|
Klassifizierung von Bedrohungen |
|
Mit dem Begriff Bedrohung wird in dieser Klassifikation jegliche Software bezeichnet, die direkt oder indirekt dem Rechner oder Netzwerk Schaden anrichtet, zum Verlust wichtiger (vertraulicher) Informationen führt oder Unbefugten ermöglicht, die Kontrolle über den Rechner zu übernehmen. In diesem Sinne fallen darunter alle schädlichen und anderen unerwünschten Programme. Im weitesten Sinne bezeichnet der Begriff „Bedrohung“ jede potentielle Gefahr für den Rechner oder das Netzwerk. Dazu zählen beispielsweise Sicherheitslücken, die Cyberkriminelle gern für Hackerangriffe nutzen. Alle Typen der nachfolgend beschriebenen Programme sind potentiell in der Lage, die Integrität und Vertraulichkeit von Benutzerdaten zu beeinträchtigen. Programme, die sich nicht im System verstecken (z. B. einige Spam-Programme oder Sniffer) zählen traditionell nicht zu Computerbedrohungen, obwohl sie auch unter Umständen Schaden anrichten können. In Produkten und in der dazugehörigen Dokumentation von Doctor Web werden alle Bedrohungen je nach Gefährdungsstufe in zwei Kategorien eingeteilt: •Kritische Bedrohungen. In diese Kategorie fallen klassische Computerviren, die auf dem Rechner schädliche Funktionen und unbefugte Aktionen ausführen können (z. B. Löschen oder Diebstahl sensibler Daten, Lahmlegung von System- oder Netzwerkdiensten). Bedrohungen dieser Art werden ganz allgemein als Schadprogramme (Viren, Würmer, Trojanische Pferde) bezeichnet. •geringfügige Bedrohungen. Zu dieser Kategorie gehören Computerbedrohungen, die im Vergleich zu kritischen Bedrohungen relativ geringere Gefahr darstellen, aber von Dritten missbraucht werden können, wodurch dem Benutzer bzw. Besitzer der Informationen ein Schaden entstehen kann. Außerdem weist das Vorhandensein dieser Bedrohungen im System auf nicht ausreichenden Schutz des Rechners hin. Fachmännisch werden solche Bedrohungen oft als potentiell unerwünschte Programme bezeichnet. Zu geringfügigen Bedrohungen zählen Dialer, Scherzprogramme, Riskware und Hacking-Tools. Kritische Bedrohungen Computerviren Bedrohungen dieser Art zeichnen sich dadurch aus, dass sie sich selbst in noch nicht infizierte Dateien anderer Programme kopieren können. Das Einfügen eines schädlichen Codes in einen Quellcode wird als Infizierung bezeichnet. Die infizierte Datei verhält sich dann wie ein Virus. Der eingebettete Code entspricht nicht immer dem Code des ursprünglichen Virus. Die meisten Viren werden speziell zur Beschädigung oder Zerstörung von Daten geschrieben. Virenanalytiker von Doctor Web unterscheiden Viren nach befallenen Dateitypen: •Dateiviren infizieren Dateien des Betriebssystems (üblicherweise ausführbare Dateien und dynamische Bibliotheken). Viren dieser Art werden freigesetzt, wenn eine infizierte Datei ausgeführt oder geöffnet wird. •Makroviren infizieren Dokumente, die in Microsoft® Office-Anwendungen oder anderen makrofähigen Programmen bearbeitet werden. Als Makros werden eingebettete Programme bezeichnet, die in einer Makrosprache geschrieben sind und unter bestimmten Bedingungen gestartet werden können. So können Makros in Microsoft® Word beim Öffnen/Schließen/Speichern einer Datei gestartet werden. •Skriptviren werden in Skriptsprachen geschrieben und infizieren vorzugsweise andere Skriptdateien (z. B. Betriebssystemdateien). Sie können auch Dateien anderer Typen infizieren, welche die Ausführung von Skripten unterstützen, indem sie dazu anfällige Skripte einiger Webanwendungen ausnutzen. •Bootviren infizieren Startsektoren von Datenträgern und Festplattenpartitionen sowie den Master Boot Record (MBR) von Festplatten. Sie benötigen sehr wenig Speicherplatz und sind immer bereit, ihre schädlichen Funktionen auszuführen, wenn der Rechner gestartet oder heruntergefahren wird. Viele Viren verfügen über eigene Tarnungsmechanismen. Diese Mechanismen werden ständig von