So erkennst du selber Windows Malware
Inhaltsverzeichnis
Trotz fortschrittlicher Antivirenprogramme und robuster Sicherheitssysteme finden Schadsoftware und Hacker immer wieder Wege, diese Verteidigungslinien zu umgehen. In diesem Artikel tauchen wir tiefer in die Welt der Schadsoftware ein, um zu verstehen, warum traditionelle Antivirenprogramme manchmal an ihre Grenzen stoßen und wie du selbst zum Wächter deiner eigenen digitalen Sicherheit werden kannst.
Antivirenprogramme spielen eine entscheidende Rolle bei der Abwehr vieler Arten von Malware, doch sie sind nicht unfehlbar. Moderne Schadsoftware, insbesondere solche, die als "fileless" gilt, hinterlässt keine herkömmlichen Dateien auf der Festplatte. Stattdessen residieren diese schädlichen Codes im Speicher oder missbrauchen legitime Tools und Prozesse des Betriebssystems, um ihre bösartigen Aktivitäten auszuführen. Diese Taktiken erschweren es Antivirenprogrammen, sie zu erkennen, da keine typischen Signaturen vorhanden sind, auf die sie reagieren könnten.
Darüber hinaus nutzen Angreifer oft eine Strategie, bei der die Malware in einen "Schlummermodus" versetzt wird. Sie bleibt inaktiv, bis bestimmte Bedingungen erfüllt sind, wodurch sie die anfängliche Erkennung durch Sicherheitssoftware vermeidet.
Um diese ausgeklügelten Bedrohungen effektiv zu bekämpfen, ist es wichtig, über die Tools und das Wissen zu verfügen, um ungewöhnliche Aktivitäten selbst zu erkennen. Dazu gehören verdächtige TCP-Verbindungen zu unbekannten IP-Adressen, ungewöhnliche Prozesse oder Veränderungen bei normalerweise vertrauenswürdigen Anwendungen und das Auftreten von Prozessen, die hohe Ressourcen beanspruchen oder unerwartete Systemaktivitäten ausführen.
In diesem Artikel erklären wir, wie man den Spuren der Malware folgt und diese eigenständig entfernt. Dazu nutzen wir kostenlose Tools wie TCPView, Process Monitor und Process Explorer zur Überwachung und Analyse von Netzwerkverbindungen und Prozessaktivitäten sowie zur Verfolgung von verdächtigen Systemaktivitäten, die wir in den Windows-Prozess-Logs abrufen können, um die potenzielle Infektionskette zu erkennen und im besten Fall zu durchbrechen. Diese Tools sind kostenlos verfügbar und Teil der Sysinternals Suite von Microsoft.
Der Subtext dieses Artikels ist nicht, die Notwendigkeit von Antivirensoftware zu negieren, sondern unsere eigene Wachsamkeit und unser Verständnis zu erhöhen, um die Lücken zu schließen, die Software allein nicht abdecken kann.
Installieren der nötigen Werkzeuge
Die benötigten Werkzeuge sind Teil der kostenlosen Sysinternals von Microsoft.
Lade dir die nötigen Tools als Zip Archive herunter und entpacke den Ordner.
Es ist keine weitere Installation notwendig du kannst das jeweilige Werkzeug einfach mit einem Doppelklick starten. Sysinternals Suite Zip Archive
Folgende Sysinternals Werkzeuge werden verwendet:
1. TCPView (TCPView.exe) - Netzwerkanalyse
2. Process Explorer (Procexp.exe) - Systemprozess Analyse und Nachverfolgung
3. Process Monitor (Procmon.exe) - Systemprozesse zurückverfolgen
4. RegDelNull (RegDelNull.exe) - Löschen hartnäckiger Registry-Einträge
5. Autoruns (autoruns.exe) - Listet all automatisch startenden Programme auf
Phase 1: Analyse von System und Netzwerk
Tipp: Beende möglichst alle Anwendungen die nicht benötigt werden, das erleichtert die Analyse des Systems
Verdächtige IP-Adressen (TCP-Verbindungen) identifizieren mit TCPView
1. Erkennen von ungewöhnlichen oder fremden IP-Adressen:
Starte TCPView und Achte auf Verbindungen zu IP-Adressen oder Hostnamen, die dir unbekannt vorkommen, besonders wenn sie in Ländern registriert sind, zu denen du normalerweise keine Verbindung herstellst.
2. Überprüfung der IP-Adresse oder Hostnamen:
Verwende Online-Dienste wie VirusTotal, AbuseIPDB, oder Whois zur Überprüfung der Reputation einer IP-Adresse.
