(1) Als Cyberwaffe (sowohl defensiv als auch offensiv). Beispiele für offensive Schadsoftware sind: TrickBot, LatentBot, AgentTesla, Gandcrab, Stuxnet, DownPaper, Carbanak, Zeus, Duqu, Ramnit, Wiper, Flame, Babar, Ryuk, Qakbot, ISFB, TurnedUp, Dridex, Goedel, Mosquito, Jaff, Chernobyl, Emotet/Geodo, Pupy, BlackEnergy, Shamoon, DanaBot usw.

(2) Als ausgeklügeltes Werkzeug für Cyberangriffe (sowohl zum Schutz als auch zur Durchführung böswilliger Aktivitäten).

(3) Als Cyberbedrohung (durch offensive und defensive Schadsoftware, die im Falle offensiver Schadsoftware unsere gesamte Welt schädigen kann). Aktuell werden in der Cyberkriegsführung (die immer weniger bekannt wird) offensive Cyberwaffen eingesetzt, weshalb der Einsatz schützender Cyberwaffen (wie defensiver Schadsoftware) dringend und von entscheidender Bedeutung ist. Ihre Auswirkungen erstrecken sich auf alle Ebenen, alle Arten von Interaktionen und alle Bereiche: Land (Fahrzeuge, Roboter, Panzer, Glasfaserkommunikation usw.), See (U-Boote, Schiffe, Seekabel usw.), Luft (Antennen für Telekommunikation und terrestrisches sowie Satelliteninternet, Verkehrsflugzeuge, Hyperschalldrohnen, Hyperschallraketen gegen Satelliten, Hubschrauber usw.), Weltraum (Satelliten, Orbitalstationen, Raumsonden, Asteroidenabwehr usw.) und Cyberspace (der in die vier vorherigen Bereiche integriert ist: Internet der Dinge/IoT, IoT, Apps, Betriebssysteme, Cloud-Computing, virtuelle Universen/Metaversen, Kryptowährungen, Websites, Hypervisoren, Betriebssysteme, Container usw.). Defensive Malware ist autonom und selbstregulierend. Sie basiert auf KI, Zero-Truth-Technologie (ZT), Zero-Knowledge-Technologie (ZK), Intelligent-Assisted Detection (IAD), True-Through-Technologie (TH), dynamischen Wissensdatenbanken, Verschlüsselung, subliminalen Kanälen, Steganografie, Schwachstellenanalyse usw. und arbeitet auf einem hohen Reifegrad. Die taktischen Ziele oder Taktiken offensiver Malware sind die Gründe für die Durchführung einer Aktion. Die Taktik des „Zugriffs auf Anmeldeinformationen“ nutzt Techniken und Untertechniken (die mehr oder weniger detaillierte Beschreibungen zur Umsetzung einer Taktik darstellen). In diesem Fall geht es darum, Anmeldeinformationen durch Zugriff auf Dienste der lokalen Sicherheitsbehörde (LSA) auszulesen. Die Verfahren (die die konkrete Implementierung der Techniken und Untertechniken darstellen) beinhalten die Verwendung von PowerShell, um in „lsass.exe“ einzudringen und Anmeldeinformationen auszulesen.
 
Funktionsweise offensiver Malware und ihre Neutralisierung durch defensive Malware.
                  Hochentwickelte intelligente Malware (sowohl offensive als auch defensive) kann ihre Operationen, Aktivitäten, Aktionen, Verhaltensweisen usw. auf verschiedene Weise ausführen: (1) Passiver Modus. In diesem Fall analysiert die offensive Malware den Datenverkehr, überwacht ungeschützte Kommunikationswege (Glasfaser, Kupfer, drahtlos, OTA usw.), entschlüsselt schwach verschlüsselten/authentifizierten Datenverkehr und erfasst Authentifizierungsinformationen (wie Passwörter, Geheimnisse usw.). Die passive Überwachung von Netzwerkoperationen kann angreifender Malware Indikatoren und Warnungen liefern, um schädliche Aktionen zu verhindern oder, im Falle defensiver Malware, Neutralisierungsmaßnahmen durchzuführen. Im passiven Modus können Informationen oder Datendateien (wie z. B. persönliche Daten, Token, sensible Dateien, private Schlüssel usw.) ohne Zustimmung oder Wissen des rechtmäßigen Nutzers an angreifende Malware gelangen. In diesem Fall neutralisiert/blockiert defensive Malware alle Versuche schädlichen Verhaltens, Operationen und Aktionen. (2) Vertriebsmodus. Hierbei nimmt die angreifende Malware Modifikationen an Hardware, Firmware oder Software vor, die bei der Herstellung des Produkts oder während des Vertriebs (Cyberangriff auf die Lieferkette) angewendet werden.

Bei diesen Cyberangriffen wird Schadsoftware in Form von Hintertüren, Software-Trojanern, Firmware und Hardware, Code für geplante Obsoleszenz usw. in Produkte eingeschleust, um später unbefugten Zugriff auf Informationen oder Funktionen des Systems, Geräts, Netzwerks usw. zu erlangen. In diesem Fall scannt defensive Schadsoftware Systeme und Geräte nach schädlichen Verhaltensweisen und Aktionen und neutralisiert, blockiert oder deaktiviert diese im Vorfeld. (3) Aktiver Modus: Hierbei versucht Schadsoftware, Schutzfunktionen zu umgehen oder zu unterbrechen, um Daten zu stehlen oder zu kapern, Informationen zu verändern usw. Sie greift das Netzwerk-Backbone an, nutzt Daten während der Übertragung aus, verschlüsselt Ordner, dringt in Infrastrukturen (Netzwerke, Systeme, Geräte, IoT-Objekte usw.) ein und attackiert autorisierte Remote-Benutzer beim Verbindungsversuch zu einer Infrastruktur. In diesem Szenario blockiert, neutralisiert oder verhindert defensive Schadsoftware alle Arten von schädlichen Versuchen, Datendateien offenzulegen, zu verbreiten oder zu kapern, Dienste (für Netzwerke, Systeme, Geräte, Anwendungen usw.) zu verweigern, Daten zu verändern oder Sabotageakte durchzuführen. (4) Bedrohung durch Insider. Diese kann zweierlei Art sein: (a) Böswillig (schädliche Schadsoftware). (b) Motiviert durch Unachtsamkeit, Unfälle, Unwissenheit, Vergesslichkeit, Ungeschicklichkeit, Faulheit, Nachlässigkeit, unbeabsichtigte Fehler usw. seitens Einzelpersonen/Organisationen (die zu Verbreitern schädlicher Schadsoftware werden). Schädliche Malware kann unter anderem Abhörversuche, Informationsdiebstahl, Datenübernahme, Datenbeschädigung, betrügerischen Informationsgebrauch, Zugriffsverweigerung für andere autorisierte Benutzer und Sabotageakte umfassen. Motiviert sind diese Handlungen oft durch Unwissenheit, Nachlässigkeit oder Vergesslichkeit. Gründe für das Umgehen von Cybersicherheitsmaßnahmen können Unfälle, Faulheit, Ungeschicklichkeit, der Wunsch nach schneller Erledigung, Nachlässigkeit oder das Bedürfnis, eine Aufgabe zu erledigen, sein. In solchen Fällen blockiert und neutralisiert defensive Malware alle Arten von Malware-Angriffen, Schwachstellen, Exploits (wie z. B. Eternal Blue) und Probleme im Zusammenhang mit offensiver Malware, die durch fahrlässiges Handeln von Einzelpersonen oder Organisationen aufgrund von Unwissenheit, Nachlässigkeit, Faulheit, Vergesslichkeit oder Ungeschicklichkeit entstanden sein können. (5) Näherungsbasierter Modus. In diesem Fall befindet sich die angreifende Schadsoftware physisch in der Nähe der Ziele des Cyberangriffs (Netzwerke, Systeme, Geräte, Dienste, Anlagen usw.), um diese zu verändern, Daten abzufangen, den Zugriff zu verweigern, sie zu sabotieren usw. Ein Beispiel hierfür ist das Einstecken eines infizierten USB-Sticks in einen PC, Industrie-PC, eine SPS usw., um einen industriellen Prozess, beispielsweise eine Zentrifuge, oder ein vernetztes/autonomes Fahrzeug zu sabotieren und so einen Unfall oder Datenverlust zu verursachen. Die Nähe kann durch unehrliche oder unachtsame Mitarbeiter, gewaltsames Eindringen, Sicherheitslücken, Ausnutzung offener Zugangspunkte usw. erreicht werden. In diesem Szenario blockiert und neutralisiert die defensive Schadsoftware alle Arten von Angriffsversuchen der angreifenden Schadsoftware.
 
Neutralisierung der von angreifender Schadsoftware verwendeten taktischen Strukturen.
Hochentwickelte defensive Malware ist darauf ausgelegt, alle möglichen Kombinationen von Taktiken (und deren internen Komponenten: Techniken, Subtechniken, Prozeduren, Funktionen, Mechanismen usw.), die von offensiver Malware eingesetzt werden, zu blockieren, zu neutralisieren, zu deaktivieren, abzuschwächen usw. Zwischen allen Strukturen und Wissensbasen der von KI erkannten und synthetisierten Taktiken besteht eine starke Korrelation.

Einige taktische Wissensdatenbanken sind (A) EBCT1 (CVCM, LotL usw.), die aus folgenden Taktiken bestehen:

(1) Erste Aufklärung. Offensive Malware nutzt Recherchetechniken und -verfahren, um die Ziele von Cyberangriffen (Anwendungen, Geräte, Systeme, Netzwerke, Infrastrukturen, Objekte, Organisationen usw.) zu untersuchen. Defensive Malware hingegen lähmt und blockiert jegliche Art von schädlicher Recherche.

(2) Erster Angriff. Angriffs-Malware führt bösartigen Code (Firmware, Software) auf einem oder mehreren Zielsystemen mithilfe von Reverse Engineering, Social Engineering usw. aus. Defensive Malware verhindert solche bösartigen Aktionen.

(3) Einen Rollback einrichten. Offensive Malware sichert ihre Position und behält die kontinuierliche Kontrolle über kompromittierte Ziele (Geräte, Systeme, Objekte usw.). Defensive Malware blockiert jegliche Wartungs- und Kontrollvorgänge auf den Zielen.

(4) Rechteausweitung. Angreifer-Malware erlangt durch verschiedene Verfahren, wie beispielsweise das Auslesen von Passwort-Hashes, höhere Berechtigungen. Defensive Malware neutralisiert jede schädliche Technik oder jedes schädliche Verfahren.

(5) Interne Aufklärung. Offensive Malware erkundet die Umgebung des Zielsystems, um sie besser zu verstehen. Defensive Malware verhindert dies.

(6) Laterale Bewegungen. Angreifer-Malware nutzt die durch die Rechteausweitung erlangten Anmeldeinformationen, um sich innerhalb der kompromittierten Umgebung von einem Punkt (Gerät, System, Objekt usw.) zu einem anderen zu bewegen.

(7) Aufrechterhaltung der Präsenz. Schadsoftware versucht, ihre Präsenz und den kontinuierlichen Zugriff auf die Umgebung aufrechtzuerhalten. Dazu nutzt sie verschiedene Techniken wie die Installation von Hintertüren, Trojanern usw.

