Ein Dropper ist ein kleines, unauffälliges Schadprogramm, dessen einzige Aufgabe darin besteht, die eigentliche Malware auf Deinen Rechner zu bringen. Stell Dir den Dropper wie einen Spion vor, der zuerst unbemerkt eine Tür öffnet, durch die dann das eigentliche Angriffskommando einmarschiert. Moderne Cyberangriffe laufen fast nie in einem Schritt ab – sie sind mehrstufig aufgebaut, und der Dropper ist die erste Stufe.
Wie funktioniert das?
Die Idee hinter mehrstufigen Angriffen ist simpel, aber wirkungsvoll: Je kleiner und unauffälliger der erste Schadcode ist, desto leichter kommt er an Sicherheitslösungen vorbei. Ein Dropper ist oft nur wenige Kilobyte groß, enthält keinen offensichtlich schädlichen Code und sieht für Virenscanner harmlos aus. Manchmal ist er nicht einmal eine eigenständige Datei, sondern ein Makro in einem Word-Dokument, ein PowerShell-Skript oder ein kleiner Code-Schnipsel, der in einem legitimen Programm versteckt ist.
Der typische Ablauf eines mehrstufigen Angriffs sieht so aus:
Stufe 1 – Zustellung: Du erhältst eine Phishing-E-Mail mit einem Anhang oder einem Link. Der Anhang enthält den Dropper – etwa ein Word-Dokument mit Makro oder eine kleine ausführbare Datei, die als Rechnung getarnt ist.
Stufe 2 – Ausführung des Droppers: Wenn Du den Anhang öffnest, wird der Dropper aktiv. Er kontaktiert einen Server der Angreifer (Command-and-Control-Server) und lädt die nächste Stufe herunter. Der Dropper selbst macht nichts Auffälliges – er holt nur Nachschub.
Stufe 3 – Installation der Hauptmalware: Der Dropper installiert die eigentliche Schadsoftware – etwa einen Banking-Trojaner, einen Infostealer oder ein Tool zur Fernsteuerung des Rechners. Diese zweite Stufe ist deutlich mächtiger als der Dropper, aber sie wäre als E-Mail-Anhang sofort aufgefallen.
Stufe 4 – Laterale Bewegung und Eskalation: Die installierte Malware erkundet das Netzwerk, stiehlt Zugangsdaten, breitet sich auf andere Rechner aus und lädt bei Bedarf noch weitere Werkzeuge nach.
Stufe 5 – Finale Aktion: Erst wenn die Angreifer das Netzwerk ausreichend unter Kontrolle haben, schlagen sie richtig zu – etwa mit Ransomware, die alle erreichbaren Systeme gleichzeitig verschlüsselt.
Dieses Prinzip der Stufung hat mehrere Vorteile für die Angreifer. Erstens: Jede Stufe kann separat aktualisiert werden. Wird der Dropper von Virenscannern erkannt, tauschen die Angreifer nur den Dropper aus. Zweitens: Die eigentliche Malware wird erst auf dem Rechner zusammengesetzt, nie komplett über das Internet verschickt. Drittens: Die Angreifer können flexibel entscheiden, welche Malware sie nachladen – je nachdem, was sie auf dem System vorfinden.
Manche Dropper sind sogar modular aufgebaut und können verschiedene Plugins nachladen: ein Modul zum Stehlen von Passwörtern, eines zum Aufzeichnen von Tastatureingaben, eines zur Netzwerk-Erkundung. So entsteht eine maßgeschneiderte Angriffs-Suite.
Beispiele aus der Praxis
Das berühmteste Beispiel für einen mehrstufigen Angriff ist die Emotet → TrickBot → Ryuk-Kette, die zwischen 2018 und 2020 Hunderte von Organisationen weltweit verwüstete:
Alles begann mit einer Phishing-E-Mail. Ein infiziertes Word-Dokument aktivierte den Emotet-Dropper. Emotet lud dann TrickBot nach – einen mächtigen Trojaner, der Passwörter stahl, sich im Netzwerk ausbreitete und den Angreifern Fernzugriff gab. Wenn TrickBot genug Informationen gesammelt hatte, wurde als letzte Stufe Ryuk-Ransomware nachgeladen, die das gesamte Netzwerk verschlüsselte. Von der ersten Phishing-E-Mail bis zur Ryuk-Verschlüsselung vergingen oft nur wenige Tage.
Diese Kette war so verheerend, weil jede Komponente Spezialisten-Arbeit war. Emotet war der beste Dropper auf dem Markt, TrickBot das vielseitigste Werkzeug zur Netzwerk-Infiltration, und Ryuk die profitabelste Ransomware. Zusammen bildeten sie eine nahezu unschlagbare Kombination. Die einzelnen Schadenbeispiele zeigen das Ausmaß: Emotet, TrickBot und Ryuk.
Auch QakBot (QBot) funktionierte nach dem gleichen Prinzip: Der Banking-Trojaner begann als Dropper, der über Phishing-E-Mails verteilt wurde, und entwickelte sich zur Plattform, die verschiedene Ransomware-Varianten nachließ. Mehr dazu in unserem Schadenbeispiel zu QakBot.
Wie schützt Deep Freeze davor?
Mehrstufige Angriffe sind das perfekte Szenario für Deep Freeze – und hier wird der Schutz durch eine eingefrorene Systempartition besonders deutlich. Denn die Stärke mehrstufiger Angriffe liegt in der Persistenz: Der Dropper installiert sich, lädt Malware nach, die sich ebenfalls installiert, die wiederum weitere Werkzeuge nachlädt – alles baut aufeinander auf.
Deep Freeze unterbricht diese Kette radikal. Beim Neustart wird die Systemfestplatte auf den eingefrorenen Zustand zurückgesetzt. Der Dropper? Weg. Die nachgeladene Malware? Weg. Die Autostart-Einträge, die Registrierungsänderungen, die heruntergeladenen Zusatzmodule? Alles weg.
Die Angreifer müssten den gesamten mehrstufigen Prozess nach jedem Neustart von vorne starten – angefangen bei einer neuen Phishing-E-Mail. Das macht den Angriff nicht nur schwieriger, sondern auch auffälliger. Und es nimmt den Angreifern die Zeit, die sie für die Erkundung des Netzwerks und die Vorbereitung des finalen Schlags brauchen.
Gerade bei der Emotet → TrickBot → Ryuk-Kette, die typischerweise Tage dauerte, hätte ein einziger Neustart die gesamte Angriffskette unterbrochen. Statt „kleine Vorhut öffnet die Tür für die Hauptmacht" heißt es mit Deep Freeze: „Die Tür schließt sich bei jedem Neustart von selbst."
Mehrstufige Angriffe sind die gefährlichste Angriffsform, weil sie schrittweise vorgehen und klassische Sicherheitslösungen Stufe für Stufe überlisten. Deep Freeze macht einen einzigen Neustart zum Gamechanger: Die gesamte Angriffskette bricht zusammen, weil keine Stufe den Reboot überlebt.