F

DLL-Preloading erschwert das Aufspüren von Malware

Moderne Malware nutzt etwa DLL-Preloading, um vor Antimalware-Programmen unentdeckt zu bleiben. Auch die Malware PoisonIvy verwendet diese Technik.

Die Malware PoisonIvy nutzt eine Technik, die sich DLL-Preloading (Dynamic-Link-Library-Preloading) nennt. Damit...

möchten sie eine Erkennung durch Antimalware-Software vermeiden. Können Sie erläutern, wie DLL-Preloading funktioniert und wie sich Unternehmen dagegen wehren?

DLL-Preloading (auch als Binary-Planting bekannt) ist vor etwa drei Jahren aufgetaucht. Die Technik nutzt die unsichere Konfiguration in Windows für das Durchsuchen der aktuellen Arbeitsverzeichnisse nach Dynamic Link Libraries (DLLs), die innerhalb legitimer Daten verwendet werden.

Erst kürzlich hat Trend Micro berichtet, dass die Malware PoisonIvy DLL-Preloading nutzt. PoisonIvy injiziert außerdem schädlichen Code in eine Kopie des Internet Explorers (iexplore.exe), der im Hintergrund läuft und im Netzwerk kommuniziert. Auf diese Weise umgeht PoisonIvy die Firewall.

Bei PoisonIvy wurden diese Funktionen integriert, um Antimalware-Tools umgehen zu können und die Infizierung als legitim darzustellen. Eine Datei ist zum Beispiel als Microsoft-Word- oder Adobe-Flash-Datei getarnt, so dass der Anwender von einer sicheren Datei ausgeht. Auf diese Weise lädt er die Malware in das derzeitige Arbeitsverzeichnis.

Leider hat sich seit der Entdeckung nicht viel geändert. Allerdings kann man aus der Arbeitsweise der Malware etwas über die Entwicklungs-Praktiken der Hacker erfahren. Wenn Malware-Autoren neue Funktionen priorisieren, die auf Nachfrage von Angreifern oder der erwarteten Auswirkung integriert wurden, lässt sich daraus folgern, dass ein zuverlässiger oder effektiver Angriff eine niedrige Priorität hat.

Um Ihr Unternehmen vor der Malware und Angriffen zu schützen, sollten Sie Schritte gegen DLL-Preloading einleiten. Dazu gehört die Verwendung von Microsoft FixIt und aktuellen Updates. Mit diesen Schritten verringern Sie die Gefahr, bösartige DLLs zu laden. Schließlich schützen Endpunkt- und Netzwerk-Antimalware-Tools vor PoisonIvy.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close