Die Zahl der Malware-Infektionen in Unternehmen nimmt stetig zu. Angreifer nutzten dafür lange Zeit E-Mail-Anhänge mit Office-Dokumenten und maliziösen Makros. Microsoft versucht die Bedrohung einzudämmen, indem Office-Makros aus externen Quellen standardmäßig deaktiviert werden. Dadurch sind die Angreifer gezwungen, auf andere Vehikel für ihren Schadcode auszuweichen.
Angreifer finden immer kreative Wege, um Schadsoftware in Firmennetzwerke zu schleusen. Welche das sind, was sie so gefährlich macht und wie man sich dagegen wehren kann, beschreibt dieser Artikel.
(Bild: sitthiphong - stock.adobe.com)
Cybercrime ist und bleibt eine der größten Gefahren für die Unternehmens-IT. Als Einfallstor nutzen Angreifer dafür in den meisten Fällen E-Mails mit maliziösen Anhängen oder Links, die zu potenziell gefährlichen Dateien führen.
Bei den maliziösen Anhängen bzw. Dateien handelte es sich in den letzten Jahren zu einem Großteil um entsprechend präparierte Office-Dokumente für Word und Excel. In diesen ist Schadcode in Form von Makros eingebettet, der nach Öffnen des Dokuments zur Ausführung kommt und weitere Schadsoftware nachlädt.
Mit der Anfang 2022 von Microsoft getroffenen Entscheidung, Makros bei Office-Dokumenten, die aus dem Internet stammen (dies beinhaltet auch Dokumente, die per E-Mail empfangen werden), standardmäßig zu deaktivieren, wurde den Angreifern ein wichtiger Teil ihrer Angriffskette genommen.
Angreifer müssen heutzutage genauso wirtschaftlich arbeiten wie Unternehmen und wählen daher Methoden, die sich leicht umsetzen lassen – aber dennoch eine hohe Erfolgsquote bieten. Um also trotz Wegfall von Makros in Office-Dokumenten möglichst viele Systeme zu infizieren, müssen Angreifer auf alternative Methoden ausweichen. Welche das sind und wie man sich gegen diese wehren kann, beschreibe ich im nachfolgenden Text. Dabei liegt der Fokus auf den Methoden, die am häufigsten vorkommen und stellt keine vollständige Liste aller Methoden dar.
Angriffstechniken
HTML / JavaScript
Üblicherweise werden HTML-Dateien auf Servern gehostet, um dort Informationen für Clients bereitzustellen. Diese HTML-Dateien werden von Browsern wie Chrome und Firefox ausgewertet und entsprechend dargestellt. Allerdings lassen sich HTML-Dateien auch lokal abspeichern und beispielsweise per E-Mail versenden. Aktuell können wir einen Anstieg von HTML-Dateien beobachten, die per E-Mail-Anhang verschickt werden. In diesen finden sich dann gefälschte Anmeldemasken oder Verweise auf solche, um Zugangsdaten abzugreifen. Hierbei handelt es sich um klassische Phishing-Angriffe.
Eine andere Technik, um Malware auf einem System zu platzieren, ist das sogenannte HTML Smuggling. Dabei wird ein Klick auf ein HTML-Objekt automatisiert/simuliert und es erfolgt ein automatischer Download einer Datei. Diese Datei ist oft ein passwortgeschütztes ZIP-Archiv, in dem sich dann die eigentliche Malware befindet. Das Passwort zum Öffnen des ZIP-Archivs wird dem Benutzer beim Öffnen der HTML-Datei angezeigt. Die HTML-Dateien enthalten das ZIP-Archiv und es ist kein Download erforderlich – auch wenn es für den User so aussieht. Um die Analyse zu erschweren, werden hier diverse Verschlüsselungs- und Verschleierungsmethoden angewendet. Wichtig zu wissen ist jedoch, dass aus diesen heruntergeladenen Dateien keine Malware automatisch starten kann. Es ist immer ein Klick durch den User notwendig.
Anders verhält es sich bei JavaScript-Dateien. Öffnet der User diese durch einen Doppelklick, kommt es zur Ausführung von Schadcode. Dieser lädt oft weitere maliziöse Software herunter und ruft den Schadcode ab. Ein weiteres Zutun des Users ist hier nicht erforderlich und die Aktionen finden unbemerkt statt.