Virenautoren raffiniert. Parallel entwickeln sich aber auch Techniken zu ihrer Erkennung und Beseitigung. Je nach Abwehrmechanismen lassen sich Viren in folgende Kategorien unterscheiden: •Verschlüsselte Viren verschlüsseln ihren Code bei jeder Infektion, um ihre Prozesse vor der Antivirensoftware zu verstecken. Jede Kopie solches Virus enthält nur ein kurzes gemeinsames Fragment, das als Virensignatur in die Virendatenbank aufgenommen werden kann. •Polymorphe Viren sind variabel verschlüsselt. Solche Viren ändern ihren Code von Generation zu Generation, oft in Kombination mit Verschlüsselung, sodass sie nicht mit herkömmlichen signaturbasierten Methoden erkannt werden können. Viren können auch nach Sprachen, in denen sie geschrieben werden (am häufigsten werden hierfür Assemblersprache, höhere Programmiersprachen und Skriptsprachen verwendet), und nach befallenen Betriebssystemen klassifiziert werden. Würmer In letzter Zeit kommen Würmer immer häufiger als Viren und andere Schadprogramme vor. Bei Würmern handelt es sich um Schadprogramme, die analog zu Viren sich selbst reproduzieren können. Sie dringen aus dem Netzwerk in den Rechner ein (meistens in E-Mail-Anhängen) und verschicken ihre Kopien an andere Rechner. Computerwürmer können sich entweder manuell (mithilfe einer Benutzeraktion) verbreiten oder automatisch. Im letzten Fall benötigen sie keine auslösende Benutzeraktion, um aktiv zu werden. Der Wurm besteht nicht unbedingt aus einer Datei (dem Wurmkörper). Viele Würmer haben einen sogenannten Infizierungsteil (Shellcode), der in den Arbeitsspeicher geladen wird und dann den Wurmkörper in Form einer ausführbaren Datei über das Netzwerk nachlädt. Solange der Wurmkörper nicht ins System eingedrungen ist, kann der Wurm durch Neustart entfernt werden. Wenn der Wurmkörper bereits ins System eingeschleust ist, kann der Wurm nur mithilfe von Antivirensoftware entfernt werden. Aufgrund intensiver Verbreitung können die Würmer Netzwerkeabstürze verursachen, sogar wenn sie das System indirekt beschädigen. Virenanalytiker von Doctor Web klassifizieren Würmer nach Verbreitungsstrategie: •Netzwerk-Würmer verbreiten sich über diverse Netzwerk- und Dateitransferprotokolle. •E-Mail-Würmer verbreiten sich über E-Mail-Protokolle (POP3, SMTP usw.). Trojanische Pferde Nicht selbst-reproduzierende bösartige Programme, die scheinbar eine nützliche Funktion haben, aber im Programm versteckten Code beinhalten, der dem System und dem Benutzer schadet (beschädigt oder löscht Daten, leitet vertrauliche Informationen an Angreifer weiter) oder Unbefugten Zugriff auf den Rechner verschafft. Analog zu Viren verfügen trojanische Pferde über Tarn- und Schadfunktionen, sie können auch als Virusträger verwendet werden. Trojanische Pferde verbreiten sich üblicherweise als einzelne ausführbare Dateien (sie werden auf Sharehostern hochgeladen, auf Datenträgern gespeichert oder in E-Mail-Anhängen übertragen), die dann vom Benutzer oder von einem Systemprozess gestartet werden. Nachfolgend sind einige Arten trojanischer Pferde aufgeführt, die Virenanalytiker von Doctor Web in selbständige Klassen unterteilen: •Backdoor-Trojaner sind trojanische Pferde, die unter Umgehung der normalen Zugriffssicherung einen unbefugten Zugang zum Rechner ermöglichen. Diese Schadprogramme infizieren keine Dateien, sondern registrieren sich in der Registry, indem sie dazu Registry-Schlüssel modifizieren. •Dropper sind spezielle Trägerprogramme, die dazu dienen, Viren erstmalig freizusetzen. Sie kopieren schädliche Dateien auf den Datenträger und starten diese ohne Wissen des Benutzers. •Keylogger (Tasten-Recorder) werden dazu verwendet, um Tastenanschläge und Screenshots aufzuzeichnen. Dadurch spionieren Cyberkriminelle geheime persönliche Daten wie Passwörter, Kreditkartennummern, Anmeldedaten oder PINs/TANs für das Online-Banking aus. •Clicker-Trojaner ändern