisches Feld, in welchen immer wieder neue Arten entwickelt und definiert werden.

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Computervirus

Mit Computerviren hat alles angefangen. Angelehnt an die Medizin breitet sich der Virus selbstständig aus und infiziert andere Programmdateien. Der Cascade-Virus, der zu den ersten gehört (1989) verteilte sich, indem er andere Programmdateien vom Typ .COM infiziert. Der eigentliche Virus ist dabei 1701 Byte lang und repliziert sich in die zu infizierende Datei, indem er sich an das Dateiende hängt und die Datei so verlängert. Danach modifiziert er Sprungtabellen am Programmanfang und stellt damit sicher, das sein eigener Programmcode aufgeführt wird.

Ein klassischer Computervirus lässt sich i.d.R. leicht identifizieren, da es einen definierten Suchbereich in einer Datei gibt (Dateiende) und ein fixes Muster an Suchbytes. Diese einfach Erkennung wurde durch das erscheinen von Polymorphen Viren deutlich erschwert und setzt sich bei Computerviren und andere Schadsoftware bis in die Jetztzeit fort.

Trojaner (Trojanisches Pferd)

Die Schadsoftware "Trojanisches Pferd" wird im Sprachgebrauch als Trojaner bezeichnet und beschreibt ein Programm mit einer verdeckten bzw. unerwünschten Nebenwirkung.

Trojaner verbreiten sich i.d.R. nicht eigenständig wie Computerviren, sondern benötigen den Menschen der für eine Weitergabe des Trojaners sorgt. Die etablierte Methode besteht darin, einen Nutzen zu bieten (oder auch nur vorzugaukeln), während für den Anwender unbemerkt eine Schadaktion ausgeführt wird. Dies könnte z.B. ein Datendiebstahl sein, der sämtliche Text-Dateien an einen Server weiterleitet.
Trojaner sind aktuell im Umfeld von APPs für Smartphones sehr verbreitet. Dabei werden im Hintergrund zahlreiche Anwenderspezifische Kontakte und Daten abgegriffen, ohne das dies der Anwender bemerkt. Vor allem Gratis-Spielprogramme dienen oft als Trojaner-Träger.
Für die Erkennung gelten die gleichen Regeln wie für Schadsoftware. Analog kann man neue Trojaner auch daran erkennen, das Sie auf (Daten-)Bereiche zugreifen, die üblicherweise für eine Anwendungsprogramm nicht relevant sind.

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Backdoor

Bei einem Backdoor handelt es sich um eine Hintertür, die in einem Anwendungsprogramm eingebaut ist. Dies kann mit Absicht durch den Programmierer erfolgt sein - oder auch zufällig als "nicht deaktiviertes Element von Software-Tests" während der Entwicklung. Gefährlich sind beide Ursachen!
Backdoors reproduzieren sich nicht und sind durch den Hersteller oder Code-Produzenten im Quellcode verankert und werden bei der Erstellung des Programms erzeugt.
Über eine Backdoor, kann man beispielsweise die Rechte-Validierung umgehen (Anmeldung) und ohne Restriktionen auf alle Daten zugreifen. Gerüchte sagen, das Backdoors im Auftrag von Regierungen und/oder Geheimdiensten in etablierte Tools durch die Produkthersteller eingebaut werden (müssen), um im Kriegsfall Vorteile zu erzielen.

Wobei man heute wohl auch davon ausgehen muss, das Backdoors eher für die Wirtschaftsspionage genutzt werden oder um finanziell Vorteile zu erzielen. Schutzprogramme, die nach Backdoors suchen gibt es nicht. Diese werden üblicherweise durch unabhängige Security-Analysten gefunden und veröffentlicht.

Ransomware

Die "Erpressungs-Software" ist eine relativ neue Art von Schadsoftware, die erst seit Mitte des Jahres 2014 immer wieder von sich reden macht.
Im Prinzip ist es eine Schadsoftware, deren Schadaktion darin besteht, Dateien auf der Festplatte des Anwenders zu verschlüsseln. So werden beispielsweise Text-, Bild-, und Tabellendateien mit einem kryptographischen Algorithmus verschlüsselt. Erst nach Zahlung eines "Lösegeldes" erhält der Anwender ein Codewort, das es ihm ermöglicht, seine Dateien wieder zu entschlüsseln.
Ransomware kann mit klassischen Erkennungsmethoden gut erkannt werden - oder auch über die Auswirkungen - indem beispielsweise vermehrt Bilddateien .vom Typ JPG in .RSA umbenannt werden. Aber das Erkennen verhindert bestenfalls das weitere Dateien verschlüsselt werden. Bereits codierte Dateien sind i.d.R. ohne den Code nicht mehr nutzbar!
Prominente Vertreter der Ransomware sind Petya und Locky. In der Praxis ist aber nicht sichergestellt, dass der Anwender nach Zahlung des Lösegeldes dieses Codewort auch erhält und das es funktioniert. Mehr Erfolg verspricht es hier, die Webseiten der AV-Hersteller zu besuchen um zu prüfen, ob dort bereits Gegenmittel angeboten werden.
In der Sicherheitsbranche rät man generell davon ab, Lösegeld zu bezahlen - jedoch lässt man das Opfer von Ransomware mit diesem Rat dann allein im Regen stehen, ohne das er seine Daten erhält!