(8) Überprüfung der Ziele. Die Mission kann abgeschlossen werden oder mit anderen Zielen (Diebstahl, Modifizierung, Sabotage, Erpressung, Entführung, Begehung von Straftaten usw.) spontan fortgesetzt werden.

Defensive Malware blockiert jegliche weitere Aktionen. (B) EBCT2 (CKC, UKC, GKC usw.) umfasst die folgenden Taktiken:

(1) Aufklärung. Die Malware erkundet, untersucht und analysiert ihre Ziele und identifiziert alle deren Schwachstellen (nicht nur bekannte, sondern auch Zero-Day-Schwachstellen).

(2) Bewaffnet. Die Schadsoftware passt ihre Flugbahn an, um die Ziele des Cyberangriffs (Objekte, Geräte, Systeme, Netzwerke, Infrastrukturen usw.) zu erreichen.

(3) Auslieferung. Die Schadsoftware führt die notwendigen Aktionen aus, um die Ziele zu erreichen und sie dann per Cyberangriff zu infizieren.

(4) Social Engineering. Schadsoftware nutzt Techniken, um Menschen zu manipulieren und sie so zu Handlungen zu verleiten, die ihnen schaden könnten.

(5) Installation. Die Schadsoftware benötigt kontinuierlichen Zugriff auf ihre Ziele; daher installiert sie Aktivierungssequenzen, Hintertüren, redundante Backup-Pfade usw., um ihre Ziele zu erreichen. (6) Erkundung. Die Schadsoftware wird in der Umgebung ausgeführt und erlangt die benötigten Zugriffsrechte.

(7) Persistenz. Die Schadsoftware nimmt Änderungen vor, um ihre fortgesetzte Präsenz im System sicherzustellen.

(8) Umgehung der Verteidigung. Schadsoftware verwendet Techniken, um der Erkennung zu entgehen und andere Verteidigungsmechanismen zu umgehen.

(9) Kommando- und Kontrollfunktionen (C&C). Die Schadsoftware kann mit kontrollierten Systemen und anderen Kollaborateuren kommunizieren. (10) Umgehung. Die Schadsoftware leitet den Datenverkehr über kontrollierte Systeme um, die nicht direkt zugänglich sind.

(11) Erkennung. Die Schadsoftware erlangt Informationen über ein Zielsystem und dessen Umgebung. (12) Rechteausweitung. Die Schadsoftware erlangt höhere Berechtigungen auf einem Zielsystem. (13) Ausführung. Die Schadsoftware kann Code (Firmware oder Software) auf einem lokalen oder entfernten Zielsystem ausführen.

 (14) Zugriff auf Anmeldeinformationen. Schadsoftware verschafft sich Zugriff auf oder kontrolliert Ziele wie Domänenanmeldeinformationen.

(15) Seitliche Bewegung. Schadsoftware greift auf andere entfernte Ziele zu und kontrolliert diese.

(16) Datenerfassung. Die Schadsoftware identifiziert und erfasst Daten vom entfernten Zielsystem vor der Exfiltration.

(17) Datenexfiltration. Schadsoftware extrahiert Informationen (kritische, persönliche, geheime, private Schlüssel usw.), verändert Daten, sabotiert Systeme, erpresst, entführt, schädigt Menschen, die Umwelt, Tiere usw. von den Zielen, die Cyberangriffe ausgesetzt sind.

(18) Auswirkungen. Die Schadsoftware manipuliert, stört oder zerstört das Zielsystem.

(19) Ziele. Schadsoftware integriert kleinere Ziele, um ein übergeordnetes Ziel zu erreichen.

(C) EBCT3 (BCs-APT/APR, ET-ICS-MT-IT-OT-ATT&CK usw.) integriert die folgenden Taktiken:

(1) Aufklärung. Umfasst Techniken, die es Schadsoftware ermöglichen, Informationen zu sammeln, die sie für zukünftige Operationen nutzen kann.

(2) Ressourcenentwicklung. Dies umfasst die Techniken, die es Schadsoftware ermöglichen, Ressourcen zu etablieren, die zur Unterstützung von Operationen genutzt werden können.

(3) Erster Zugriff. Dies umfasst die Gesamtheit der Techniken und Infektionsvektoren, die von Schadsoftware verwendet werden, um in das Netzwerk, System, Gerät usw. einzudringen und sich dort eine erste Position zu verschaffen.

(4) Ausführung. Umfasst die Techniken, die die Ausführung von Schadcode auf einem System, Gerät, lokalen oder entfernten Netzwerk ermöglichen.

(5) Persistenz. Dies umfasst die Techniken, mit denen Schadsoftware ihre Position aufrechterhält. Das heißt, sie ermöglicht jeglichen Zugriff, jede Aktion oder Konfigurationsänderung auf einem System, Gerät oder Netzwerk und verschafft der Schadsoftware so eine dauerhafte Präsenz. Gestohlene Anmeldeinformationen werden häufig verwendet, um ein neues Konto zu erstellen. (6) Rechteausweitung. Dies umfasst die Techniken, die Aktionen generieren, die es Schadsoftware ermöglichen, höhere Berechtigungen und Autorisierungen auf einem System, Gerät oder Netzwerk zu erlangen. Sie kann ein gültiges Konto verwenden, um Zugriffsberechtigungen zu ändern.

(7) Umgehung von Verteidigungsmechanismen. Integriert die Techniken, die Schadsoftware verwendet, um der Erkennung zu entgehen oder andere Verteidigungsmechanismen zu umgehen. Sie kann eine neue virtuelle Maschineninstanz erstellen, um Firewall-Regeln zu umgehen.

(8) Zugriff auf Zugangsdaten. Dies umfasst Techniken, die es Schadsoftware ermöglichen, Kontonamen, Passwörter, Token, private Schlüssel oder andere Geheimnisse zu stehlen, die ihr Zugriff auf Ressourcen gewähren.

