Email Security

    Polymorphe Viren - bewährte Praktiken zu ihrer Verhinderung

    Polymorphe Viren verändern ständig den in Ransomware und anderer Malware verwendeten Code, so dass sie schwer - aber nicht unmöglich - zu erkennen sind. Hier erfahren Sie, wie Sie sie bekämpfen können.

    by Renatta Siewert

    Wichtige Punkte

    • Polymorphe Viren sind so konzipiert, dass sie die Cybersicherheitsabwehr umgehen.
    • Immer raffiniertere polymorphe Techniken werden in fast jeder Art von Malware eingesetzt, von Botnets bis hin zur aktuellen Welle von Ransomware.
    • Unternehmen können sich gegen polymorphe Viren und Malware schützen, indem sie die besten Sicherheitstools und -verfahren einsetzen.

    Im Jahr 1990 tauchte eine neue Art von Computerviren auf und hielt Einzug in das Lexikon der Cybersicherheit: polymorphe Viren. Mehr als dreißig Jahre später treiben diese fiesen Viren weiterhin ihr Unwesen bei Computernutzern, Unternehmen und Netzwerken in aller Welt.

    Polymorphe Viren wurden im Wesentlichen entwickelt, um frühe Antiviren-Software zu umgehen. Und in den Jahrzehnten seit ihrer Entstehung sind sie noch komplexer und zu einer größeren Bedrohung für Unternehmen geworden. Heute wird eine Vielzahl polymorpher Malware eingesetzt, um Netzwerke zu kapern, Daten zu zerstören, Informationen zu stehlen und sogar Ransomware-Angriffe auszulösen. Im Folgenden erfahren Sie, was Sie über diese Bedrohung wissen müssen und wie Sie polymorphe Malware vermeiden können.

    Was ist ein polymorphes Virus?

    Polymorphe Viren sind die Chamäleons der Cybersicherheit. Sie sind so konzipiert, dass sie ihr Aussehen oder ihre Signaturdateien ändern, um eine Erkennung durch herkömmliche Antiviren-Software zu vermeiden, die nach bestimmten Dateien und Mustern sucht. Ein polymorpher Virus ändert immer wieder seine Dateinamen und seinen Speicherort - nicht nur nach jeder Infektion, sondern sogar alle 10 Minuten.[1]

    Um den Bemühungen um Cybersicherheit noch weiter zu entgehen, setzen polymorphe Viren ihre Verschlüsselungsmethoden und Schlüssel ständig zurück. Dazu verwenden sie in der Regel Mutations-Engines, die die Software milliardenfach verändern und dabei Entschlüsselungsroutinen verändern können. Die Angreifer hoffen, dass Unternehmen mit einer solchen Strategie selbst dann, wenn die Malware entdeckt wird, nicht in der Lage sind, nachfolgende Infektionen zu lokalisieren und von ihren Systemen zu entfernen.

    Polymorphe Viren können zwar ihr Aussehen ändern, die zugehörige Malware und die Ziele bleiben jedoch dieselben: Informationen stehlen, den Betrieb eines Unternehmens stören oder eine der vielen Arten von Ransomware-Angriffen durchführen. Polymorphe Viren gehören heute zu den Standardwaffen im Arsenal von Cyberkriminellen. Man schätzt, dass 97 % aller Malware inzwischen eine Form von polymorphen Viren enthält.[2]

    Beispiele für polymorphe Malware

    Polymorphe Viren werden in der Regel mit Hilfe von Standard-Cyberangriffstechniken wie Spam, Phishing-E-Mails, infizierten Websites oder anderer Malware verbreitet. Zu den berüchtigten polymorphen Viren gehören Ursnif (auch bekannt als Gozi), ein Banking-Trojaner, Vobfus, ein Windows-Wurm-Virus, und Bagle, ein E-Mail-Wurm. In Kombination mit anderen Formen von Malware können solche polymorphen Viren verheerend sein. Ein Beispiel:

    • Storm Worm: Eine Spam-E-Mail über tödliche Stürme in Europa im Jahr 2007 verursachte mit Hilfe von Social Engineering schätzungsweise 8 % aller Malware-Infektionen weltweit in diesem Jahr. Dieser polymorphe Virus änderte alle 30 Minuten sein Aussehen und nutzte einen E-Mail-Anhang, um das System des Opfers in einen Bot zu verwandeln.
    • Virlock: Der polymorphe Virus Virlock entwickelte sich 2015 weiter und enthielt Ransomware-Routinen. Als Ransomware konnte er nicht nur den Zielcomputer sperren, sondern auch andere Dateien infizieren, sich vervielfältigen und das Format von Dateien ändern.
    • CryptoWall: CryptoWall ist eine Form von polymorpher Ransomware, die Dateien auf dem Computer des Opfers verschlüsselt. Die Idee ist natürlich, ein Lösegeld für die Entschlüsselung der Informationen zu verlangen. Um die üblichen Schutzmaßnahmen zu umgehen, erstellt die polymorphe Engine hinter CryptoWall für jedes Ziel eine neue Variante der Malware.
    • Beebone: Ferngesteuerte Server und Computer, die dann für Angriffe auf andere Systeme genutzt werden, so genannte Botnets, wurden ebenfalls durch polymorphe Malware ermöglicht. Bei einem der raffiniertesten Angriffe, die diese Fähigkeit demonstrieren, infizierte das Beebone-Botnetz 2015 schätzungsweise 12 000 Computer. Beebone nutzte einen polymorphen Downloader, um eine Vielzahl von Schadprogrammen auszuliefern, und erwies sich als schwer zu entdecken und zurückzuverfolgen. Es bedurfte der Koordination mehrerer internationaler Strafverfolgungsbehörden, darunter das FBI und Europol, um das Botnet schließlich zu zerschlagen.[3]

