Definition von Schadcode
Ein Schadcode ist ein schädliches Programmierskript, dessen Ziel darin besteht, Schwachstellen im System zu schaffen oder auszunutzen. Er wurde von einem Bedrohungsakteur entwickelt, um unerwünschte Änderungen vorzunehmen, Schaden anzurichten oder dauerhaften Zugriff auf Computersysteme zu ermöglichen. Schädlicher Code kann zu Backdoors, Sicherheitsverletzungen, Informations- und Datendiebstahl sowie anderen potenziellen Schäden an Dateien und Computersystemen führen.
Was ist schädlicher Code?
Schädlicher Code ist die Sprache, in der feindlich gesinnte Parteien Computersysteme zu gefährlichen Verhaltensweisen zu verleiten versuchen. Er bewirkt Änderungen oder Ergänzungen an der bestehenden Programmierung von Computerprogrammen, Dateien und Infrastrukturen.
Diese Bedrohung ist das grundlegende Instrument, mit dem die überwiegende Mehrheit der Angriffe auf die Cybersicherheit durchgeführt wird. Hacker suchen in den Sprachen, die zur Programmierung von Computern verwendet werden, akribisch nach Schwachstellen. Anschließend erstellen sie „Phrasen“, also Skripte oder Listen von Befehlen, um die Schwachstellen in diesen Sprachen auszunutzen. Diese Skripte lassen sich über Makroanweisungen, kurz Makros, immer wieder verwenden und automatisieren.
Hacker und andere Bedrohungsakteure würden für ihre Machenschaften sehr lange brauchen, wenn sie sich ausschließlich manueller Methoden zur Unterwanderung von Computersystemen bedienen würden. Leider bietet ihnen schädlicher Code die Möglichkeit, ihre Angriffe zu automatisieren. Es gibt sogar Codes, die sich komplett selbständig vermehren, ausbreiten und Schaden anrichten können. Andere Arten von Code sind davon abhängig, dass menschliche Benutzern sie herunterladen oder mit ihnen interagieren.
Zu den möglichen Folgen von schädlichem Code gehören:
- Beschädigung von Daten
- Distributed Denial of Service (DDoS)
- Diebstahl von Zugangsdaten und privaten Informationen
- Erpressung und Lösegeldforderungen
- Beeinträchtigungen und Unannehmlichkeiten
Lassen Sie uns einen Blick darauf werfen, wie diese Bedrohungen funktionieren, damit Sie sich wirksam dagegen schützen können.
Wie funktioniert ein Schadcode?
Jede programmierte Komponente eines Computersystems ist durch schädlichen Code manipulierbar. Dabei reichen die Ziele von großen Komponenten wie Netzwerkinfrastrukturen von Computern bis hin zu kleineren Komponenten wie mobilen oder Desktop-Apps. Aber auch Internetdienste wie Webseiten und Online-Server werden ins Visier genommen. Ein Schadcode kann jedes Gerät infizieren, das dem Prinzip nach auf einem Computer beruht, z. B.:
- Herkömmliche Computergeräte – wie Desktops, Laptops, Mobiltelefone, Tablets.
- IoT-Geräte – intelligente Haushaltsgeräte, Infotainmentsysteme in Fahrzeugen (IVI).
- Computernetzgeräte – Modems, Router, Server.
Angreifer setzen gezielt schädliche Skripte und Programme ein, um in Teile von Computersystemen einzudringen, denen wir unsere Daten anvertrauen. Ist das gelungen, verfolgen sie eines oder mehrere der folgenden Ziele:
- Benutzer schädlichem Code aussetzen, um ihre Geräte zu infizieren und den Code weiter zu verbreiten.
- Zugang zu privaten Informationen, die auf den infiltrierten Systemen gespeichert sind.
- Nachverfolgen, was der Nutzer auf dem infiltrierten System macht.
- Weiteres Vordringen in die tieferen Schichten des Systems.