Einen Mittelweg bieten dabei sogenannte HTA-Dateien (HTML Application). Diese haben einen fest definierten Aufbau und können HTML- und JavaScript-Code enthalten. Auch hier reicht es bereits aus, diese lediglich zu öffnen. Dadurch, dass HTML mit eingebunden werden kann, ist es für den Angreifer leicht, eine Fake-Meldung zu generieren. Ein bekanntes Beispiel dafür ist der Credential Stealer AgentTesla, der für den User aussieht, als würde es sich um eine „Customer Service“-Meldung handeln. Im Hintergrund wurde jedoch die Schadsoftware ausgeführt und Zugangsdaten gestohlen.
OneNote
Als gute Alternative zu den „klassischen“ maliziösen Office-Dateien erwies sich Anfang 2023 die Verwendung von OneNote-Dateien. Da es sich bei OneNote-Dateien um ein komplexes Dateiformat handelt, lassen sich dort Dateien einbetten. Angreifer nutzen dieses Dateiformat, um Skripte und ausführbare Dateien in OneNote-Dateien zu verstecken. Da bei den meisten Microsoft Office-Installationen ein OneNote integriert ist, erwies sich diese Methode als sehr erfolgreich.
Öffnet ein User die empfangene OneNote-Datei erscheint zunächst eine harmlos aussehende Seite wie z. B. in folgendem Screenshot.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Als gute Alternative zu den „klassischen“ maliziösen Office-Dateien erwies sich Anfang 2023 die Verwendung von OneNote-Dateien.
(Bild: Controlware)
Um den Angriff zu starten, muss der User auf einen bestimmten Bereich in der OneNote-Seite doppelt klicken. Dabei handelt es sich um Verknüpfungen zu den eingebetteten Skripten oder ausführbaren Dateien. Die Skripte laden dabei weiteren Schadcode aus dem Internet nach und führen diesen aus. Berühmte Beispiele sind Emotet und QakBot.
ISO-Dateien
Bei einer ISO-Datei handelt es sich eigentlich um ein Abbild einer CD/DVD. Seit Windows 10 können ISO-Dateien per Doppelklick ins System „eingebunden“ werden. Sie erscheinen als weiteres Laufwerk und sind so in der Handhabung für den Benutzer sehr einfach. Der Benutzer sieht einen weiteren Ordner und in diesem lassen sich, wie in jedem anderen Ordner auch, Dateien als „versteckt“ markieren. Dies nutzen die Angreifer, um den eigentlichen Schadcode zu verschleiern.
Seit Windows 10 können ISO-Dateien per Doppelklick ins System „eingebunden“ werden. Dies nutzen die Angreifer, um Schadcode zu verschleiern.
(Bild: Controlware)
Im Screenshot sieht man nur ein einzelnes Objekt, das aussieht wie ein PDF-Dokument. In Wirklichkeit handelt es sich jedoch um eine Verknüpfung auf eine versteckte ausführbare Datei. Dieses Skript startet anschließend eine ebenfalls versteckte DLL, bei der es sich um einen Loader für weitere Malware handelt.
ZIP-Archiv
Da die meisten Unternehmen eine Firewall am Perimeter einsetzen, die Downloads und E-Mail-Anhänge prüft und gefährliche Dateitypen ablehnt, müssen Angreifer ihre Dateien verschleiern. Dafür kommt gerne das ZIP-Format zum Einsatz. Hier machen es sich die Angreifer zu Nutze, dass Windows seit Version 10 ohne Zusatzsoftware ZIP-Archive öffnen kann.
Eine Firewall, die den Inhalt des ZIP-Archivs nicht prüft, kann so bereits ausgetrickst werden. Um den Inhalt des ZIP-Archivs jedoch noch besser zu schützen, können Angreifer das ZIP-Archiv mit einem Passwort versehen, das dann beispielsweise im E-Mail-Text enthalten ist. Sandboxen versuchen daher, den E-Mail-Text ebenfalls auszuwerten und untersuchen diesen auf Passwörter. Um dieses Vorgehen zu erschweren, wird das Passwort in Textform durch ein Bild mit Text ersetzt.