    So erkennen Sie, ob Ihr Computer mit einem polymorphen Virus infiziert ist

    Wenn polymorphe Viren also fast jedes beliebige Aussehen annehmen können, wie kann man dann feststellen, ob ein Computer mit dem Virus befallen ist? Glücklicherweise können Administratoren auf einige verräterische Anzeichen achten, die darauf hindeuten, dass ein System infiziert ist, darunter:

    • Verlangsamung: Ungewöhnliche oder plötzliche Verlangsamungen des Systems sind oft ein Hinweis darauf, dass polymorphe Malware einen Computer angreift und zusätzliche Zyklen benötigt, während sie Dateien auf dem System verschlüsselt.
    • Ungewöhnliche Anfragen: Benutzer, die eine ungewöhnliche Aufforderung zur Eingabe eines Kennworts sehen, obwohl dies noch nie zuvor verlangt wurde, sollten dies als einen guten Hinweis darauf betrachten, dass Malware versucht, das System oder das Netzwerk zu infizieren. Einzelne Benutzer können auch seltsame Aufforderungen zur Eingabe sensibler Daten wie Mitarbeiternummern, Geburtsdaten oder Sozialversicherungsnummern sehen.
    • Irreführung: Wenn ein Webbrowser einen Benutzer plötzlich zu einer URL oder Website führt, die der Benutzer nicht eingegeben hat, kann dies ein Zeichen dafür sein, dass Malware versucht, ihn auf eine infizierte Website zu leiten. Ungewöhnliche Pop-up-Anzeigen, die Websites blockieren, weisen ebenfalls auf Malware hin.

    Best Practices zur Verhinderung einer polymorphen Virusinfektion

    Polymorphe Viren stellen zwar einen gerissenen Gegner dar, aber Unternehmen können sich schützen, indem sie eine Reihe von bewährten und sicheren Cybersicherheitspraktiken anwenden.

    • Halten Sie Ihre Software auf dem neuesten Stand: Polymorphe Malware ändert zwar ihr Aussehen, aber die Ziele sind in der Regel dieselben. Die meisten Softwareunternehmen bieten Sicherheitsupdates an, um diese Ziele zu schützen, daher ist es wichtig, dass Sie alle Patches für Client- und Server-Computer auf dem neuesten Stand halten.
    • Öffnen Sie keine merkwürdigen Links oder Anhänge: E-Mails sind nach wie vor der bevorzugte Einstiegspunkt für Cyberkriminelle und damit eine hervorragende Möglichkeit, polymorphe Infektionen zu verhindern. Zusätzlich zum Einsatz von E-Mail-Sicherheitstools sollten Sie Ihre Mitarbeiter darin schulen, nicht auf Phishing-Angriffe hereinzufallen und keine verdächtigen Links zu öffnen - auch nicht von bekannten E-Mail-Adressen.
    • Passwörter aktualisieren: Listen mit bekannten Passwörtern und anderen Informationen werden regelmäßig im Dark Web gekauft und verkauft. Wie die vorangegangene Warnung vor dem Öffnen verdächtiger Anhänge sollte auch diese Anforderung Teil der regelmäßigen Sicherheitsschulungen für Mitarbeiter sein.
    • Sichern Sie Ihre Daten: Man kann es nicht oft genug wiederholen: Sichern Sie Ihre Daten regelmäßig. Datensicherungen können einem Unternehmen Millionen von Dollar ersparen und Ransomware-Angriffe vereiteln.
    • Verwenden Sie heuristische und Verhaltenserkennung: Sicherheitssoftware, die aktuelle Informationen über bekannte polymorphe Malware-Techniken nutzt, kann eine Infektion verhindern. Ein heuristischer Ansatz verhindert beispielsweise bestimmte virenähnliche Aktionen, wie das Verschlüsseln wichtiger Dateien. Die verhaltensbasierte Erkennung kann Benutzer auf bisher nicht gemeldete polymorphe Bedrohungen aufmerksam machen, z. B. auf der Grundlage ungewöhnlicher Zugriffsanfragen.

    Die Quintessenz

    Polymorphe Viren haben eine lange Geschichte, und die Cyberkriminellen hatten viele Jahre Zeit, fortschrittlichere Techniken zu entwickeln, um ihr Aussehen und ihre Infektionen zu verbergen. Tatsächlich wird polymorphe Malware in großem Umfang bei allen Arten von Cyberangriffen, einschließlich Ransomware, eingesetzt. Durch die Einhaltung bewährter Cybersicherheitspraktiken können Unternehmen den Kriminellen einen Schritt voraus sein.

     

    [1] "Polymorpher Virus," TechTarget

    [2] "Was ist ein polymorpher Virus?", Kaspersky

    [3] "Internationale Polizeioperation zielt auf polymorphes Beebone-Botnetz," Europol

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang