Welche Arten von Malware gibt es?

Auch wenn es viele verschiedene Malware-Varianten gibt, ist die Wahrscheinlichkeit eines Kontakts bei den folgenden Arten am höchsten:

Art
Verhalten
Reales Beispiel
Ransomware
Deaktiviert den Datenzugriff des Opfers, bis Lösegeld gezahlt wird
RYUK
Dateilose Malware
Nimmt Änderungen an Dateien vor, die zum Betriebssystem gehören
Astaroth
Spyware
Erfasst ohne Wissen der Benutzer Daten zu ihren Aktivitäten
DarkHotel
Adware
Präsentiert unerwünschte Werbung
Fireball
Trojaner
Tarnt sich als erwünschter Code
Emotet
Wurm
Breitet sich in einem Netzwerk aus, indem er sich selbst kopiert
Stuxnet
Rootkit
Ermöglicht Hackern die Fernsteuerung des angegriffenen Geräts
Zacinlo
Keylogger
Überwacht die Tastatureingaben von Benutzern
Olympic Vision
Bot
Startet eine Flut von Angriffen
Echobot
Mobilgeräte-Malware
Infiziert mobile Geräte
Triada

Im Folgenden beschreiben wir die jeweilige Funktionsweise und nennen reale Beispiele.

1. Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die die Daten eines Opfers verschlüsselt, sodass kein Zugriff mehr möglich ist. Die Angreifer fordern ein Lösegeld (engl. „ransom“) für die Herausgabe des Entschlüsselungsschlüssels. Das angegriffene Unternehmen wird teilweise oder komplett lahmgelegt, bis es zahlt. Es gibt jedoch keine Garantie, dass der benötigte Entschlüsselungsschlüssel nach der Zahlung auch tatsächlich bereitgestellt wird oder dass der bereitgestellte Entschlüsselungsschlüssel auch ordnungsgemäß funktioniert.

Beispiel für Ransomware:

Dieses Jahr wurde die Stadt Baltimore von der Ransomware RobbinHood angegriffen. Alle Aktivitäten der Stadt wie Steuererhebung, Eigentumsübertragungen und Behörden-E-Mails kamen wochenlang zum Erliegen. Der Angriff hat die Stadt bisher mehr als 18 Millionen US-Dollar gekostet – und es laufen weiter Kosten auf. Diese Art von Malware wurde 2018 auch gegen die Stadt Atlanta eingesetzt. Dort entstanden Kosten von 17 Millionen US-Dollar.

2. Dateilose Malware

Dateilose Malware installiert erst einmal nichts, sondern nimmt nur Änderungen an Dateien vor, die zum Betriebssystem gehören (z. B. PowerShell oder WMI). Da die veränderten Daten dem Betriebssystem bekannt sind, werden dateilose Angriffe von der Virenschutz-Software nicht erfasst. Sie laufen also im Verborgenen ab und sind damit bis zu 10-mal erfolgreicher als herkömmliche Malware-Angriffe.

Beispiel für dateilose Malware:

Astaroth ist eine Kampagne mit dateiloser Malware, die Benutzer mit Links zu einer LNK-Verknüpfungsdatei belästigt. Wenn Benutzer die Datei herunterladen, wird neben verschiedenen seriösen Windows-Tools auch ein WMIC-Tool gestartet. Diese Tools laden weiteren Code herunter, der nur im Speicher ausgeführt wird und keine Spuren hinterlässt, die von Schwachstellen-Scannern erkannt werden könnten. Danach laden die Angreifer einen Trojaner herunter und führen ihn aus. Dieser stiehlt Anmeldedaten und sendet sie an einen Remote-Server.

DATEILOSE ANGRIFFE

Laden Sie unser Whitepaper herunter, um die detaillierte Analyse eines dateilosen Angriffs zu lesen.

Jetzt herunterladen

3. Spyware

Spyware sammelt ohne Wissen der Benutzer Informationen über ihre Aktivitäten. Dazu können Kennwörter, PINs, Zahlungsinformationen und unstrukturierte Nachrichten gehören.

Spyware kann nicht nur in Desktop-Browsern, sondern auch in einer kritischen Anwendung oder auf einem Smartphone ausgeführt werden.

Auch wenn keine wichtigen Daten gestohlen werden, wirkt sich Spyware oft im gesamten Unternehmen aus, weil die Leistung leidet und die Produktivität sinkt.