(9) Erkennung. Diese umfasst die Techniken, die es Schadsoftware ermöglichen, ihre Umgebung zu verstehen und Kenntnisse über das System, das Gerät und das interne Netzwerk zu erlangen. Beispielsweise kann sie eine Zieldatenbank lokalisieren.

(10) Laterale Bewegung. Darunter fallen Techniken, die es Schadsoftware ermöglichen, sich in ihrer Umgebung zu bewegen, auf entfernte Systeme im Netzwerk und in der Cloud zuzugreifen und diese zu steuern (Edge, Fog, Cloud mit Containern oder Hypervisoren).

(11) Sammlung. Dies umfasst die Techniken, die verwendet werden, um Daten von Interesse und Informationen (wie z. B. sensible Dateien aus einem Zielsystem, -gerät oder -netzwerk vor der Exfiltration) für ihre Zwecke zu sammeln und zu identifizieren.

(12) Exfiltration. Umfasst die Techniken, die es Schadsoftware ermöglichen, Dateien, Daten, Metadaten und Informationen von einem Zielsystem, -gerät oder -netzwerk zu stehlen und zu extrahieren.

(13) C&C (Befehls- und Kontrollsystem). Dies umfasst die Techniken, die Schadsoftware nutzt, um mit kompromittierten Geräten und Systemen zu kommunizieren und diese innerhalb eines Zielnetzwerks, -geräts oder -systems oder dessen unterstützenden Systemen zu steuern. (14) Auswirkungen. Dies umfasst Techniken, deren Hauptzweck ein Cyberangriff auf die Verfügbarkeit, Integrität, Authentifizierung, Vertraulichkeit, Nichtabstreitbarkeit usw. ist. Bei dieser Taktik versucht die Schadsoftware, Geräte, Systeme und Daten zu manipulieren, zu stören oder zu zerstören. Abwehrmechanismen gegen Schadsoftware neutralisieren alle derartigen Versuche.

(14) Netzwerkeffekte. Umfasst Techniken zum Abfangen oder Manipulieren des Netzwerkverkehrs zu oder von einem Ziel (Gerät, System usw.).

(14) Fernzugriffseffekte. Dies umfasst Techniken zur Steuerung oder Überwachung eines Ziels mithilfe von Fernzugriffsdiensten. Sehr grobgranulare Assoziationen und Korrelationen auf Basis von KI aus taktischen Clustern (und deren internen Komponenten: Techniken, Verfahren usw.) ermöglichen die Vorhersage und Ableitung des Verhaltens und der Aktionen von Angriffs-Malware, die durch Abwehr-Malware neutralisiert oder blockiert wird.
 
PROBLEM VON ANGRIFFS-MALWARE IN VERNETZTEN UND AUTONOMEN FAHRZEUGEN.
Aktuell befällt Malware alle Arten von Systemen, Netzwerken, Metaversen oder virtuellen Welten (einschließlich Facebook mit Avataren und VR-Brillen, die Fingerbewegungen zur Interaktion erfassen – ein Vorgänger war Second Life, allerdings deutlich weniger ausgefeilt), Geräten (PCs, SPSen, Smartphones wie das iPhone 13, Tablets usw.), Anwendungen/Apps, Spielen (aller Art, z. B. Squid Game, Axie Infinity usw.), Betriebssystemen (iOS 15, Linux, Android 12, Windows 10 usw.), Webbrowsern (Chrome, Safari, Firefox usw.), Daten, Metadaten, Ökosystemen, Infrastrukturen und Umgebungen (niemand ist sicher): IT, OT, ICS, CPS, IoT, IIoT, IoMT, AIoT, IoE, AmI, Datenbanken, CRM, ERP, Clouds (Cloud, Fog, Edge Computing) usw. Vernetzte (direkt oder indirekt) und autonome Fahrzeuge (die im Wesentlichen cyber-physische Systeme sind) bieten unzählige Angriffspunkte für Malware, selbst mit Zertifizierungen wie ISO/SAE 21434 und/oder UNECE/R155 können zwar die Abwesenheit potenzieller Schwachstellen in Daten, Software, Firmware, Hardware, Kommunikation usw. garantieren, jedoch nicht vollständig. Die drahtlose (OTA) Verwaltung und Aktualisierung des Steuergeräts (ECU) kann zu Schwachstellen, Infektionen, Ausfällen, Fehlern und anderen Problemen führen. Steuergeräte steuern die meisten Fahrzeugfunktionen. Gelangt Schadsoftware in die Hände von Angreifern, kann sie die Lenkung blockieren, den Motor starten/stoppen, den Reifendruck manipulieren, Heizung und Klimaanlage verändern, das Fahrzeug fernverriegeln, das Navigationssystem steuern, die Bremsen deaktivieren, das Infotainmentsystem manipulieren, die Fahrzeugdiagnose (Datensätze ändern), erzwungene Beschleunigung oder Vollbremsungen verursachen, Fahrerdaten (wie Adresse, Arbeitsort, Fahrstil, Bankinformationen, Passwörter und Zugangsdaten) auslesen und Türverriegelungen, Alarmanlagen und andere akustische und optische Signale fernsteuern. An den OBD2-Anschluss sollten keine Geräte angeschlossen werden, da dieser die Programmierung, Codierung oder Diagnose beliebiger elektronischer Geräte im Fahrzeug ermöglicht. Latente Schadsoftware (Software, Firmware und Hardware in der Lieferkette) kann den Antriebsstrang und die Kommunikation zwischen den Komponenten (CAN-Bus) durch Ausnutzung latenter oder bestehender Schwachstellen und Fehler manipulieren. Sie kann die Kommunikation zwischen zwei CPUs/Chips unerwartet unterbrechen (was zu fehlerhaften Nachrichten dieser CPUs und potenziell schwerwiegenden Systemausfällen führen kann, z. B. zur Nichterkennung der Geschwindigkeit von Fahrzeugen in der Nähe oder zu unerwartetem Bremsen (auch bei hohen Geschwindigkeiten) ohne Vorwarnung, wodurch das Risiko von Auffahrunfällen mit nachfolgenden Fahrzeugen steigt). Schwachstellen sind dynamisch und können jederzeit auftreten. WLAN, 5G, LoRaWAN usw. ermöglichen es Schadsoftware, mit Fotos, Videos und Dateien auf Ihrem Smartphone, Tablet, PC usw. (die oft mit Ihrem Fahrzeug verbunden sind) schädliche Aktionen durchzuführen. Sie kann Sie beispielsweise überwachen, ausspionieren, erpressen, sich als Sie ausgeben, Unfälle durch die Steuerung Ihres Fahrzeugs verursachen usw. Schadsoftware kann die Kontrolle über alle sicherheitsrelevanten Fahrzeugsysteme übernehmen, darunter Airbags, Bremsen, Motorstart/Stopp-Automatik, Flüssigkeitsstände, Reifenzustand, Lenkung, Heizung, Freisprecheinrichtung, GPS (mit falschen Daten), Fensterheber, Klimaanlage sowie akustische und optische Signale. Sie kann auch das Verhalten von Fahrerassistenzsystemen (ADAS) verändern, beispielsweise durch die Erzeugung einer Hindernisillusion, wo keines vorhanden ist („Ghosting“), oder durch die Simulation der Abwesenheit eines vorhandenen Hindernisses.