Empfehlung
Der beste Schutz vor Ransomware ist ein periodisches Sicherungskonzept, welches über mehrere Generationen Datendateien sichert. Denn so kann mit Sicherheit wieder ein alter, unverschlüsselter Datenbestand hergestellt werden.

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Bild in Lightbox öffnen (open image in lightbox).

Rootkit

Mit zunehmender Komplexität der IT-Systeme war es erforderlich, Spezialisten für die zentrale Bearbeitung von Aufgaben zu betreuen. Hierbei handelt es sich üblicherweise um Administratoren.
Admins müssen sich oft mit wiederkehrenden Aufgaben beschäftigen und haben daher Tools geschaffen, die ihnen die Arbeit erleichtern oder bestehende Utilities optimiert. Angelehnt an die Unix-Administration, bei der ein privilegierter Administrator unter der Kennung root (Wurzel) arbeite, werden derartige Administrator-Tools auch Rootkits bezeichnet.

Im Security-Umfeld spricht man von einem Rootkit, wenn es sich dabei um eine Schadsoftware(-Sammlung) handelt, die analog zum Administrator, aus einem privilegierten Umfeld heraus arbeitet und diverse Schadaktionen ausführt. Rootkits sind üblicherweise im Betriebssystem verankert und nur mit Aufwand zu eliminieren. Auf das System gelangen sie in der Regel als Trojaner oder auch als Computervirus. Die Security-Hersteller haben meistens in Ihre Virenscannern spezifische Module integriert, um Rootkits zu erkennen und zu bekämpfen.

Bootvirus

Bootviren, wie der im Jahr 1986 entdeckte Pakistani Brain, gehören zur ältesten Art von Schadsoftware. Aktuell sind Bootviren beinahe ausgestorben, da die heutigen IT-Systeme ein Booten von mobilen Datenträgern wie Diskette, CD oder USB-Speicherstick nur noch sehr selten benötigen.

Bootviren können, da sie die Boot-Struktur bzw. die -Daten eines Datenträgers (Bootsektor und/oder Partitionssektor [MBR]) manipulieren, gut erkannt werden. Dies machen sich auch aktuelle IT-System zu nutze, indem durch das BIOS (Basic Input Output System) die kritischen Datenträger-Sektoren auf Veränderungen überwachet werden. Gleiches gilt auch für die modernere UEFI-Schnittstelle (Unified Extensible Firmware Interface), welche die GPT (GUID Partition Table) verifiziert.

Werden Veränderungen erkannt, so ist dies ein Signal für den Anwender, das sich ggf. einen unerwünschte Schadsoftware auf seinem System eingenistet hat.

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Makrovirus

Leistungsstarke Office-Anwendungen haben in ihren Programmen üblicherweise die Option implementiert, Vorgänge zu automatisieren. Dies geschieht durch eigene proprietäre Befehlssprachen, die im Jargon "Script-Language" genannt werden.

Makroviren entsprechen daher einer Schadsoftware, die auf einer Script-Sprache basiert. Im Normalfall kann eine solche Befehlsfolge (Makro) die gleichen Aktivitäten durchführen wie ein Anwender auch. So ist es beispielsweise möglich, innerhalb einer Textverarbeitung eine Replikation zu programmieren, die den eigenen Code in andere Textdateien vervielfältigt, die diesen Code noch nicht beinhalten. Als Schadaktion könnte dann beispielsweise ein Transfer einer Datendatei an einen externen Datenserver erfolgen oder analog zu Ransomware, alle erreichbaren Textdateien verschlüsselt.
Makroviren liegen normalerweise als Text vor oder in einer Art von Zwischencode (Pre-Kompiliert). Die Erkennung mit einem Virenscanner ist problemlos möglich. Seit dem Jahr 2016 ist eine wieder eine Zunahme von Makro-Angriffen zu beobachten, nachdem es um diese Viren-Gattung deutlich ruhiger wurde.

Als etablierte Schutzmaßnahem hat es sich eingebürgert, den Anwender vor der Ausführung von Makros um dessen Erlaubnis zu fragen. Damit kann ein aufmerksamer Anwender potentiell in der Lage, Schadsoftware zu entdecken, bevor diese aktiv wird.

Würmer

Würmer bzw. Computerwürmer sind eine weitere Gattung von Schadsoftware die eher eine Randexistenz fristet. In der Vergangenheit, als die Netzwerke weitestgehend ungeschützt waren, konnten Würmer sich von einem zum andern System über offen Ports und Kanäle verbreiten (Moris Wurm, 1988). Heutzutage, da Firewall-Systeme und andere Schutzmechanismen die Netzwerke segmentieren und abschotten ist dies fast nicht mehr möglich.
Mitunter nutzen einzelne Würmer, die zu Demonstrationszwecken erstellt wurden, mobile Datenträger um sich zu verbreiten.
Dieses Prinzip wurde auch im Jahr 2010 öffentlich bekannt als der Wurm Stuxnet, die Sabotage von iranischen Atomanlagen verursachte, indem die Steuerungstechnik manipulierte. Dieser Wurm gelang (beabsichtigt) durch einen infizierten USB-Speicherstick auf die Systeme.