Beispiel für Spyware:

DarkHotel hat Wirtschafts- und Regierungschefs über ein Hotel-LAN angegriffen und sich mit verschiedenen Malware-Arten Zugang zu den Systemen besonders einflussreicher Personen verschafft. Nachdem dies gelungen war, wurden Keylogger installiert, um Kennwörter und andere sensible Informationen der Opfer zu erhalten.

4. Adware

Adware verfolgt die Surf-Aktivitäten eines Benutzers, um zu erfahren, welche Art von Werbung ihn interessieren könnte. Adware funktioniert zwar ähnlich wie Spyware, installiert aber weder Software auf dem Computer eines Benutzers, noch zeichnet sie Tastatureingaben auf.

Bei Adware besteht die Gefahr in der Kompromittierung der Privatsphäre des Benutzers. Die von der Adware erfassten Daten werden mit anderen Aktivitätsdaten des Benutzers korreliert, die – offen oder verdeckt – im Internet gesammelt wurden. Somit ergibt sich ein Profil dieser Person mit Informationen zu ihrem Freundeskreis, Kaufverhalten, Reisezielen usw. Diese Informationen können ohne Zustimmung des Benutzers an Werbetreibende weitergegeben oder verkauft werden.

Beispiel für Adware:

Im Jahr 2017 infizierte die Adware Fireball 250 Millionen Computer und Geräte. Dabei wurden Browser manipuliert, d. h. die Standardsuchmaschine geändert und Internetaktivitäten verfolgt. Dabei hatte die Malware durchaus das Potenzial, größere Schäden anzurichten. Mehr als drei Viertel der Instanzen waren in der Lage, Code remote auszuführen und böswillige Dateien herunterzuladen.

Expert Tip

Laden Sie CrowdInspect herunter. Dieses kostenlose Community-Tool für Microsoft Windows-Systeme macht Sie auf potenzielle Malware auf Ihrem Computer aufmerksam, die über das Netzwerk kommunizieren kann.

CrowdInspect herunterladen

5. Trojaner

Ein Trojaner tarnt sich selbst als erwünschter Code oder Software. Sobald er von arglosen Benutzern heruntergeladen wurde, kann der Trojaner die Kontrolle über die Systeme des Opfers übernehmen und böswillige Aktivitäten durchführen. Trojaner können sich in Spielen, Anwendungen und sogar Software-Patches verstecken oder in Anhängen von Phishing-E-Mails eingebettet sein.

Beispiel für Trojaner:

Emotet ist ein raffinierter Bank-Trojaner, den es seit 2014 gibt. Emotet kann nur schwer bekämpft werden, weil er die signaturbasierte Erkennung umgeht, persistent ist und sich mithilfe von Spreader-Modulen ausbreitet. Der Trojaner ist so weit verbreitet, dass seinetwegen sogar eine Warnung der US-Heimatschutzbehörde ausgegeben wurde. Darin heißt es, dass die Behebung der von Emotet verursachten Probleme die Behörden auf allen Ebenen pro Zwischenfall bis zu 1 Million US-Dollar kostete.

6. Würmer

Würmer greifen Schwachstellen in Betriebssystemen an, um sich in Netzwerken zu installieren. Sie können sich auf verschiedenen Wegen Zugang verschaffen – über Hintertüren in Software, über unbeabsichtigte Software-Schwachstellen oder über Flash-Laufwerke. Nach der Installation können böswillige Akteure mit Würmern DDoS-Angriffe starten, sensible Daten stehlen oder Ransomware-Angriffe durchführen.

Beispiel für Würmer:

Stuxnet wurde wahrscheinlich von US-amerikanischen und israelischen Geheimdiensten mit dem Ziel entwickelt, das iranische Nuklearprogramm zu torpedieren. Die Einschleusung in die iranische Umgebung erfolgte über ein Flash-Laufwerk. Da die Umgebung per Air-Gapping geschützt war, glaubten die Entwickler gar nicht daran, dass Stuxnet dem Zielnetzwerk entwischen könnte – doch es gelang. In der Folge hat sich Stuxnet zwar aggressiv ausgebreitet, dabei aber nur geringen Schaden angerichtet, weil seine einzige Funktion darin bestand, die Industriesteuerungen für die Verwaltung des Uran-Anreicherungsprozesses zu stören.

Weitere Informationen

Möchten Sie bei den Aktivitäten von Bedrohungsakteuren immer auf dem neuesten Stand sein? Dann besuchen Sie den Research and Threat Intel-Blog, um Informationen zu den neuesten Forschungsergebnissen und Trends sowie Einblicke in neue Cyberbedrohungen zu erhalten.