Webbrowser-Einstellungen, sodass der Benutzer beim Klick auf einen Link ungewollt auf bestimmte (eventuell schädliche) Webseiten umgeleitet wird. Diese Technik wird meistens dazu verwendet, um die Anzahl der Klicks auf ein Werbemedium gezielt zu erhöhen oder DDoS-Angriffe auszuführen. •Proxy-Trojaner ermöglichen es Cyberkriminellen, einen anonymen Zugang zum Internet über den Rechner des Opfers zu verschaffen. •Rootkits sind Sammlungen von Softwarewerkzeugen, die dazu dienen, Präsenz und Aktivitäten des Angreifers oder unerwünschter Software auf dem befallenen System zu verschleiern. Zudem können Rootkits Prozesse anderer Programme, Registry-Schlüssel, Ordner und Dateien verstecken. Rootkits verbreiten sich als autonome Programme oder als Bestandteile eines anderen Schadprogramms. Rootkits können je nach Schadensroutine in zwei Gruppen eingeteilt werden: User Mode Rootkits (UMR) laufen im User-Modus, und Kernel Mode Rootkits (KMR) laufen im Kernel-Modus. Dadurch erhält der Angreifer vollständige Kontrolle über den befallenen Rechner. Aus diesem Grund ist diese Art von Rootkits schwerer zu entdecken und zu entfernen. Trojaner können andere schädliche Aktionen ausführen, z. B. die Startseite im Webbrowser ändern oder bestimmte Daten löschen. Jedoch können solche Aktionen auch von anderen Bedrohungen ausgeführt werden (z. B. von Viren und Würmern). Geringfügige Bedrohungen Hacking-Tools Hacking-Tools helfen Cyberkriminellen, sich den Zugriff auf einen Rechner und ein Netzwerk zu verschaffen. Am häufigsten werden dazu Portscanner verwendet, die nach Schwachstellen im Sicherheitssystem des Rechners suchen. Diese Tools können auch von Systemadministratoren benutzt werden, um die Sicherheit der bedienten Netzwerke zu überprüfen. Manchmal wird zu Hacking-Tools die Software gezählt, die auf Social Engineering basiert (hierunter versteht man das gezielte Ausnutzen und Provozieren von Benutzerfehlern, um vertrauliche Informationen wie beispielsweise Passwörter zu entwenden). Adware Am häufigsten wird mit diesem Begriff ein Programmcode bezeichnet, der in eine kostenlose Software eingebettet wird, um dem Benutzer ungewollt Werbung zu präsentieren. Ein solcher Code kann manchmal von anderen Schadprogrammen verbreitet werden, beispielsweise um dem Surfer Online-Werbung oder Anzeigen im Webbrowser anzuzeigen. Oft verwenden Programme dieser Art die von Spyware gesammelten Daten. Scherzprogramme Schadprogramme, die analog zur Adware dem System keinen direkten Schaden zufügen können. Diese Programme zeigen häufig sinnbefreite Fehlermeldungen oder falsche Virenalarme an und warnen vor fiktiven Gefahren. Obwohl Scherzprogramme keinen schädlichen Code enthalten, können sie den Benutzer erschrecken oder ärgern. Dialer Dialer sind spezielle Computerprogramme, die den Zugriff auf das Internet verwenden, um einige schädliche oder kostenpflichtige Webinhalte aufzurufen. Diese Programme haben sehr oft ein signiertes Zertifikat und informieren den Benutzer über ihre Aktionen. Riskware Einige Computerprogramme, die ursprünglich als nützliche Programme konzipiert wurden, können unter Umständen die Sicherheit des Rechners beeinträchtigen. Das sind nicht nur Programme, die Daten zufällig beschädigen oder löschen können, sondern auch diejenigen Programme, die von Hackern oder einigen Programmen zur Systembeschädigung missbraucht werden können. Dazu zählen diverse Messaging-Clients, Verwaltungstools, FTP-Server und andere Software. Verdächtige Objekte Als verdächtige Objekte werden alle potenziellen Bedrohungen bezeichnet, die heuristisch erkannt werden. Solche Objekte können Merkmale einer Bedrohungsart (darunter auch noch unbekannte Bedrohungen) aufweisen oder auch harmlos sein, falls es um einen falschen Alarm geht. Dateien, die verdächtige Objekte enthalten, sollten in die Quarantäne verschoben werden und dann an das Virenlabor von Doctor Web gesendet werden. |