Bluetooth (WPAN) ermöglicht es Schadsoftware, mithilfe von Informationen über Ihre Gespräche, Kontakte, Nachrichten, vertrauliche Daten usw. schädliche Aktionen durchzuführen, wie z. B. Identitätsdiebstahl, Belästigung, Erpressung, Rufschädigung und Manipulation von Fahrzeugfunktionen. Geolokalisierung (über Satelliten wie GPS, BeiDou, GNSS, GLONASS, Galileo usw., Triangulation über Mobilfunkmasten oder Telekommunikationssatelliten wie Iridium usw.) ermöglicht es Schadsoftware, Informationen über Ihre Routen, Zeitpläne, Wohn- und Arbeitsorte usw. zu manipulieren, um schädliche Aktionen wie Entführung, Spionage, Erpressung und Täuschung durchzuführen. Der Fahrzeugschlüssel und die Zündung können von Schadsoftware manipuliert werden, wodurch Sie im Fahrzeug eingeschlossen, am Öffnen gehindert, das Fahrzeug durch unverschlossenes und laufendes Fahrzeug gestohlen, der Zündschlüssel deaktiviert/aktiviert usw. werden können. Smartphones und Tablets werden zunehmend mit Fahrzeugen verbunden (was gefährlich ist), da dies die Übertragung von Schadsoftware zwischen den Geräten erleichtert. Schadsoftware kann sogar ferngesteuert das Ver- und Entriegeln von Türen, das Ein- und Ausschalten des Motors und sogar die Auslösung des Airbags steuern. Das Radio Data System (RDS) ermöglicht es Radiosendern, zusätzliche Informationen zusammen mit dem normalen Radioprogrammsignal zu senden, das auf dem Empfängerbildschirm angezeigt wird. Schadsoftware kann Fehlinformationen und Chaos stiften. Mithilfe synthetischer Medientechnologie kann Schadsoftware die übertragenen Multimediadaten manipulieren und so falsche Verkehrs- und Unfallwarnungen erzeugen, fehlerhafte Informationen bereitstellen, täuschen, irreführen und Verwirrung stiften. Die Notruffunktion (E-Call) in Fahrzeugen (basierend auf einem eingebetteten System mit einer SIM-Karte für die drahtlose Kommunikation) wird im Notfall manuell und automatisch aktiviert. Schadsoftware kann bösartige Aktionen durchführen, indem sie den genauen Standort Ihres Fahrzeugs verfälscht, um Sie zu entführen, Sie daran zu hindern, bei einem Unfall oder medizinischen Notfall Hilfe zu erhalten usw. Die eingeschleuste Schadsoftware, die auf die Öffnungs- und Startsysteme des Fahrzeugs (freihändiges „schlüsselloses“ System) wirkt, erleichtert den Diebstahl dieser Fahrzeuge.

