Dropper
Dropper kümmern sich als Hilfsprogramme um das Nachladen und Installieren der eigentlichen Malware. Cyberkriminelle wie beispielsweise Spammer verwenden Dropper, um die Signaturen der Antimalware-Tools zu umgehen. Anhand von Signaturen versuchen die Security-Tools schädlichen Code zu blockieren oder unter Quarantäne zu stellen. Es ist für Angreifer weit einfacher, den Dropper zu ändern oder auszutauschen, falls seine Signatur erkannt wird, als die Basis des eigentlichen Schadcodes neu zu schreiben.
Dropper existieren, ganz ähnlich wie Trojaner, in persistenten und nicht-persistenten Varianten. Nicht-persistente Dropper erledigen ihre Aufgabe, sprich installieren die Schadsoftware auf dem System des Opfers, und entfernen sich danach wieder automatisch. Persistente Dropper kopieren sich in eine versteckte Datei und verharren dort, bis sie die ihnen zugedachte Aufgabe erledigt haben.
Dropper können auf unterschiedlichen Wegen auf die Systeme der Opfer gelangen:
- Über einen präparierten E-Mail-Anhang.
- Als Drive-by-Download über eine präparierte Website.
- Per Link in einer präparierten E-Mail oder auf einer Website.
- Oder über einen präparierten Wechseldatenträger wie etwa einen USB-Stick.
Manchmal werden Dropper in kostenlosen Freeware-Utilities versteckt, wie zum Beispiel Werbeblockern, um die Erkennung durch Antiviren-Software zu erschweren. Wenn das kostenlose Tool ausgeführt wird, lädt der Dropper zunächst die Schadsoftware herunter und installiert diese, bevor er das legitime Tool auspackt und installiert.
Dropper lassen sich nicht mit Dateierweiterungen in Verbindung bringen, was ihre Erkennung erschwert. Sie verhalten sich ähnlich wie trojanische Pferde und werden häufig bei Spear-Phishing-Angriffen eingesetzt. Obwohl Dropper de facto eigenständige traditionelle Programme sind, werden ihre Fähigkeiten meist als Teil eines Malware-Paketes angeboten.
Schutz vor Droppern
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt Anwendern wie Administratoren folgende Maßnahmen, um den Schutz vor Droppern zu verbessern:
- E-Mail-Anhänge, die nicht von Sicherheitssoftware gescannt werden können, sollten blockiert werden.
- Eine Sicherheitsstrategie gemäß dem Zero-Trust-Modell.
- Das Prinzip der minimalen Rechtevergabe umsetzen.
- Das Implementieren von Network Slicing zu Segmentierung und Trennung von Netzwerken und Funktionen.