WatchGuard Blog

168 Prozent mehr Evasive Malware vs. Cybersicherheit

Der gegenwärtige Anstieg um 168 Prozent bei der so genannten „Evasive Malware“ lässt kaum Zweifel offen: Cyberbedrohungen haben eine neue Stufe der Raffinesse erreicht. Die modernen Formen verwenden ausgefeilte Techniken, um der Erkennung zu entgehen. Security-Lösungen, die allein darauf fokussiert sind, Bedrohungen anhand bekannter Signaturen zu identifizieren, haben hier in der Regel keinerlei Chance. Insofern stellen die Schadprogramme, die sich als legitime Prozesse tarnen und auf diese Weise weitgehend unbemerkt agieren, eine neue – kaum zu unterschätzende – Herausforderung für die Cybersicherheit dar.

Im Gegensatz zu herkömmlicher Malware, die meist willkürlich zum Einsatz kommt und weit verbreitet ist, wird evasive Malware von cyberkriminellen Gruppen deutlich gezielter ausgespielt. Die Angreifer wählen ihre Ziele sorgfältig aus und nehmen dabei beispielsweise bestimmte Branchen, Regionen oder sogar einzelne Unternehmen direkt ins Visier. Allein diese Präzision unterstreicht das Gefahrenpotenzial von „Evasive Malware“. Um die Erkennung und Abwehr zusätzlich zu erschweren, nutzen die kriminellen Banden zudem meist eine Infrastruktur (wie z.B. sichere VPS-Server), die sich nicht so leicht durchschauen lässt und die Malware in eine gute Ausgangsposition bringt, um sich möglichst lange unentdeckt ihren Weg zum Ziel zu bahnen.

Wie funktioniert die Tarnung von evasiver Malware?

Da evasive Malware völlig neu konzipiert oder modifiziert ist, kann sie herkömmliche signaturbasierte Erkennungsmethoden umgehen. Eine ihrer effektivsten Angriffsformen ist die „Living-off-the-Land“-Technik, bei der die Malware legitime Systemprozesse ausnutzt, um sich im Speicher des Computers zu verstecken, ohne Spuren auf der Festplatte zu hinterlassen. Dies erschwert die Erkennung erheblich, da die typischen Indikatoren für eine Systemgefährdung, die bei klassischen Sicherheitslösungen Warnmeldungen auslösen, schlicht und ergreifend fehlen.

Eine weitere verbreitete Taktik ist die DLL-Injection. Bei DLL (Dynamic Link Library) handelt es sich um eine Datei, die Code enthält, der von mehreren Programmen wiederverwendet werden kann. Malware ist dann entsprechend darauf ausgerichtet, eine bösartige DLL in einen legitimen Systemprozess einschleusen, um Sicherheitsmaßnahmen zu umgehen und unentdeckt zu bleiben. Beim DLL-Hooking infiziert die Malware bestehende Bibliotheken, die von verschiedenen Anwendungen gemeinsam genutzt werden. Und last but not least zielt DLL-Sideloading darauf ab, durch Platzierung einer bösartigen DLL neben einer legitimen DLL das Suchmuster der Anwendung zu missbrauchen, um Abwehrmaßnahmen zu umgehen. In all diesen Fällen bleibt die Malware oftmals unerkannt, während sie ihren Schadcode ausführt.  

Um dieser Entwicklung zu begegnen, sind fortschrittliche Sicherheitstechnologien mittlerweile unverzichtbar. Moderne Firewalls prüfen nicht nur den verschlüsselten Datenverkehr und blockieren Eindringversuche, sondern analysieren auch das Verhalten von Malware in einer isolierten Umgebung (Sandboxing). Auf diese Weise können selbst unbekannte Bedrohungen erkannt werden, bevor sie Systeme kompromittieren. Eine Firewall, die sich nicht ausschließlich auf Signaturen verlässt, bietet bereits einen soliden Schutz gegen ausgeklügelte Umgehungstechniken.

Die Rolle von MSP im Kampf gegen evasive Malware

Gerade Managed Service Provider (MSP) stellt ausweichende Malware vor besondere Herausforderungen, da sie sich an eine immer komplexere Bedrohungslandschaft anpassen müssen. Um die von ihnen verwalteten Umgebungen zu schützen, dürfen sie die sich verändernden Umgehungstechniken der Angreifer niemals aus dem Blick verlieren.

Ohne Firewalls geht es nicht. Aber im Zuge der Erkennung von Malware, die sich im Speicher des Computers und in DLL-Dateien versteckt, kommt es auch auf eine leistungsfähige Endpunktsicherheitslösung an. Darüber hinaus können XDR-Lösungen Infektionspfade verfolgen und verdächtige Aktivitäten überwachen. Durch die Kombination dieser Funktionen sind MSP in der Lage, ihren Kunden – als klares Differenzierungsmerkmal im Wettbewerb – einen strategischen und proaktiven Ansatz der IT-Sicherheit zu bieten.

Wer mehr über die aktuelle Bedrohungslage erfahren möchte – nicht nur hinsichtlich des Trends von evasiver Malware, sollte unbedingt einen Blick in unseren Internet Security Report Q2 2024 werfen. Dieser enthält detaillierte Analysen und bietet eine umfassende Übersicht zu den Gefahren, denen Unternehmen heute gegenüberstehen. So lässt sich der Wandel von Angriffsstrategien jederzeit nachvollziehen und es können passende Maßnahmen ergriffen werden, um IT-Umgebungen zielsicher zu schützen.