Die Erstellung und Verwendung von schädlichem Code erfolgt in mehreren Stufen. Der Schadcode ist eventuell darauf angewiesen, dass ein Mensch mit ihm interagiert oder am Computer weitere Aktionen ausgeführt werden, bevor er in die nächste Phase übergehen kann. Wieder andere Codes arbeiten völlig autark. Meist laufen Angriffe mit schädlichem Code allerdings nach folgendem Schema ab:
- Aufspüren möglicher Schwachstellen.
- Programmierung eines Codes, der diese Schwachstelle ausnutzen kann.
- Einnisten des Schadcodes in Computersysteme.
- Ausführung des Codes im Alleingang oder durch ein zugehöriges Programm.
Das Suchen und Programmieren gehören zur Vorbereitungsphase eines Angriffs. Bevor ein Angreifer ein System unterwandern kann, muss er zunächst über die nötigen Tools verfügen, die ihm den Zugang verschaffen. Wenn noch kein Code existiert, muss er ihn schreiben, oder er bedient sich eines bereits vorhandenen schädlichen Codes und passt ihn gegebenenfalls an.
Am Ende der Vorbereitung verfügt der Angreifer über ein kleines Programm, das sich eigenständig aktivieren und verschiedene Formen annehmen kann. Mögliche Formen sind Makros und Skripte in JavaScript, ActiveX-Steuerelemente, Missbrauch der Powershell, Push-Inhalte, Plug-ins, Skriptsprachen oder auch andere Programmiersprachen, deren ursprünglicher Zweck darin bestand, um Webseiten und E-Mails zu verbessern.
Das Einnisten in das Computersystem erfolgt dann über direkte Schnittstellen wie USB oder Online-Netzwerkverbindungen wie Mobilfunk und WLAN. Um sich erfolgreich einnisten zu können, muss der Schadcode irgendwie auf Ihren Computer gelangen.
Bei groß angelegten Angriffen nach dem Gießkannenprinzip werden stark frequentierte Kanäle wie besonders beliebte Webseiten und Spam genutzt, oder die Schadakteure gehen mit Social Engineering-Methoden wie Spear-Phishing gezielter zu Werke. Bei Angriffen von innen kann der schädliche Code auch direkt durch Anschließen eines USB-Laufwerks an den Computer eines Endnutzers in ein internes Unternehmensnetzwerk eingeschleust werden.
Die Phase der Ausführung beginnt, sobald das angegriffene System auf den schädlichen Code anspricht. Sobald ein Gerät oder System infiltriert wurde, beginnt der eigentliche Angriff:
- Daten werden verändert – unerlaubte Verschlüsselung, Sicherheitsfunktionen werden ausgehebelt usw.
- Daten werden gelöscht oder beschädigt – Webseitenserver usw.
- Daten werden abgegriffen – Zugangsdaten zu Konten, persönliche Informationen usw.
- Eindringen in abgeschirmte Bereichen – private Netzwerke, E-Mail-Konten usw.
- Aktionen werden ausgeführt – der Code vervielfältigt sich selbst, wird weiter verbreitet, Geräte werden aus der Ferne gesteuert usw.
Wie breitet sich Schadcode aus?
Ein Schadcode kann sich entweder selbständig in ein System einnisten, sich selbst vervielfältigen und weiter ausbreiten oder auch nur als Auslöser weiterer schädlicher Aktivitäten fungieren. Um Breitenwirkung zu erzielen, muss der ursprüngliche Code allerdings von einem Gerät auf ein anderes übertragen werden.
Dazu kann er nahezu jeden Kommunikationskanal verwenden, auf dem Daten übertragen werden. Zu den häufigsten Vektoren gehören:
- Online-Netzwerke – Intranet, P2P-Filesharing, öffentlich zugängliche Internet-Webseiten usw.
- Kommunikationskanäle – E-Mail, SMS, Push-Inhalte, mobile Messaging-Apps usw.
- Drahtlose Verbindungen – Bluetooth usw.
- Physische Geräteschnittstellen – USB usw.
