F

Spyware Turla: Verteidigung gegen nicht erkennbare Malware

Die Spyware Turla stellt sich bei Entdeckungsversuchen schlafend. Die Angreifer betreiben hohen Aufwand bei Planung und Entwicklung der Malware.

Ich habe kürzlich über die hochentwickelte Turla-Spyware gelesen. Ich bin besorgt darüber, wie Turla in den Schlafzustand geht, wenn ihr Controller einen möglichen Erkennungsversuch bemerkt. Wie schaffen die Turla-Angreifer das und wie kann man sich am besten gegen offenbar nicht erkennbare Malware schützen?

So wie sich die IT und die IT-Sicherheit weiterentwickeln, so tun es auch die Angreifer. Es sollte nicht besorgen, dass böswillige Angreifer Techniken aus der professionellen Software-Entwicklung adaptieren. Tatsächliche wäre es weit mehr Besorgnis erregend, wenn die Angreifer diese Techniken nicht übernehmen würden. Das würde nämlich bedeuten, dass sie den Verteidigern so weit voraus sind, dass ihre Angriffe tatsächlich bereits nicht mehr erkennbar wären.

Die APT-Kampagne von Turla setzt viele innovative Techniken ein, die von fortgeschrittener Malware verwendet wird. Sie demonstriert so professionelle und disziplinierte Software-Entwicklungspraktiken. Die Programmierer scheinen erhebliche Anstrengungen in die Planung, langfristige Entwicklung und den Betrieb der Malware gesteckt zu haben - so wie beim kürzlich entdeckten Cousin Epic. Es hat ein modulares Framework-Design, bei dem die verschiedenen Komponenten des Angriffs automatisiert sind. Wenn eine neue Angriffstechnik gefunden wird, kann das Entwicklungsteam die neuen Funktionen leicht in den Angriffsplan integrieren und den Malware-Check im Command-and-Control-System einspielen, um ein Update zu erreichen.

Laut einer ungenannten Quelle in einem Reuters-Artikel verwendet das Turla-Entwicklungsteam eine Technik, die oft auch bei manuellen Angriffen genutzt wird. Sobald ein „manueller“ Angreifer sieht, dass ein Teil seines Angriffs erkannt wird, weiß er, dass für die anderen Komponenten des Angriffs nun ein erhöhtes Risiko besteht entdeckt zu werden. Es ist dann an der Zeit die Taktik zu ändern und die Angriffe auszusetzen oder zu beschleunigen, um Zugang zu erhalten oder die gesuchten sensiblen Daten zu stehlen. Ähnlich wie andere Malware entfernt Turla Protokolle aus dem lokalen System, so dass sie nicht verwendet werden können, um die Aktivitäten der Angreifer zu erkennen.

Die Turla-Spyware ist so konzipiert, dass sie ihre Operationen pausiert, wenn sie einen Erkennungsversuch erkennt. So kann ein Update freigegeben werden, um die Chancen zu reduzieren, dass der Angriff erkannt wird. Turla senkt die Gefahr durch die Überwachung ihrer Command-and-Control-Infrastruktur. Wenn ein zentraler Knoten offline geht, zwingt dies die Malware dazu bis auf weiteres schlafen zu gehen. Unternehmen können Turla mit einer Anti-Malware-Netzwerk-Appliance bekämpfen, einem Anaylse-Tool für DNS-Malware, einem Tool für die Erkennung von Netzwerk-Anomalien oder fortgeschrittener Endpoint-Security-Software.

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close