Die Infektion des Steuergeräts (ECU), das für die Zuverlässigkeit des Fahrzeugs verantwortlich ist, mit Schadsoftware kann kritisch sein (Schadsoftware kann das System sabotieren und zwei der vielen CPUs im Fahrzeug isolieren, was zu Chaos führt). Aufgrund der Vielzahl elektronischer Komponenten, Software und Firmware ist eine Schadsoftwareinfektion in Fahrzeugen einfacher, da sich dadurch eine größere Angriffsfläche ergibt. Auch die Infektion von Cloud-Netzwerken (öffentlich, privat, gemischt usw.), in denen die Kommunikationsplattformen vernetzter Fahrzeuge gehostet werden, kann schwerwiegende Folgen für diese Fahrzeuge haben. Eine typische Schwachstelle in vernetzten Fahrzeugen ermöglicht es Schadsoftware, bestimmte Parameter des Navigationssystems aus der Ferne zu manipulieren und so die Ausführung von Code und die Kontrolle aller wichtigen Fahrzeugfunktionen zu ermöglichen. Fahrzeuge mit Fahrerassistenzsystemen (ADAS) können Fehlfunktionen aufweisen, wenn die von ihnen verarbeiteten Datenströme durch Schadsoftware infiziert oder beschädigt werden. Die in ADAS-Systeme integrierten Algorithmen mit maschinellem Lernen machen sie anfällig für neue Formen von Cyberangriffen durch Schadsoftware. Beispielsweise verändern physikalische/logische Änderungen die Art und Weise, wie die Fahrzeugelektronik eine Situation interpretiert. Das Netzwerk der Steuergeräte (ECUs) birgt zahlreiche potenzielle Angriffspunkte für Schadsoftware, die den Betrieb des cyber-physischen Systems stören können. Die illegale Manipulation eines Moduls während der Wartung, durch Diebstahl oder Sabotage kann zu einem Denial-of-Service-Angriff führen und verhindern, dass das Steuergerät gültige Daten empfängt. Das Infotainmentsystem kann aus der Ferne von Schadsoftware angegriffen werden. Weitere mögliche Angriffe umfassen Abfangen, Man-in-the-Middle-Angriffe (MITM) und Replay-Angriffe (unter Verwendung zuvor über das Netzwerk übertragener Daten). Schadsoftware kann Fahrerassistenzsysteme (ADAS) wie den Spurhalteassistenten manipulieren, der das Fahrzeug in der Spur hält und ein Abdriften in den Gegenverkehr verhindert. Gelingt es Schadsoftware, in das Steuerungssystem (CAN-Bus) eines vernetzten oder autonomen Fahrzeugs einzudringen und es zu infizieren, kann dies das Fahrzeug, alle Fahrzeuge in seiner Nähe und das Rechenzentrum des Herstellers in eine schwierige Lage bringen. Schadsoftware (die bestehende Sicherheitslücken ausnutzt, auch in vernetzten/autonomen Fahrzeugen) kann Fahrzeuge infizieren, deren Funktionen übernehmen und manipulieren, um verschiedene Fahrzeugsysteme zu steuern. Dazu gehören das Aktivieren der Bremsen, das Blockieren der Lenkung (bei hoher Geschwindigkeit in Kurven), die Manipulation von Multimedia-, Klimaanlagen- und Infotainmentsystemen, das Starten oder Stoppen des Motors, das Öffnen oder Schließen von Fenstern und Türen, das Auslösen des Airbags während der Fahrt ohne Kollision, das Aktivieren der Scheinwerfer beim Anfahren am Berg auf ebener Fläche, die missbräuchliche Nutzung des Fahrzeugbetriebssystems und -browsers für unautorisierte Käufe, das ferngesteuerte Ver- und Entriegeln der Türen und Starten des Motors, das Aktivieren von Bremse und Beschleunigung mit einem infizierten Smartphone/Tablet als digitalem Schlüssel, das Öffnen und Starten des Fahrzeugs mit einem schlüssellosen Zugangssystem wie einer geklonten Karte, das Öffnen und Starten des Fahrzeugs mit einer geklonten Fernbedienung sowie das Öffnen und Starten des Fahrzeugs mit gefälschten biometrischen Daten (Gesichtserkennung, Fingerabdruck usw.). Wenn Schadsoftware über eine infizierte CD, DVD, einen Musik-USB-Stick oder über unzählige andere Infektionswege in ein Fahrzeug gelangt, beispielsweise über ein infiziertes Smartphone/Tablet, das mit dem Fahrzeug verbunden ist (via Bluetooth BLE, WLAN, 5G, 6LowPAN, LoRaWAN usw.), oder durch Infektionen (Software, Firmware, Hardware) in der Lieferkette, etwa durch infizierte Over-the-Air-Updates (OTA), kann sie sich automatisch von Fahrzeug zu Fahrzeug und sogar bis zum Rechenzentrum des Herstellers ausbreiten. Verfügt die Schadsoftware über Wurmfunktionen, die es ihr ermöglichen, sich selbst zu replizieren und in Netzwerken zu verbreiten, kann sie sich automatisch verbreiten. Vernetzte Fahrzeuge (die über eine Internetverbindung verfügen, um Systemupdates zu empfangen) sind besonders anfällig für diese Bedrohung.

