Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner (25 Prozent), Backdoors (24 Prozent) und Trojaner-Dropper (23 Prozent)
Fast drei Viertel (72 Prozent) der analysierten schädlichen Dateien, die über die kostenfreie Version von Kaspersky Threat Intelligence Portal eingereicht wurden, waren Trojaner, Backdoors oder Dropper. Die Analyse der eingereichten Daten zeigt zudem, dass die Malware-Typen, die von den Forschern am häufigsten untersucht werden, nicht unbedingt mit den am weitest verbreiteten übereinstimmen.
Die Erkennung schädlicher Aktivitäten bildet nur den Ausgangspunkt für die Untersuchung eines Angriffs. Um Reaktions- und Abhilfemaßnahmen zu entwickeln, müssen Sicherheitsanalysten das Angriffsziel, den Ursprung eines schädlichen Objekts, dessen Popularität und vieles mehr identifizieren. Das Kaspersky Threat Intelligence Portal hilft Analysten bei der Erforschung dieser Hintergründe.
Kaspersky-Experten haben die Anfragen an das Kaspersky Threat Intelligence Portal, die kostenfrei zwischen November 2019 und Mai 2020 getätigt wurden, untersucht, um herauszufinden, mit welchen Bedrohungen schädliche Objekte, die das Portal verarbeitet, am häufigsten in Verbindung gebracht werden. In den meisten Fällen erwiesen sich eingereichte Hashes oder verdächtige hochgeladene Dateien als Trojaner (25 Prozent der Anfragen), Backdoors (24 Prozent) – Malware, die einem Angreifer die Fernsteuerung über einen Computer ermöglicht – und Trojaner-Dropper (23 Prozent), die weitere schädliche Objekte installieren. Die Statistiken des Kaspersky Security Network [3], das cybersicherheitsrelevante Daten, die von Millionen freiwilliger Teilnehmer weltweit geteilt werden, analysiert, zeigen, dass Trojaner auch in der Regel die am weitest verbreitete Art von Malware darstellen. Backdoors und Trojaner-Dropper sind hingegen nicht so häufig vertreten – diese machen lediglich 7 beziehungsweise 3 Prozent aller bösartigen Dateien aus, die von Kaspersky-Endpoint-Lösungen blockiert werden.
Früherkennung versus Analyse
Dieser Unterschied lässt sich dadurch erklären, dass Sicherheitsforscher oft eher am finalen Ziel des Angriffs interessiert sind, während Endpoint-Lösungen versuchen, eine Attacke bereits in einem frühen Stadium zu verhindern. Beispielsweise erlauben sie einem Nutzer nicht, schädliche E-Mails zu öffnen oder einem maliziösen Link zu folgen, wodurch verhindert wird, dass Backdoors den Computer des Users kompromittieren. Sicherheitsanalysten müssen jedoch alle Komponenten innerhalb eines Droppers identifizieren.
Zu begründen ist dies auch mit dem Interesse an bestimmten Bedrohungen und dem Drang der Forscher, diese genauer zu analysieren. Als zu Beginn des Jahres viele Nachrichten zu Emotet erschienen, suchten viele Nutzer zum Beispiel aktiv nach Informationen zu diesem Schadprogramm. Eine Reihe von Anfragen betrafen zudem Backdoors für die Betriebssysteme Linux und Android. Diese Malware-Familien sind für Sicherheitsforscher von Interesse, aber ihre Anzahl ist im Vergleich zu Bedrohungen, die auf Microsoft Windows abzielen, relativ gering.
Viele Trojaner in der Analyse
„Wir haben festgestellt, dass die Anzahl kostenfreier Anfragen an das Kaspersky Threat Intelligence Portal zur Überprüfung von Viren oder Codeteilen, die andere Programme kompromittieren, sehr gering ist – weniger als ein Prozent“, kommentiert Denis Parinov, Acting Head of Threats Monitoring and Heuristic Detection bei Kaspersky. „Jedoch gehören diese erfahrungsgemäß zu den am weitest verbreiteten Bedrohungen, die von Endpoint-Lösungen erkannt werden. Diese replizieren sich selbst und implementieren ihren Code in andere Dateien, was dazu führen kann, dass eine große Anzahl schädlicher Dateien auf einem infizierten System erscheint. Wie wir sehen können, sind Viren für Forscher selten von Interesse, höchstwahrscheinlich weil ihnen im Vergleich zu anderen Bedrohungen das Moment des Neuen fehlt.“
Das Kaspersky Threat Intelligence Portal bietet einen Zugriff auf die Threat Intelligene-Daten des Unternehmens und stellt dort alle Informationen und Erkenntnisse zu Cyberangriffen, die Kaspersky in mehr als 20 Jahren gesammelt hat, zur Verfügung. Ein kostenloser Zugang zu ausgewählten Funktionen, mit denen Nutzer Dateien, URLs und IP-Adressen überprüfen können, ist verfügbar unter https://opentip.kaspersky.com/.
Weiter zur Analyse bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/