Was ist Malware-Erkennung?
Cyberkriminelle verwenden und entwickeln Malware (bösartige Software), um Computersysteme zu infiltrieren und so ihre Ziele zu erreichen. Malware ist aggressiv und kann Computersysteme zerstören, stören und zahlreiche andere Auswirkungen haben, die kriminelle Ziele unterstützen.
Bei der Malware-Erkennung handelt es sich um eine Reihe von Abwehrtechniken und -technologien, mit denen schädliche Auswirkungen von Malware erkannt, blockiert und verhindert werden. Diese Schutzmaßnahme besteht je nach Art der Malware, die das Gerät infiziert hat, aus einer Vielzahl von Taktiken in Kombination mit verschiedenen Tools.
10 Techniken zur Malware-Erkennung
Ein wirksamer Sicherheitsansatz nutzt eine Kombination aus Fachwissen und Technologie, um Malware zu erkennen und zu verhindern. Folgende Techniken sind erprobt und bewährt:
1. Signaturbasierte Erkennung
Die signaturbasierte Erkennung nutzt bekannte digitale Indikatoren für Malware, um verdächtiges Verhalten zu erkennen. Listen von Kompromittierungsindikatoren (Indicators of Compromise, IOCs), die oft in einer Datenbank verwaltet werden, können zur Identifizierung einer Kompromittierung herangezogen werden. Zwar können IOCs bei der Identifizierung bösartiger Aktivitäten effektiv sein, doch sind sie reaktiv. CrowdStrike nutzt daher Angriffsindikatoren (Indicators of Attack, IOA), um laufende Cyberangriffe proaktiv zu erkennen.
2. Statische Dateianalyse
Hierbei wird der Code einer Datei untersucht, ohne dass er ausgeführt wird, um Anzeichen für bösartige Absichten zu erkennen. Dateinamen, Hashes, Zeichenfolgen wie IP-Adressen und Datei-Header-Daten können ausgewertet werden, um festzustellen, ob eine Datei bösartig ist. Die statische Dateianalyse ist zwar ein guter Ausgangspunkt, aber erfahrene Sicherheitsteams setzen zusätzliche Techniken ein, um fortgeschrittene Malware zu erkennen, die bei der statischen Analyse möglicherweise nicht identifiziert wird.
3. Dynamische Malware-Analyse
Bei der dynamischen Malware-Analyse wird schädlicher Code in einer sicheren Umgebung – der Sandbox – ausgeführt. In diesem geschlossenen System können Sicherheitsexperten die Malware in Aktion beobachten und untersuchen, ohne dass sie eine Möglichkeit hat, das System zu infizieren oder in das Unternehmensnetzwerk einzudringen.
4. Dynamische Überwachung von Massendateivorgängen
Bei diesem Ansatz werden Massendateivorgänge wie Umbenennungs- oder Löschbefehle beobachtet, um Anzeichen von Manipulationen oder Beschädigungen zu erkennen. Die dynamische Überwachung erfolgt häufig über Tools zur Überwachung der Dateiintegrität, um die Integrität von Dateisystemen sowohl durch reaktive forensische Prüfungen als auch durch proaktive regelbasierte Überwachung zu verfolgen und zu analysieren.
5. Blockierliste für Dateierweiterungen/Blocklisting
Dateierweiterungen sind Buchstaben, die nach einem Punkt in einem Dateinamen stehen und das Format der Datei angeben. Diese Klassifizierung kann von Kriminellen genutzt werden, um Malware zu verpacken und zu versenden. Eine gängige Sicherheitsmethode besteht daher darin, bekannte bösartige Dateierweiterungen in einer „Blockierliste“ aufzulisten, um ahnungslose Benutzer davon abzuhalten, die gefährliche Datei herunterzuladen oder zu verwenden.
6. Zulassungsliste für Anwendungen/Allowlisting
Eine Zulassungsliste ist das Gegenteil einer Blockierliste. Hierbei erlaubt ein Unternehmen einem System, Anwendungen auf einer genehmigten Liste zu verwenden. Allowlisting kann sehr effektiv sein, um schädliche Anwendungen durch feste Parameter zu verhindern. Dieser Ansatz kann jedoch schwierig zu verwalten sein und die operative Geschwindigkeit und Flexibilität eines Unternehmens einschränken.
7. Malware Honeypot/Honeypot-Dateien
Ein Malware Honeypot ahmt eine Softwareanwendung oder API nach, um Malware-Angriffe in eine kontrollierte, ungefährliche Umgebung anzulocken. Analog dazu ist eine Honeypot-Datei eine Täuschungsdatei, um Angreifer anzulocken und zu erkennen. Wenn dies gelingt, können Sicherheitsteams die Angriffstechniken analysieren und Malware-Schutzlösungen entwickeln oder optimieren, mit denen ausgenutzte Schwachstellen geschlossen sowie diese spezifischen Bedrohungen oder Akteure abgewehrt werden können.
8. Prüfsummenbildung/zyklische Redundanzprüfung (CRC)
Hierbei erfolgt eine Berechnung anhand einer Sammlung von Daten, z. B. einer Datei, um deren Integrität zu bestätigen. Eine der gebräuchlichsten Prüfsummen ist die CRC, bei der sowohl der Wert als auch die Position einer Gruppe von Daten analysiert wird. Prüfsummen können effektiv sein, um Datenkorruption zu erkennen, können jedoch Manipulationen nicht zuverlässig feststellen.
9. Datei-Entropie/Messung von Änderungen an den Daten einer Datei
Da sich die Bedrohungsanalyse und die Cybersicherheit weiterentwickeln, erstellen Angreifer zunehmend dynamische Malware-Programme, um eine Entdeckung zu vermeiden. Dies führt zu veränderten Dateien, die eine hohe Entropie aufweisen. Folglich kann die durch Entropie gemessene Datenänderung einer Datei potenzielle Malware identifizieren.
10. Verhaltensanalyse durch Machine Learning
Machine Learning (ML) ist ein Teilbereich der künstlichen Intelligenz (KI). Er umfasst den Prozess, mit dem Algorithmen so trainiert werden, dass sie Muster in vorhandenen Daten erkennen und Reaktionen auf neue Daten vorhersagen können. Diese Technologie kann das Dateiverhalten analysieren, Muster identifizieren und diese Erkenntnisse nutzen, um die Erkennung neuer und nicht identifizierter Malware zu verbessern.
Verhindern und erkennen Sie Malware mit CrowdStrike
CrowdStrike Falcon® Prevent bietet als Virenschutzprogramm der nächsten Generation umfassenden Schutz vor Malware und ist einfach zu bedienen. Wichtigste Eigenschaften:
Hochaktuelle Prävention
Kombiniert innovative KI/ML-Technologie mit Intelligenz, um Malware schnell zu erkennen und zu verhindern.
Transparenz
Stellt Angriffe visuell in einer leicht verständlichen Prozessstruktur dar, die mit Kontext- und Bedrohungsdaten angereichert wird.
Einfach, schnell und schlank
Innerhalb von Sekunden voll einsatzbereit, kein Neustart erforderlich. Der minimale CPU-Overhead wirkt sich nicht auf die Systemleistung und die Produktivität der Endbenutzer aus.
So verhindern Sie Malware mit CrowdStrike Falcon
Sehen Sie sich dieses Video an und erfahren Sie, wie CrowdStrike Falcon Sie beim Schutz vor Malware unterstützt.
Jetzt ansehen