Diese Dienste können dir Informationen über die Aktivitäten und den Ruf einer IP-Adresse geben.
3. Beobachtung von Verbindungshäufigkeit und Dauer
Häufige und langanhaltende Verbindungen zu einer unbekannten IP-Adresse können auf unerwünschte oder schädliche Aktivitäten hinweisen.
Typische Merkmale verdächtiger Verbindungen
1. Hohe Netzwerkaktivität zu ungewöhnlichen Zeiten
Aktivitäten, die außerhalb der üblichen Nutzungszeiten stattfinden, können verdächtig sein.
2. Viele ausgehende Verbindungen
Eine große Anzahl von Verbindungen, die von deinem System ausgehen, besonders wenn sie an verschiedene IP-Adressen gerichtet sind, könnte auf Malware hindeuten.
3. Unerklärliche Verbindungen
Verbindungen, die keinem offensichtlichen Zweck dienen oder nicht durch geöffnete Programme erklärt werden können, verdienen besondere Aufmerksamkeit.
Notiere dir alle dir merkwürdig vorkommenden IP-Adressen oder Verbindungen mit möglichst viel info bspw. Process, PID, usw.
Phase 2: Untersuchung der verdächtiger Prozesse der TCP-Verbindungen Process Explorer
Die Kombination aus der TCPView Netzwerk Recherche und dem Process Explorer für merkwürdigen Verbindungen ist eine wirkungsvolle Methode, um verdächtige Aktivitäten und potenziell schädliche Prozesse auf deinem Windows-System aufzuspüren, weiter zu verfolgen und zu verstehen.
Wenn du in TCPView ungewöhnliche oder verdächtige Verbindungen identifiziert hast, kannst du die Prozess-ID (PID) dieser Verbindungen verwenden, um im Process Explorer detailliertere Informationen über die zugehörigen Prozesse zu erhalten.
Starte Process Explorer und suche in der Prozessliste nach der PID, die du zuvor in TCPView notiert hast.
Du kannst die Suchfunktion von Process Explorer nutzen, indem du die PID in das Suchfeld eingibst, um den Prozess schneller zu finden.
Detailanalyse des Prozesses durchführen
Klicke auf den identifizierten Prozess, um detaillierte Informationen zu erhalten.
In der unteren Fensterhälfte von Process Explorer werden dir nun die Prozessdetails angezeigt, einschließlich der geladenen DLLs und der geöffneten Handles.
Notiere dir die entsprechenden DLLs und Handles, die könnten später bei der Rückverfolgung nützlich sein.
Überprüfung auf Unregelmäßigkeiten
Achte auf Anomalien wie unbekannte DLLs, ungewöhnliche Speicherorte von Prozessdateien oder eine hohe Ressourcennutzung, die nicht zu den normalen Betriebsbedingungen passt.
Überprüfe den digitalen Signaturstatus des Prozesses.
Nicht signierte oder von unbekannten Herausgebern signierte Prozesse verdienen besondere Aufmerksamkeit.
Typische Speicherorte:
Diese Orte sind gängige Verzeichnisse, in denen Programme und Prozesse ihre Dateien speichern. Sie sind oft das Ziel von Routineüberprüfungen durch Sicherheitssoftware:
Windows-Systemverzeichnis: C:\Windows\System32 für 32-Bit-Systemdateien und C:\Windows\SysWOW64 für 64-Bit-Systemdateien auf 64-Bit-Systemen.
Programmdateien: C:\Program Files (oder C:\Programme auf deutschsprachigen Systemen) und C:\Program Files (x86) für 32-Bit-Anwendungen auf einem 64-Bit-System.
Benutzerprofile: C:\Users\[Benutzername], insbesondere der Anwendungsdatenordner (AppData), der lokale Einstellungen, Konfigurationsdateien und temporäre Dateien enthält.
Ungewöhnliche Speicherorte
Malware kann sich an ungewöhnlichen Orten verstecken, um Entdeckung zu vermeiden. Einige Beispiele für solche Speicherorte sind:
Temporäre Verzeichnisse: C:\Windows\Temp oder der Temp-Ordner im Benutzerprofil. Während diese Verzeichnisse legitime temporäre Dateien enthalten, können sie auch von Malware missbraucht werden.
Windows-Verzeichnis: Abgesehen von System32 und SysWOW64 können ungewöhnliche oder unbekannte Dateien direkt im C:\Windows-Verzeichnis ein Zeichen für Malware sein.