Der Besuch einer infizierten Webseite oder schädliche Links in E-Mails sind die häufigsten Einfallstore, über die schädlicher Code in Ihr System geschleust wird. Bedrohungen wie diese können jedoch sowohl von seriösen als auch von explizit schädlichen Quellen ausgehen. Quasi alles und jeder, von öffentlichen USB-Ladestationen bis hin zu unterwanderten Softwareupdate-Tools, wurde schon für diese Zwecke missbraucht.
In welchem Gewand ein Schadcode daherkommt, ist nicht immer offensichtlich, aber öffentliche Datenverbindungen sowie alle Messaging-Dienste gehören zu den wichtigsten Vehikeln und sollten daher mit Bedacht genutzt werden. Auch Downloads und URL-Links werden gern von Angreifern verwendet, um gefährlichen Code einzuschleusen.
Arten von Schadcode
Viele Arten von schädlichem Code wurden entwickelt, um Ihrem Computer zu schaden, indem sie Einstiegspunkte finden, die sie zu wertvollen Daten führen. Die Liste wächst ständig, aber wir haben Ihnen hier einige der am häufigsten auftretenden Kandidaten zusammengestellt.
Viren
Ein Virus ist ein Schadcode, der sich selbst vervielfältigen kann und an über Makros ausführbare Programme angehängt wird, die um sie auszuführen. Die Verbreitung dieser Schaddateien erfolgt über Dokumente und andere Dateidownloads. Sie machen es dem Virus erst möglich, in Ihr Gerät einzudringen. Sobald der Virus ausgeführt wird, kann er sich selbst vermehren und weiter über das System und die angeschlossenen Netzwerke ausbreiten.
Würmer
Würmer können sich ähnlich wie Viren ebenfalls selbst vervielfältigen, für ihre Ausführung sind allerdings keine weiteren Aktivitäten erforderlich. Ein Computerwurm, der auf Ihr Gerät gelangt ist, kann sich komplett eigenständig ausführen – er braucht dafür nicht die Unterstützung eines vom Benutzer ausgeführten Programms.
Trojaner
Trojaner sind Dateien, die schädlichen Code enthalten und wie ein Lockvogel Benutzer dazu verleiten sollen, die Datei oder das Programm auszuführen. Diese Bedrohungen können sich nicht selbsttätig vervielfältigen oder autonom verbreiten. Allerdings sind sie häufig Träger von Viren, Würmern oder anderem Code.
Webseitenübergreifendes Skripting (XSS)
Beim Webseitenübergreifenden Skripting wird das Surfverhalten des Benutzers ausgenutzt, indem schädliche Befehle in die von ihm genutzten Web-Anwendungen eingeschleust werden. Dabei werden Webinhalte verändert, vertrauliche Informationen abgefangen oder das Gerät des Benutzers infiziert.
Backdoor-Angriffe
Der Backdoor-Zugang einer Anwendung kann so umprogrammiert werden, dass ein Cyberkrimineller aus der Ferne auf das unterwanderte System zugreifen kann. Abgesehen davon, dass sensible Daten, wie z. B. geheime Unternehmensinformationen, offengelegt werden, ist ein Backdoor-Angriff häufig die Vorstufe zu einer persistenten APT-Bedrohung (Advanced Persistent Threat).
In diesem Fall breiten sich die Cyberkriminellen über die neu eingerichtete Zugriffsebene weiter aus und können dann die Daten eines Computers löschen oder sogar Spyware installieren. Ein solcher Schadcode kann sogar die nationale Sicherheit bedrohen: Es gibt eine entsprechende Warnung des US-amerikanische Government Accountability Office.
Beispiele von Schadcode
Schädlicher Code kann viele Formen annehmen und wurde in der Vergangenheit rege genutzt. Zu den bekanntesten Angriffen gehören:
Der Trojaner Emotet
Der 2014 erstmals aufgetauchte Emotet-Trojaner hat sich von einer Malware zu einer Spam-Mail zur Verbreitung von Schadcode entwickelt. Die Angreifer setzen auf Phishing-Taktiken wie dringlich erscheinende E-Mail-Betreffzeilen (z. B.: „Zahlung erforderlich“), um Nutzer zu einem unüberlegten Download zu verleiten.
