Schadsoftware gibt es nahezu so lange wie legitime Software, und wie diese hat sie eine lange Evolution hinter sich. Aktuell eingesetzte und entwickelte Schadprogramme von bekannten Angreifergruppen sind hochkomplex und müssen viele Herausforderungen gleichzeitig meistern. Malwarefunktionen lassen sich grob in vier Gruppen einteilen: Infiltration, Nachladen von Schadcode, die eigentliche Schadfunktion und Tarnung.
- Antivirus gegen Malware: Schadsoftware verstecken und finden
- Desinfec’t 2024: OTS und Thor Lite für maßgeschneiderte Virenjagd vorbereiten
- Malware-Schutz unter Windows 11: Microsofts Smart App Control unter der Lupe
Das Wichtige für einen Angreifer ist das Ziel des Angriffs. Die Schadsoftware muss also entsprechende Funktionen haben, um die zuvor definierten Ziele zu erreichen. Eine Ransomware muss beispielsweise in erster Linie Daten ver- und auch wieder entschlüsseln können. Dazu kommen Funktionen zum Nachladen von Komponenten, denn in der Regel wird nicht die gesamte Malware als Komplettpaket verteilt. Stattdessen ist der erste Teil dafür zuständig, das Zielsystem zu infiltrieren. Anschließend lädt er die eigentliche Schadsoftware nach und führt sie dynamisch aus.
Marius Schwarz arbeitet seit sechs Jahren als Penetrationstester und Red Teamer. Neben klassischen Penetrationstests hat er Erfahrung in der Leitung von Red- und Purple-Teaming-Projekten.
Schließlich soll die Malware auch unentdeckt bleiben. Funktionen, die Antivirensoftware (AV-Software) erkennen und umgehen, gehören deshalb genauso dazu wie Möglichkeiten, zu erkennen, ob die Malware gerade in einer Sandbox zur Analyse läuft, und das Verhalten entsprechend anzupassen. In diesem Artikel soll es darum gehen, wie AV-Software Schädlinge erkennt und wie diese sich der Beobachtung entziehen.
Das war die Leseprobe unseres heise-Plus-Artikels "Antivirus gegen Malware: Schadsoftware verstecken und finden". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.