Verzeichnis für Wiederherstellungspunkte: Systemwiederherstellungspunkte können von Malware manipuliert werden, um schädliche Dateien zu speichern. Diese befinden sich typischerweise in einem versteckten Ordner innerhalb von System Volume Information.
Registrierungsdatenbank: Während dies kein physischer "Ort" ist, kann die Registrierungsdatenbank (Registry) benutzt werden, um schädliche Skripte oder Befehle zu speichern, die bei Systemstart ausgeführt werden.
Alternative Datenströme: NTFS, das Dateisystem von Windows, erlaubt die Speicherung von Daten in alternativen Datenströmen einer Datei. Diese werden oft von Antivirus-Programmen übersehen und können von Malware genutzt werden.
Validiere deine Ergebnisse mit einer Recherche
Es ist wichtig zwischen normalen Systemprozessen und schädlichen Prozessen zu unterscheiden, weshalb du immer deine Annahmen recherchieren solltest um keinem False Positive aufzusitzen.
Solltest du demnach einen Prozess als verdächtig identifizieren, ist es ratsam zusätzliche Informationen über diesen einzuholen. Eine schnelle Online-Suche nach dem Prozessnamen und dem Herausgeber kann dir helfen, zu bestimmen, ob es sich um eine legitime Software oder potenzielle Malware handelt.
Phase 3: Zurückverfolgung der Malware mit dem Windows Ereignis Viewer
Wenn du festgestellt hast, dass ein Prozess schädlich ist, können wir jetzt diesen Prozess bis zu seinem Ursprung zurückverfolgen.
Der Windows Ereignis-Viewer speichert Protokolle zu verschiedenen Systemaktivitäten und kann Hinweise auf den Ursprung eines schädlichen Prozesses geben.
1. Zugriff auf Ereignis-Viewer
Öffne den Ereignis-Viewer, indem du nach „Ereignis-Viewer“ im Startmenü suchst oder "eventvwr.msc" in das Ausführen-Fenster (Windows-Taste + R) eingibst.
2. Überprüfen von Sicherheitslogs
Konzentriere dich auf die Sicherheitslogs unter „Windows-Protokolle“. Suche nach Ereignissen, die mit der Erstellung neuer Prozesse verbunden sind, insbesondere Ereignisse, die zeitlich mit der Entdeckung des verdächtigen Prozesses zusammenfallen.
3. Suche nach Anomalien
Achte auf Ereignisse, die ungewöhnliche oder unbekannte Anwendungen betreffen, insbesondere solche, die ohne Benutzerinteraktion gestartet wurden.
Phase 3: Zurückverfolgung bis zum ursprünglichen Auslöser mit dem Sysinternals Process Monitor
Process Monitor ist ein erweitertes Überwachungstool, das Echtzeit-Dateisystem, Registrierung und Prozess/Thread-Aktivitäten bietet.
Es kann verwendet werden, um die Aktivitäten eines schädlichen Prozesses detaillierter zu analysieren.
1. Ereignisse filtern:
Um die Menge der angezeigten Daten zu reduzieren, setze Filter, um nur die Aktivitäten des verdächtigen Prozesses anzuzeigen. Du kannst Filter für die Prozess-ID (PID), den Prozessnamen oder andere relevante Kriterien setzen.
2. Analyse der Prozessaktivitäten:
Untersuche die aufgezeichneten Aktivitäten, um zu verstehen, welche Aktionen der Prozess ausgeführt hat. Achte besonders auf Dateioperationen, Netzwerkaktivitäten und Änderungen in der Registrierung.
3. Verfolgung des Ursprungs:
Suche nach Informationen über den Elternprozess (Parent Process) des verdächtigen Prozesses.
Dies kann dir helfen, die Quelle der Ausführung zu identifizieren, zum Beispiel eine legitime Anwendung, die kompromittiert wurde, oder eine bösartige Datei, die den Prozess initiiert hat.
Nutze die gesammelten Informationen, um ein vollständiges Bild der Aktivitäten und Beziehungen zu erstellen.
Identifiziere den Ursprung des schädlichen Prozesses und verstehe, wie er gestartet wurde.
Dies kann dir helfen, die Infektionskette zu durchbrechen und zukünftige Angriffe zu verhindern.
Phase 4: Bereinigung und Prävention
Wenn wir nun den eigentlichen Ursprung des schädlichen Prozesses ausmachen konnten, beginnt die Desinfektion der schädlichen Dateien.