Hat sich Emotet einmal auf einem Gerät eingenistet, beginnt der Trojaner mit der Ausführung von Skripten, die Viren übertragen, C&C-Malware (Command-and-Control) installieren, um Computer in ein Botnet zu zwingen, und vieles mehr. Um 2018 herum wurde es etwas ruhiger um diese Bedrohung, bevor sie in Form einer über SMS verbreiteten Malware zurückkehrte.
Der Wurm Stuxnet
Seit 2010 attackieren der Computerwurm Stuxnet und seine Nachfolger nationale Infrastrukturen. Der erste dokumentierte Angriff, bei dem wichtige Anlagen zerstört wurden, richtete sich gegen iranische Nuklearanlagen und erfolgte per USB-Flash-Laufwerk. Stuxnet selbst ist mittlerweile verschwunden, aber sein Quellcode tauchte bis 2018 bei mehreren ähnlichen, sehr gezielten Angriffe wieder auf.
So schützen Sie sich vor Schadcode-Angriffen
Wirksamen Schutz gegen die meisten schädlichen Bedrohungen bietet eine Antiviren-Software, die mit Funktionen wie automatischen Updates, Malware-Beseitigungstools und Schutzfunktionen für das Surfen im Internet ausgestattet ist. Allerdings lässt sich schädlicher Code nicht allein mit einem Antiviren-Programm verhindern.
In der Regel kann ein Antiviren-Programm Viren und andere Formen von Malware – eine Unterkategorie von schädlichem Code – verhindern und beseitigen. Es gibt aber auch Schadcode in Form von Skripten auf Webseiten, die Schwachstellen ausnutzen, um Malware hochzuladen. Laut Definition können bestimmte Infektionen oder durch schädlichen Code verursachte Aktionen nicht von jedem Antiviren-Programm beseitigt werden.
Zwar sind Antiviren-Programme nach wie vor unverzichtbar, um Infektionen proaktiv zu entfernen und abzuwehren, es gibt aber auch eine Reihe von Maßnahmen, die Sie zu Ihrem Schutz ergreifen sollten:
- Installieren Sie Anti-Scripting-Software, um zu verhindern, dass JavaScript und ähnlicher Code unerlaubt auf Ihren Geräten zur Ausführung gebracht wird.
- Lassen Sie gegenüber Links und Anhängen stets Vorsicht walten. Jede Nachricht, die einen URL-Link oder einen Anhang enthält – ganz gleich, ob Sie sie per E-Mail oder SMS erhalten – kann ein Vektor für schädlichen Code sein.
- Aktivieren Sie den Popup-Blocker Ihres Browsers, um zu verhindern, dass Skripte unaufgefordert Browserfenster öffnen, in denen Ihnen schädliche Inhalte angeboten werden.
- Melden Sie sich für den alltäglichen Gebrauch nicht unbedingt mit Ihrem Adminstratorkennwort an. Eine hohe Berechtigungsebene ist in der Regel erforderlich, um Skripte und Programme ausführen zu können.
- Schützen Sie sich und Ihre unersetzlichen Dateien und Dokumente für den Fall der Fälle mit regelmäßigen Datensicherungen.
- Seien Sie besonders achtsam, wenn Sie eine öffentliche Datenverbindung nutzen. USB-Verbindungen werden im Allgemeinen übersehen, können aber leicht schädlichen Code enthalten. Auch öffentliche WLAN-Netze werden von Angreifern immer wieder gern genutzt, um Schadcode zu verbreiten.
- Konfigurieren Sie Ihre Firewall so, dass sie nicht autorisierte Verbindungen blockiert. Wenn ein Schadcode in Ihren Computer eindringt und versucht, Malware über eine Verbindung nach außen herunterzuladen, können Sie dies über eine gut konfigurierte Firewall verhindern. Ihre Firewall sollte so konfiguriert sein, dass sie standardmäßig blockiert und nur erwartete und vertrauenswürdige Verbindungen aus einer so genannten Whitelist zulässt.
Verwandte Links: