Christoph M. Kumpa, Director DACH und EE bei Digital Guardian, hat Tipps für den Umgang mit polymorpher Malware zusammengestellt. Viren, Würmer, Bots, Trojaner oder Keylogger und damit viele der gängigen Malware-Formen bergen laut Kumpa nämlich nicht nur ein hohes Schadenspotenzial, sondern sind auch überaus wandlungsfähig.
Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyber-Kriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Manier Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen.
Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.
Während polymorphe Malware manche ihrer Erscheinungsmerkmale ändert, bleibt ihre schädliche Funktion, beispielsweise als Ransomware oder Keylogger, jedoch unverändert. Polymorphismus wird verwendet, um die Mustererkennung zu umgehen, auf die sich Sicherheitslösungen wie traditionelle Antivirensoftware verlassen. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten. Durch die Veränderung von Merkmalen erkennen signaturbasierende Security-Lösungen die Datei nicht als bösartig. Und selbst wenn die Signatur identifiziert und in die Datenbank der AV-Lösung aufgenommen ist, kann polymorphe Malware weiterhin permanent ihre Signatur ändern und unentdeckt Angriffe durchführen. So sind Cyber-Kriminelle traditionellen Abwehrtechniken stets einen Schritt voraus.
Hier vier Best-Practices-Tipps zum Schutz vor polymorpher Malware. Um gegen diese Form der Malware gerüstet zu sein, ist eine Abwehrtechnik, die auf der Verhaltensebene ansetzt, entscheidend. Diese sollte zudem Bestandteil eines mehrschichtigen Ansatzes sein, der Mitarbeiter, Prozesse und Sicherheitstechnologien kombiniert.
Die Kombination eines mehrschichtigen Security-Ansatzes mit verhaltensbasierenden Sicherheitstechniken wie Endpoint Detection and Response bietet einen grundlegenden Schutzwall gegen polymorphe Malware. Die Vorteile einer kontinuierlichen Transparenz aller Datenaktivitäten machen EDR zu einem wertvollen Bestandteil der Sicherheitsarchitektur, denn verhaltensbasierender Schutz ist wesentlich genauer als herkömmliche signaturbasierte Methoden.
EDR-Tools ermöglichen IT-Teams, gängige Angriffe abzuwehren, erleichtert die Früherkennung bereits laufender Attacken durch externe Angreifer oder böswillige Insider und bietet eine rasche Reaktion auf erkannte Bedrohungen. Mehr Informationen dazu gibt es unter digitalguardian.com/.