Was ist polymorphe Malware?
Unter polymorpher Malware versteht man Malware, die im Gegensatz zu statischer Malware ihr Aussehen und ihre Signaturdateien kontinuierlich verändert. Obwohl sich das Aussehen verändert, bleibt ihre schädliche Funktion erhalten. Mit anderen Worten kommt es bei polymorpher Malware ständig zu dynamischen Mutationen im Code, die für IT-Infrastrukturen eine besondere Bedrohung darstellen.
Die Mutationen werden dabei durch immer neue Verschlüsselungsroutinen ermöglicht, wobei ein Teil des Virus dennoch in unverschlüsselter Form vorliegen muss, um bei der Ausführung den Rest zu entschlüsseln. Die Entschlüsselungsroutine wird bei jeder Infektion neu erstellt. Die Routine, die die Entschlüsselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
Signaturbasierte Sicherheitssoftware ist machtlos gegen diese Art von Malware, da Signaturen nach der Erkennung bereits wieder mutiert und damit unsichtbar geworden sind. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten, um herkömmliche AV-Lösungen auszuhebeln. Durch die Veränderung erkennen signaturbasierte Security-Lösungen die Datei nicht als bösartig.
Was ist metamorphe Malware?
Der Begriff “metamorph” bezieht sich auf eine umfassendere und tiefgreifendere Veränderung im Vergleich zur oberflächlicheren Veränderung bei polymorpher Malware. Bei metamorpher Malware geht die Veränderung über eine einfache Verschlüsselung und Reorganisation des Codes hinaus. Metamorphe Malware kann vollkommen neue Algorithmen und Routinen erstellen, um sich zu verbergen. Dies macht die Erkennung durch herkömmliche Sicherheitsmechanismen noch schwieriger, da nicht nur die Signatur, sondern auch die Verhaltensmuster stark variieren können.
Im Gegensatz zu polymorphen Viren, die nur die Gestalt des Codes ändern (durch variable Verschlüsselung oder Permutation), wird bei der Metamorphose der Virus temporär in eine Metasprache umgeschrieben. Die Metasprache wird mit Hilfe eines Obfuscators neu kompiliert. Die Formalgrammatik des Virus bleibt dabei stets gleich.
Diese Methode funktioniert, weil die Assemblersprache unterschiedliche Arten der Ausführung eines Befehls zulässt. Da eine Mutation eine Änderung der Befehlssequenz der Malware ist, (und nicht nur eine andere Darstellung derselben Befehlssequenz), ist metamorphe Malware schwerer zu erkennen als polymorphe Malware.
Was ist oligomorphe Malware?
Der Ausdruck “oligomorphe Malware” ist in der IT-Sicherheitsbranche nicht so einheitlich wie die Begriffe “polymorphe” oder “metamorphe” Malware. In einigen Fällen wird der Begriff “oligomorph” verwendet, um eine Mischform zwischen polymorpher und metamorpher Malware zu beschreiben, die sowohl Änderungen in der Code-Struktur als auch tiefergehende Änderungen im Code selbst umfasst.
Allgemein bezieht sich der Begriff “oligomorphe Malware” darauf, dass die Malware verschiedene Verfahren kombiniert, um ihre Erkennung zu erschweren. Dies kann eine Kombination aus Verschlüsselung des Codes, Neuanordnung des Codes und sogar das Hinzufügen neuer Funktionen oder Algorithmen umfassen.
Da der Begriff nicht standardisiert ist, können seine spezifischen Merkmale je nach Kontext und Quelle variieren. In der Praxis wird der Schwerpunkt jedoch darauf liegen, dass Malware mehrere Methoden der Tarnung verwendet, um sich vor Sicherheitsmechanismen zu schützen.
Warum sind polymorphe, metamorphe und oligomorphe Malware so gefährlich?
Polymorphe, metamorphe und oligomorphe Malware ist gefährlich, da sie ausgefeilte Techniken einsetzt, um der Erkennung durch Schutzmechanismen zu entgehen. Neben der Fähigkeit, signaturbasierte Erkennungssysteme zu umgehen, sind bezüglich des Gefahrenpotenzials die folgenden Punkte relevant:
Die KI macht es noch schlimmer
Schon heute bietet Ihnen Ransomware-as-a-Service die Möglichkeit, sich eine eigene Ransomware-Attacke zu gönnen. Das deutete sich bereits an, denn die KI macht auch Phishing skalierbar. Als klassisches Large Language Model (LLM) ist ChatGPT leistungsstark und flexibel im Umgang mit Sprachen. Aus diesem Grund waren Phishing-E-Mails eine der ersten Angriffsarten, die mittels KI automatisiert wurden. Die von den großen KI-Modellen wie OpenAI für ChatGPT verwendeten Unternehmen haben natürlich Filter eingebaut, die den Zugriff auf bestimmte Inhalte erschweren. Allerdings kommt es wie immer darauf an, wie genau man fragt.