Es kann Informationen an die Datenbanken des Hersteller-Rechenzentrums senden und von diesen empfangen. Dadurch kann der Hersteller Daten von seinen Fahrzeugen erfassen, die Fahrzeug-Firmware drahtlos aktualisieren und Servicebenachrichtigungen empfangen oder versenden. Das Rechenzentrum des Herstellers speichert alle Besitzer- und Fahrzeugdaten, wie z. B. Telefonnummer, Name, Post- und E-Mail-Adresse des Besitzers sowie Fahrdaten, darunter gefahrene Strecken, Fahrstil (Bremshäufigkeit, zurückgelegte Strecke, Routen, Zeiten, Geschwindigkeitsüberschreitungen, Wartungstermine und erkannte Fahrzeugstörungen). Schadsoftware kann in kostenpflichtigen Apps, die in vernetzte Fahrzeuge integriert sind, aktiv sein und potenziell Geld stehlen, die Privatsphäre des Besitzers gefährden usw. Jedes Fahrzeug kann auf verschiedenen Wegen von Schadsoftware angegriffen werden, z. B. durch Fernsteuerung, mobile Anwendungen, Software-/Firmware-Angriffe und physische/Hardware-Angriffe. Dabei werden menschliche Fehler, Infektionen in der Lieferkette, Hardware-Trojaner und mehr ausgenutzt. Malware kann Hardware-Anschlüsse (USB, OBD2 usw.) und drahtlose Schnittstellen (Wi-Fi 6/7, IEEE 802.11ax/IEEE 802.11be, 4G, 5G, Bluetooth LTE, ZigBee/IEEE 802.15.4, NFC, Ethernet, LoRaWAN, RFID usw.) angreifen. Darüber hinaus kann Malware die fehlende Segmentierung von Fahrzeugsystemen ausnutzen, um Benutzersoftware über die für den Fahrzeugbetrieb verwendeten Systeme anzugreifen. Malware kann sowohl Benutzerdaten/Metadaten, die von Fahrzeugsystemen generiert werden, als auch die fahrzeugeigenen Betriebsdaten infizieren. Sie kann Bremsen, Airbags, Zündung und andere Systeme des Fahrzeugs beeinträchtigen. Malware kann schädliche Befehle an das CAN-Bus-Netzwerk senden, das über zahlreiche, jeweils angreifbare Funktionen verfügt. Malware kann außerdem fahrzeuginterne und fahrzeugübergreifende Datenübertragungsprotokolle wie Bluetooth/BLE, Wi-Fi (CSMA/CA), GPS, Ethernet (CSMA/CD), MOST, ZigBee, LoRaWAN, NFC und andere angreifen. Schadsoftware kann aus der Ferne heruntergeladen werden und bestehende Sicherheitslücken in Systemen wie Zündung, Lenkung, Beschleunigung, Bremsen, Heizung, Airbags, Türen, Beleuchtung und Hupe ausnutzen. Sie kann lokal oder remote auf dem Steuergerät (ECU), OBD2, ADAS, der CAN-Bus-Netzwerkkommunikation und anderen Komponenten des Fahrzeugs ausgeführt werden. Schadsoftware kann Befehle senden, um Lenkung, Reifen, Bremsen und andere Systeme zu steuern. Sie kann Fahrzeuge durch Over-the-Air-Firmware-Updates (OTA) sabotieren, die Hersteller drahtlos und automatisch an vernetzte Fahrzeugsysteme (z. B. Pkw, Transporter, Lkw, Busse, Wohnmobile usw.) verteilen. Die OTA-Kommunikation kann die Fehlkonfiguration oder Deinstallation gültiger Updates auf bestimmten Systemen ermöglichen und potenziell zu Unfällen führen. Die OTA-Infrastruktur umfasst verschiedene Akteure: Komponentenhersteller, Firmware-Entwickler, Steuergeräteanbieter, Cloud-Anbieter usw. Diese verfügen möglicherweise nicht alle über das gleiche Niveau an Cybersicherheitskontrollen und können daher latente Infektionen beherbergen. Die OTA-Infrastruktur ermöglicht die Ferninstallation und -deinstallation von Updates, die Änderung und Löschung von Fahrzeugkonfigurationen sowie weitere Aktionen. Angesichts der Tausenden von Chips und Millionen von Codezeilen, die aktuell in Fahrzeugen verbaut sind, wird deutlich, wie viele Schwachstellen latent vorhanden und für Angreifer unentdeckt bleiben können. Laut Parkers.co.uk wären 86 % der befragten Autofahrer nicht damit einverstanden, wenn ihr Fahrzeug Daten über ihr Fahrverhalten an Dritte weitergeben würde, und 75 % lehnen Datenerfassungssysteme als neueste Technologie in modernen Fahrzeugen ab.

Malware kann dazu führen, dass Sie in Ihrem Fahrzeug gefangen sind – mit auf Hochtouren laufender Heizung, geschlossenen Türen und Fenstern, ohne Motorstart und ohne jegliche Kommunikation mit der Außenwelt, nicht einmal mit Ihrem Smartphone. Dadurch werden drahtlose Updates verhindert.
 

Aktuell befällt Schadsoftware alle Arten von Systemen, Ökosystemen und Umgebungen (nichts und niemand ist sicher). Im Bereich der Betriebstechnik (OT) finden sich ICS, SCADA, CPS, IoT, IIoT, AIoT, IPC, RTUs, IoMT, IoE, IACS (Industrielle Automatisierungs- und Steuerungssysteme), Cloud Computing (Cloud, Fog, Edge Computing in der Automatisierung) usw. In der OT-Umgebung sind ICS (Industrielle Steuerungssysteme) autonome Computerkomponenten, die in allen Branchen eingesetzt werden: Fertigung, Ölraffinerien, chemische und pharmazeutische Verarbeitung, Energieerzeugung usw., wo die Produktherstellung auf einer kontinuierlichen Abfolge von Prozessen basiert, die auf Rohstoffe angewendet werden. Durch den Einsatz und die Programmierung von ICS-Komponenten (die wiederum CPS, PLCs, HMIs, MES, SCADA-Server usw. integrieren) lassen sich die verschiedenen Variablen des industriellen Prozesses fernüberwachen und steuern. In diesen Szenarien ist Malware ein reales Risiko. Eine Unterkategorie von ICS sind SIS (Safety Instrumented System), die zum Schutz von Menschen, Industrieanlagen und der Umwelt eingesetzt werden, wenn ein überwachter Prozess die zulässigen Kontrollgrenzen überschreitet (sie werden beispielsweise verwendet, um den Betrieb in Kernkraftwerken, Öl- und Gasanlagen, Wasseraufbereitungsanlagen usw. zu stoppen, wenn Gefahrensituationen erkannt werden). Diese Geräte dienen nicht der Steuerung des Prozesses selbst, sondern der Bereitstellung eines kritischen Notfallsignals, damit im Falle eines Ausfalls des Prozessleitsystems sofort Maßnahmen ergriffen werden können. Auch hier ist Malware ein reales Risiko. Ein SIS besteht aus drei Elementen: (i) Sensorsystem. Dieses System dient der Erfassung der notwendigen Informationen, um festzustellen, ob eine Notfallsituation vorliegt. Die Sensoren messen Prozessparameter wie Temperatur, Druck, Magnetfeld, Luftfeuchtigkeit, Durchfluss, Radioaktivität, elektrische Feldstärke (V/m) und Schadstoffkonzentrationen wie Methylisocyanat, NO₂, SO₂, CO, Dioxine, 666 usw. (ii) Steuerungen (Resolutionslogik). Sie lesen die Sensorsignale und führen vorprogrammierte Aktionen aus, um unerwünschte Situationen zu verhindern, indem sie Ausgaben an die Stellglieder bereitstellen. (iii) Stellglieder. Dies sind Aktoren wie Ein-/Ausschalter, Magnetventile, Lautsprecher, Motoren, Zylinder, Relais, Hupen, Alarme usw., die die logischen Entscheidungen der Steuerung umsetzen. Im Jahr 2018 drang eine hochentwickelte Schadsoftware (genannt Triton) in eines der Triconex SIS-Systeme von Schneider Electric ein, das in einer kritischen Infrastruktureinrichtung eingesetzt wurde. Zur Entwicklung dieser Schadsoftware wurden verschiedene Technologien verwendet, von Windows-basierten Cyberangriffen bis hin zum Reverse Engineering von mikroprozessorbasierter Firmware und Kommunikation. RAT-Schadsoftware ist darauf ausgelegt, die vollständige Kontrolle über das System des Opfers zu erlangen. Es kann dazu verwendet werden, sensible Informationen zu stehlen, das System auszuspionieren, infizierte Geräte fernzusteuern, Sabotageakte durchzuführen usw.

