Definieren Sie die gängigen Malware-Kategorien und erklären Sie, wie Sie ein Sample anhand seines Verhaltens klassifizieren.
Kurzantwort
Man klassifiziert danach, wofür das Sample gebaut ist, beobachtet aus seinem Verhalten und seinen Fähigkeiten. Ein Dropper trägt eine Payload und schreibt sie auf die Festplatte; ein Loader holt oder injiziert die nächste Stufe, oft nur im Speicher; ein RAT gibt einem Operator interaktive Fernsteuerung; ein Wiper zerstört Daten oder Boot-Records ohne Wiederherstellungsabsicht; Ransomware verschlüsselt Dateien und fordert Zahlung. Echte Samples kombinieren oft Rollen — ein Loader, der ein RAT ausliefert — daher beschreibt man die Fähigkeitskette, statt ein einziges Etikett zu erzwingen, und ordnet jedes Verhalten ATT&CK-Techniken zu.
Malware zu klassifizieren bedeutet, die Frage zu beantworten «wofür ist das gebaut?», damit Responder den Vorfall eingrenzen und priorisieren können. Interviewer fragen Juniors danach, um zu bestätigen, dass das Vokabular sitzt und dass Sie nach Verhalten klassifizieren, nicht nach dem Antiviren-Etikett oder der Sprache, in der es geschrieben wurde.
Die gängigen Kategorien
- Dropper. Trägt eine eingebettete Payload und schreibt sie auf die Festplatte, dann führt er sie aus. In sich geschlossen; die schädliche Payload reist im Dropper mit.
- Loader (Stager). Holt oder injiziert die nächste Stufe — oft, indem er sie von einem C2-Server zieht und im Speicher ausführt, um dateilos zu bleiben. Bewusst leichtgewichtig; seine ganze Aufgabe ist es, etwas anderes auszuliefern.
- RAT (Remote Access Trojan). Gibt einem Operator interaktive Fernsteuerung: Shell, Dateiübertragung, Bildschirmaufnahme, Keylogging, Webcam. Achten Sie auf einen Befehls-Dispatcher und einen C2-Kanal, der Aufträge entgegennimmt.
- Wiper. Zerstört Daten, Partitionen oder den Master Boot Record ohne Wiederherstellungsabsicht — Zerstörung, nicht Erpressung. Oft als Ransomware getarnt, um Responder in die Irre zu führen.
- Ransomware. Verschlüsselt Dateien (und exfiltriert sie zunehmend) und fordert Zahlung, hinterlässt Lösegeldforderungen und löscht meist die Schattenkopien.
Verwandte Bezeichnungen, die Sie kennen sollten: Backdoor, Banking-Trojaner, Wurm (selbstverbreitend), Rootkit/Bootkit (Tarnung/Persistenz) und Infostealer.
Wie man klassifiziert
Untersuchen Sie Fähigkeiten und Verhalten: Imports und API-Aufrufe, geschriebene Dateien, Netzwerk-Aufträge, Verschlüsselung versus Zerstörung, Persistenz und Verbreitung. Wiper versus Ransomware ist die klassische Falle — beide verschlüsseln, aber ein Wiper verwirft den Schlüssel oder beschädigt unwiederbringlich, der Hinweis ist also, ob eine Wiederherstellung überhaupt möglich ist.
Die reife Einordnung
Echte Samples sind mehrrollig: ein Phishing-Anhang setzt einen Loader ab, der ein RAT zieht, das später Ransomware ausbringt. Starke Kandidaten beschreiben die Fähigkeitskette und ordnen jedes Verhalten MITRE ATT&CK zu, statt ein starres einzelnes Etikett zu erzwingen.
Wahrscheinliche Anschlussfragen
- Wie unterscheidet man einen Wiper von Ransomware, wenn beide Dateien verschlüsseln?
- Warum ist ein Loader oft dateilos oder nur im Speicher, und wie wirkt sich das auf die Analyse aus?
- Wie könnte ein einzelner Angriff mehrere dieser Kategorien nacheinander einsetzen?