1. Entferne die schädliche Software
Lösche die Ursprungsdateien des schädlichen Prozesses und alle assoziierten Komponenten.
2. Führe einen vollständigen Systemscan durch
Nutze ein aktualisiertes Antivirenprogramm, um das System zu scannen und sicherzustellen, dass keine weiteren Infektionen vorhanden sind.
3. Sicherheitsmaßnahmen verstärken
Überprüfe deine Sicherheitseinstellungen und installiere Updates für dein Betriebssystem und alle Anwendungen, um bekannte Sicherheitslücken zu schließen.
Zusätzlich zu diesen Schritten solltest du folgende Praktiken in Betracht ziehen, um die Sicherheit deines Systems zu erhöhen und eine Neuinfektionen zu verhindern:
Bereinigung von Null-Einträgen in der Registry mit RegDelNull
RegDelNull ist ein weiteres nützliches Sysinternals-Tool, das speziell dafür entwickelt wurde, hartnäckige Registry-Schlüssel zu entfernen, die konventionelle Löschmethoden umgehen, indem sie Nullzeichen in ihren Namen einfügen. Malware, einschließlich einiger Varianten von fileless Malware, kann solche Techniken nutzen, um ihre Registry-Einträge vor Entdeckung und Entfernung zu schützen. Mit RegDelNull können Sie diese betrügerischen Einträge aufspüren und entfernen, um eine gründliche Säuberung des Systems zu gewährleisten.
Verwendung von Autoruns zur Überprüfung von Autostart-Einträgen
Autoruns ist eines der umfassendsten Tools zur Anzeige von Autostart-Konfigurationen. Es ermöglicht Benutzern, alle Programme zu sehen, die automatisch gestartet werden, wenn der Computer hochfährt oder der Benutzer sich anmeldet. Dies umfasst Anwendungen, Treiber, Dienste und Komponenten in der Windows-Registry.
Autoruns bietet die Möglichkeit, unerwünschte oder schädliche Autostart-Einträge zu identifizieren und zu deaktivieren, was ein kritischer Schritt bei der Minimierung des Risikos einer erneuten Infektion ist.
4. Starte dein System im Abgesicherten Modus neu
Drücke die Windows-Logo-Taste + I auf der Tastatur, um Die Einstellungen zu öffnen. Wenn dies nicht funktioniert, wähle die Schaltfläche Start und dann Einstellungen aus.
Wähle System > Recovery aus.
Wiederherstellungseinstellungen öffnen
Wähle unter Wiederherstellungsoptionen neben Erweiterter Start die Option Jetzt neu starten aus.
Wähle nach dem Neustart des PCs auf dem Bildschirm Option auswählen Folgendes:
Problembehandlung > Erweiterte Optionen > Starteinstellungen > Neu starten.
Möglicherweise wirst du aufgefordert, den BitLocker-Wiederherstellungsschlüssel einzugeben falls du einen eingerichtet haben solltest.
Des Weiteren sollten diese Best Practices immer beachtet werden:
- Regelmäßige Aktualisierung aller Sicherheitssoftware und des Betriebssystems, um Sicherheitslücken zu schließen.
- Nutzung von sicheren Browser-Einstellungen, einschließlich Pop-up-Blockern und der Deaktivierung von JavaScript auf nicht vertrauenswürdigen Seiten.
- Bewusstsein für Phishing-Angriffe und deren Erkennung, um nicht Opfer von Betrugsversuchen zu werden.
- Verwendung von starken, einzigartigen Passwörtern und, wo möglich, Zwei-Faktor-Authentifizierung.
- Regelmäßige Erstellung von Backups wichtiger Daten, um im Falle einer Infektion eine schnelle Wiederherstellung zu ermöglichen.
- Vorsicht beim Herunterladen und Installieren unbekannter Software sowie beim Öffnen von E-Mail-Anhängen.
- Verwendung von Netzwerksicherheitstools wie Firewalls und Intrusion Detection Systems (IDS).
- Isolierung infizierter Systeme vom Netzwerk, um eine weitere Ausbreitung der Malware zu verhindern.
- Meldung von Sicherheitsvorfällen an die entsprechenden Behörden, besonders bei Ransomware-Angriffen.
- Kontinuierliche Aufklärung und Schulung zu aktuellen Bedrohungen und besten Praktiken im Bereich Cybersicherheit.
Die Verfolgung eines schädlichen Prozesses zu seiner Quelle erfordert sorgfältige Analyse und Geduld, ist aber ein entscheidender Schritt, um dein System sicher zu halten und zukünftige Infektionen zu verhindern.