Aufgrund des umfangreichen Know how, welches für die Entwicklung von Stuxnet erforderlich ist, vermuten viele Experten, als Urheber eine staatlichen Organisation (Geheimdienst).

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Polymorphe Viren

"Polymorphismus" kommt aus dem griechischen Wortschatz und bedeute soviel wie "Vielgestaltigkeit". Als polymorphe Schadsoftware bezeichnet man Malware, die in der Lage ist, ihren eigenen Programmcode zu verändern. Diese Maßnahme soll eine Erkennung durch Virenscanner bzw. Anti-Malwarescanner erschweren. Das Prinzip dabei ist recht einfach. Um die Zahl 10 zu erhalten, kann man 5+5 addieren. Man erhält aber auch das Ergebnis 10, wenn man 5+2+4-1 rechnet.

Im Binärcode sind dies jedoch andere Sequenzen, die n Erkennungssignaturen erforderlich machen oder ein aktives Überwachen eines potentiell verdächtigen Programms.
Heutzutage ist Polymorphismus ein Standard, der beinahe von jeder Schadsoftware genutzt wird. Leider zählen die Security-Unternehmen jede polymorphe Variante als eigene Schadsoftware, was zu hunderttausenden neuer "Viren" jedes Jahr führt, wobei es aber wahrscheinlich nur einige hundert sind, die jedes Jahr neu entwickelt werden.
Zur Bekämpfung von polymorphen Viren haben sich die sogenannten "Next-Gen-Virenscanner" bewährt, die Programmcode aktiv ausführen und definierte Zustände verifizieren und ohne Signaturmuster auskommen.

Logikbombe, Script-Viren, Stealth-Viren (Tarnkappenviren)

Logikbombe, Script-Viren, Stealth-Viren, Malvertising, Scareware, Spyware, Hoax, AdWare, IRC-Worm, Exploit, FalsePositive und PUP - dies sind einige der Begriffe, die oft unter Schadsoftware abgelegt werden.

Teilweise berechtigt, wie Stealth-Viren, die eine spezielle Art der Tarnung beschreibt, mit der sich Computerviren vor der Entdeckung durch Virenscanner & Co. zu schützen versuchen. Teilweise aber auch fälschlicherweise, denn bei PUP handelt es sich nur um ein "Potential Unwanted Program" - also ein potentiell unerwünschtes Tool. Dies könnte aber auch ein Programm sein, welches immer wieder die Startseite des WWW-Browsers überschreibt - lästig, aber eigentlich ungefährlich!

Hier empfiehlt es sich weitere Erkundigungen einzuziehen, um abzuklären, worum es sich hier im Detail handelt. Da dies aber den Rahmen und die Ausrichtung dieser Webseite sprengen würde, sei hier auf Wikipedia und/oder Secupedia für weitere Recherchen verwiesen.

Bild in Lightbox öffnen (open image in lightbox). Analogie Schadsoftware: Detailbetrachtung durch ein Mikroskop

Fileless Malware

Der englische Fachbegriff "Fileless Malware" wird im Deutschen oft (etwas unglücklich) mit "Dateiloser Schadsoftware" übersetzt.

Treffender wäre ein Begriff wie "Speicheraktiver Virus". Denn genau das ist Malware vom Type "Fileless" (auch oft als "Zero-Footprint-Malware" bezeichnet). Die Schadsoftware wir auf einem Rechner aktiviert und verbleibt bevorzugt im Speicher des infizierten Systems haften.
Die Virus legt keine Kopie von sich im Dateisystem ab, und verknüpft i.d.R. auch keine Initialisierung-Sequenz, so dass er bei einem erneuten Bootendes Systems wieder aktiviert wird, da der Viruscode nicht persistent ist. Jedoch würde dies die Wirksamkeit der Angriffe massiv einschränken, denn jeder Rechner-Kaltstart würde den Virus eliminieren. Daher werden für die Überlebensfähigkeit andere Mechanismen bzw. Speicherorte bevorzugt, die in der Vergangenheit nicht von Security-Tools verifiziert wurden. Dazu gehört u.a. die Registry oder andere Bereiche, in denen normalerweise Daten abgelegt sind. Auch hier erfolgt dann eine Aktivierung nach dem Systemstart, indem eine Initialisierung erfolgt indem beispielsweise eine Datenfeld aus der Registry entschlüsselt wird und der dann gewonnen Malwareprogrammcode ausgeführt wird.

Auch Fileless Viren sind damit keine Zauberei, sondern einfach Schadsoftware, die ein wenig von der gewohnten Norm abweicht. Security-Tools der heutigen Generation sind daher auch gut geeignet für die Erkennung und Bekämpfung der Dateilosen Angreifer.