Abschließende Überlegungen.
                  Eine der von Schadsoftware eingesetzten Techniken ist die „Web-Injection“. Dabei werden Windows-API-Funktionen abgefangen, die vom Webbrowser aufgerufen werden. Dieser Vorgang wird als „Hooking“ bezeichnet (eine häufig verwendete Funktion für Web-Injection ist „HttpSendRequestA“). Durch das Abfangen dieser Funktion kann die Schadsoftware HTTP-Anfragen nach sensiblen und vertraulichen Daten wie Anmeldedaten (Benutzername und Passwort), Kreditkartennummern, privaten Schlüsseln usw. durchsuchen. Diese Daten verwendet die Schadsoftware anschließend oder sendet sie an eine Partnerorganisation. Windows-APIs werden zur Ausführung der Schadsoftware genutzt, und dateilose Ausführungsvektoren werden mithilfe von WMI und PowerShell implementiert. Defensive Schadsoftware neutralisiert alle Versuche solcher schädlicher Aktivitäten.
 
Referenzen.
- Areitio, J. „Information Security: Networks, Computing and Information Systems.“ Cengage Learning-Paraninfo. 2020.
- Areitio, J. „Controlling the growing empowerment of malware: identification and exploration of key aspects of malware.“ Conectrónica Magazine. Nr. 240. Februar 2021.
– Areitio, J. „Die Gefahr der Unwissenheit über die Existenz von Malware-Infektionen, die zu sehr ernsten globalen Cyber-Epidemien führen kann.“ Conectrónica Magazin. Nr. 241. März/April 2021.
– Areitio, J. „Erläuterungen zu Malware, Cyber-Pandemien und kritischen Cyber-Epidemien. Schutz vor Malware: Proaktive Verteidigung.“ Conectrónica Magazin. Nr. 242. Mai/Juni 2021.
– Areitio, J. „Zusammenhänge zwischen Malware, Schwachstellen und Exploits: Indikatoren für Infiltration, Infektionsvektoren und Malware-Gefahr.“ Conectrónica Magazin. Nr. 243. Juli 2021.
– Areitio, J. „Anpassung an die Variabilität unentdeckter Malware-Infektionen in allen aktuellen Szenarien, Umgebungen und Ökosystemen.“ Conectrónica Magazin. Nr. 244. September 2021.
– Areitio, J. „Dualität fortschrittlicher intelligenter Malware (offensiv und defensiv), Angriffspunkte und transparente Expansionsoperationen.“ Conectrónica Magazine. Nr. 245. Oktober 2021.
– Areitio, J. „Elemente und Ansätze für den Entwurf und die Synthese fortschrittlicher defensiver intelligenter Malware.“ Conectrónica Magazine. Nr. 246. November 2021.
– Areitio, J. „Entwicklung fortschrittlicher defensiver intelligenter Malware.“ Neutralisierung offensiver Malware-Aktionen. Conectrónica Magazine. Nr. 247. Dezember 2021.
– Karbab, EB, Debbabi, M., Derhab, A. und Mouheb, D. „Android Malware Detection using Machine Learning: Data Driven Fingerprinting and Threat Intelligence.“ Springer. 2021.
– Stanford, E. „Crypto Wars: Faked Deaths, Missing Billions and Industry Disruption.“ Kogan Page. 2021.
– Sanders, C. „Intrusion Detection Honeypots: Detection through Applied Network Defense“.
– Ligh, M.L. „The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory.
“ Modern Malware and Next Generation Threats. No Starch Press. 2019.
– Stamp, M., Alazab, M. und Shalaginov, A. „Malware Analysis Using Artificial Intelligence and Deep Learning“. Springer. 2021.
– Bilge, L., Cavallaro, L., Pellegrino, G. und Neves, N. „Detection of Intrusions and Malware, and Vulnerability Assessment“. 18. Internationale Konferenz, DIMVA 2021. Springer. 2021. 
– Ludwig, M. „The Giant Black Book of Computer Viruses“. American Eagle Books. 2019.
– Mohanta, A. und Saldanha, A. „Malware Analysis and Detection Engineering: A Comprehensive Approach to Detect and Analyze Modern Malware“. Press. 2020.
– Astra, JD „Malware“. Shadow Alley Press. 2021.
– Monnappa, KA „Learning Malware Analysis: Explore the Concepts, Tools, and Techniques to Analyze and Investigate Windows Malware“. Packt Publishing. 2018.