Research and Threat Intel-Blog

7. Virus

Ein Virus ist Code, der sich in eine Anwendung einschleust und mit ihr ausgeführt wird. Gelangt das Virus in ein Netzwerk, können damit sensible Daten gestohlen, DDoS-Angriffe gestartet oder Ransomware-Angriffe durchgeführt werden.

Viren und Trojaner im Vergleich 

Ein Virus kann nur ausgeführt werden oder sich reproduzieren, wenn die von ihm infizierte Anwendung ausgeführt wird. Diese Abhängigkeit von einer Host-Anwendung unterscheidet Viren von Trojanern, die darauf angewiesen sind, dass Benutzer sie herunterladen, und von Würmern, die sich auch ohne Anwendung ausführen können. Viele Malware-Instanzen fallen in mehrere Kategorien: Stuxnet beispielsweise ist ein Wurm, ein Virus und ein Rootkit.

Viruses vs. Trojans

8. Rootkit

Bei einem Rootkit handelt es sich um Software, die böswilligen Akteuren die Fernsteuerung des angegriffenen Computers mit vollständigem Administratorzugriff erlaubt. Rootkits können in Anwendungen, Kernel, Hypervisor oder Firmware injiziert werden. Sie breiten sich durch Phishing, schädliche Anhänge und Downloads sowie kompromittierte freigegebene Laufwerke aus. Rootkits können auch verwendet werden, um andere Malware wie Keylogger zu verschleiern.

Beispiel für Rootkit:

Zacinlo infiziert Systeme, wenn Benutzer eine fingierte VPN-App herunterladen. Nach der Installation führt Zacinlo einen kompletten Sicherheitscheck auf konkurrierende Malware durch und versucht, diese zu entfernen. Anschließend öffnet es unsichtbare Browser und interagiert mit Inhalten wie ein Mensch – durch Scrollen, Markieren und Klicken. Dadurch soll Verhaltensanalyse-Software getäuscht werden. Die Payload von Zacinlo setzt ein, sobald die Malware in den unsichtbaren Browsern auf Werbung klickt. Mit diesem Werbeklickbetrug sichern sich böswillige Akteure einen Teil der Provision.

Weitere Informationen

Lesen Sie diesen Artikel, um zu erfahren, warum Bootkits eine kritische Sicherheitsbedrohung für Ihr Unternehmen darstellen können und oft Rootkit-Tools beinhalten, um der Erkennung zu entgehen.

Was Ist ein Bootkit?

9. Keylogger

Ein Keylogger ist eine Art von Spyware, die Benutzeraktivitäten überwacht. Es gibt auch seriöse Einsatzzwecke für Keylogger. So können Unternehmen damit Mitarbeiteraktivitäten und Familien das Online-Verhalten ihrer Kinder überwachen.

Wenn sie jedoch für böswillige Zwecke installiert werden, können Keylogger Kennwörter, Bankdaten und andere sensible Informationen stehlen. Keylogger können über Phishing, Social Engineering oder schädliche Downloads in ein System eingeschleust werden.

Beispiel für Keylogger:

Der Keylogger Olympic Vision hat Geschäftsleute aus den USA, dem Nahen Osten und Asien mit BEC-Angriffen (Business Email Compromise) ins Visier genommen. Olympic Vision infiziert die Systeme seiner Ziele mittels Spearphishing- und Social-Engineering-Techniken, um dann sensible Daten zu stehlen und Geschäftstransaktionen auszuspionieren. Er ist nicht sehr komplex und auf dem Schwarzmarkt bereits für 25 US-Dollar erhältlich. Dadurch ist er eine Option für sehr viele böswillige Akteure.

10. Bot/Botnet

Ein Bot ist eine Software-Anwendung, die auf Befehl automatisierte Tasks ausführt. Bots werden auch für seriöse Zwecke verwendet, z. B. zum Indizieren von Suchmaschinen. In ihrer schädlichen Version treten sie jedoch als Malware auf, die sich selbst verbreitet und mit einem zentralen Server verbindet.

In der Regel wird eine große Anzahl von Bots zu einem Botnet kombiniert. Dabei handelt es sich um ein Netzwerk aus Bots, mit denen breit angelegte ferngesteuerte Angriffswellen wie DDoS-Angriffe gestartet werden. Botnets können ziemlich groß werden. Das Botnet Mirai IoT umfasste zum Beispiel zwischen 800.000 und 2,5 Millionen Computer.