Doch es geht noch schlimmer: KI-basierte Chatbots wie ChatGPT können auch polymorphe Malware erstellen oder zumindest bei deren Entwicklung helfen – wenn man denn nett (also richtig) fragt. Zumindest lassen sich so Codebausteine erstellen, die Kriminelle mit den entsprechenden Kenntnissen zu einer vollständigen Malware zusammenbauen können.
32Guards
Mit 32Guards nutzen Sie Metadaten, um Bedrohungsmuster schneller zu erkennen und gezielter auf Cyberangriffe zu reagieren. 32Guards ist dabei nicht signaturbasiert, sondern erkennt Bedrohungs-Trends auf Basis der angehängten Dateitypen. Die Datenbasis setzt sich aus Metadaten aus dem deutschsprachigen Raum zusammen, wodurch der Service optimalen Schutz für Unternehmen aus der DACH-Region bietet.
Das Erkennen von Trends wird dabei vor allem auch durch die Vernetzung der einzelnen NoSpamProxy-Instanzen ermöglicht. Und genau deshalb schützt 32Guards vor polymorpher, metamorpher und oligomorpher Malware: Im Gegensatz zu herkömmlichen Cybersecurity-Lösungen verfolgt der Service einen globalen Ansatz bei der Analyse der aktuellen Bedrohungslagen.
Die Informationen zu den einzelnen E-Mails, wie beispielsweise Dateiname, Dateigröße oder Hash-Wert, werden durch eine übergeordnete Malware-Intelligenz zusammengeführt und in Echtzeit ausgewertet. Dies erlaubt eine schnelle Analyse der Bedrohungen und damit auch ein sofortiges Reagieren auf akute Gefahrensituationen.
Beispiele hierfür sind E-Mail-Anhänge mit immer gleichen Dateinamen aber unterschiedlichen Hash-Werten oder ein erhöhtes Aufkommen von E-Mails aus bestimmten geographischen Regionen.
Prüfen der Absenderreputation
Die Auswertung der Absenderreputation von E-Mails bietet eine effektive Möglichkeit, Phishing-Angriffe zu verhindern und damit Erpressungsversuche zu vereiteln. Schadcode gelangt so gar nicht erst auf Ihren Computer.
Analysieren von Anhängen und URLs
NoSpamProxy ermöglicht es, Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisch in harmlose PDF-Dateien umzuwandeln. Eventuell vorhandener Schadcode wird dabei entfernt, so dass der Empfänger einen harmlosen Anhang erhält. Viele weitere Formate wie ausführbare Dateien können erkannt werden, so dass der Anhang blockiert oder die gesamte E-Mail abgelehnt wird.
Der URL Safeguard schreibt URLs in eingehenden E-Mails so um, dass beim Anklicken durch den Nutzer erneut geprüft wird, ob für diese URL negative Bewertungen vorliegen. Dies erhöht die Sicherheit, da manche Angreifer das Ziel von URLs wenige Stunden nach dem Versand ändern. Der URL Safeguard kann individuell konfiguriert und beispielsweise nur für unbekannte Kommunikationspartner eingeschaltet werden.
Zu guter Letzt: Schützen durch Allowlisting
Wir empfehlen seit langem einen Allowlisting-Ansatz in Verbindung mit einem durchdachten Anhangsmanagement. Wie bei einer Firewall besteht die unterste Regel des Inhaltsfilters aus einer sogenannten Any-Any-Drop-Regel. Darüber werden einige wenige, genau definierte und vom Unternehmen benötigte Formate definiert, die als E-Mail-Anhänge zugelassen sind. Alles andere – und vor allem der unbekannte Teil – nicht.
So schließen Sie schon im Vorfeld alle nicht benötigten Anhangsformate von der Zustellung aus und reduzieren die Gefahr durch polymorphe, metamorphe und oligomorphe Malware deutlich.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!