Beispiel für Botnet:

Echobot ist eine Variante des sehr bekannten Mirai. Echobot greift eine breite Palette von IoT-Geräten an und nutzt dabei über 50 verschiedene Schwachstellen aus. Darüber hinaus beinhaltet es auch Exploits für Oracle WebLogic Server und die SD-WAN-Netzwerksoftware von VMware. Zusätzlich sucht die Malware nach ungepatchten älteren Systemen. Böswillige Akteure könnten mit Echobot DDoS-Angriffe starten, Lieferketten unterbrechen, sensible Lieferketteninformationen stehlen und Unternehmen sabotieren.

11. Mobilgeräte-Malware

Angriffe auf mobile Geräte haben seit dem letzten Jahr um 50 Prozent zugenommen. Die Bedrohungen durch Mobilgeräte-Malware sind genauso vielfältig wie die Malware für Desktop-Computer. Es gibt Trojaner, Ransomware, Werbeklickbetrug und mehr. Sie werden über Phishing und böswillige Downloads verteilt und sind ein spezielles Problem für Smartphones, die per Jailbreak „freigeschaltet“ wurden, da die Standardschutzeinrichtungen der ursprünglichen Betriebssysteme dieser Geräte hier oft fehlen.

Beispiel für Mobilgeräte-Malware:

Triada ist ein Rooting-Trojaner, der in die Lieferkette injiziert wurde, als Millionen von Android-Geräten mit der vorinstallierten Malware versendet wurden. Triada verschafft sich Zugang zu sensiblen Bereichen des Betriebssystems und installiert Spam-Apps. Die Spam-Apps zeigen Werbung an, die gelegentlich seriöse Werbung ersetzt. Wenn ein Benutzer auf eine unautorisierte Werbung klickt, geht der Umsatz für diesen Klick an die Entwickler von Triada.

BERICHT ZU MOBILGERÄTE-BEDROHUNGEN

Laden Sie den neuesten Bericht zu Mobilgeräte-Bedrohungen herunter, um zu erfahren, warum verstärkt mobile Plattformen angegriffen werden.

Bericht herunterladen

Erkennung und Entfernung von Malware mithilfe von CrowdStrike

Der beste Ansatz beim Schutz vor Malware sind ineinander greifende Maßnahmen. Machine Learning, Exploit-Blockierung, Whitelisting und Blacklisting sowie Angriffsindikatoren (IOCs) müssen zur Malware-Schutzstrategie jedes Unternehmens gehören.

CrowdStrike Falcon kombiniert diese Methoden mit innovativen, in der Cloud ausgeführten Technologien, um schnellere und minutenaktuelle Abwehrmechanismen zu erhalten.

Durch den Zugang zum branchenweit größten und aktivsten Repository von Bedrohungsereignissen und Artefakten bietet die CrowdStrike Falcon-Plattform Analysten und Bedrohungsforschern schnelle und umfassende Malware-Suchfunktionen. Das Repository enthält eine 300 TB große Sammlung mit mehr als 400 Millionen Dateien und indiziert pro Woche mehr als 2 Billionen Ereignisse.

Alle diese Dateien stehen für die Echtzeitsuche nach Metadaten und binären Inhalten zur Verfügung – und die zum Patent angemeldete Indizierungstechnologie liefert die Ergebnisse in Sekundenschnelle.

Die tiefgreifende Analyse schwer erkennbarer und unbekannter Bedrohungen ist mit Falcon Sandbox Realität geworden. Falcon Sandbox reichert Malware-Suchergebnisse mit Bedrohungsdaten an und liefert verwertbare IOCs, damit Sicherheitsteams komplexe Malware-Angriffe besser verstehen und ihre Abwehr stärken können.

Für den erfolgreichen Kampf gegen die wachsenden Bedrohungen durch Mobilgeräte-Malware müssen Unternehmen genau wissen, welche Geräte auf ihre Netzwerke zugreifen und wie sie dabei vorgehen. CrowdStrike Falcon for Mobile bietet endpunktbasierte Detektion und Reaktion mit Echtzeittransparenz zu IP-Adressen, Geräteeinstellungen, WLAN- und Bluetooth-Verbindungen sowie Daten zum Betriebssystem.

Möchten Sie sehen, wie die CrowdStrike Falcon-Plattform Malware blockiert? Beginnen Sie eine kostenlose Testphase und sehen Sie, wie sie sich gegen echte Malware-Beispiele schlägt.