In ZIP-Archiven lassen sich eine Vielzahl von Schadcode-Varianten unterbringen. Die häufigsten Methoden sind dabei ausführbare Dateien (exe), Skripte wie PowerShell, JavaScript, VBScript und LNK-Dateien.
Ein Nachteil für Angreifer gegenüber ISO-Archiven besteht jedoch darin, dass sich in ZIP-Archiven keine Dateien verstecken lassen, da diese nicht wie ein Laufwerk gehandhabt werden. (Vergleiche dazu Abschnitt „ISO-Dateien“.)
Add-ins für Office
Bei Office Add-ins ist es für einen Angreifer trivial, Schadcode unterzubringen.
(Bild: Controlware)
Bei Add-ins handelt es sich um Software, die die Funktionalitäten bestimmter Anwendungen erweitern. Für Word und Excel existieren dafür zwei verschiedene Dateitypen, nämlich WLL und XLL. Faktisch handelt es sich bei diesen Dateien um DLLs in einem entsprechenden Format. So müssen diese zum Beispiel bestimmte Funktionen zur Verfügung stellen, damit sie von Word/Excel genutzt werden können. Da es sich bereits um DLLs handelt, ist es für einen Angreifer trivial, Schadcode unterzubringen. Der Versand dieser Dateien erfolgt oftmals via E-Mail. Für den Angreifer ist äußerst praktisch, dass das Standard-Icon für diese Dateien dem von Word bzw. Excel ähnelt. Dadurch, dass es sich um ein bekanntes Icon handelt, sind Benutzer eher dazu verleitet, diese Dateien zu öffnen, als bei unbekannten Dateien.
Der einfachste Weg, dass der Schadcode abgerufen wird, besteht für den Angreifer darin, diesen in der Funktion „xlAutoOpen“ bzw. „xlAutoClose“ unterzubringen. Wie die Namen bereits implizieren, werden diese Funktionen beim Öffnen bzw. Schließen von Excel automatisch ausgeführt. Für den Benutzer ist diese Aktion nicht sichtbar.
Drive-by Malware / Malvertising
Seit einiger Zeit haben Angreifer eine alternative Möglichkeit entdeckt, die weder den Versand von maliziösen Anhängen noch die Kompromittierung von Schwachstellen erforderlich macht. Durch die Schaltung von Anzeigen auf Google und Bing erreichen Angreifer eine große Reichweite, ohne selbst aktiv zu werden. Diese Technik nennt sich Malvertising – ein Wortspiel aus Malware und Advertising.
Seit einiger Zeit nutzen Angreifer Anzeigen auf Google und Bing um eine große Reichweite zu erreichen, ohne selbst aktiv zu werden.
(Bild: Controlware)
Es werden dabei Anzeigen für bekannte Software, u. a. VLC Player, Anydesk, Audactiy, Blender etc. geschaltet. Durch entsprechende Manipulation (SEO) der Suchergebnisse erscheinen die Anzeigen anschließend als Erstes, sobald ein User entsprechende Suchbegriffe eingibt.
Um die Ergebnisse noch authentischer wirken zu lassen, werden dabei auch entsprechende Domänen registriert, die der Original-Domäne ähneln. Ein berühmtes Beispiel ist die Verwendung von vIc.de, statt vlc.de. Anstatt des kleinen Buchstaben L wird ein großes I verwendet. Der Unterschied ist nicht zu erkennen. Zusätzlich werden die Original-Webseiten 1:1 nachgebaut. Sobald ein User die Software herunterlädt und startet, wird die Original-Software installiert, so dass der User gar nicht bemerkt, dass im Hintergrund Malware gestartet wurde. Oftmals werden hier sogenannte Credential Stealer verbreitet, die Zugangsdaten aus Browsern, FTP-Programmen etc. stehlen und an den Angreifer versenden, der diese anschließend im Darknet verkauft.
Angriffe auf Zero-Day-Schwachstellen
Immer wieder kommt es vor, dass sogenannte Zero-Day-Schwachstellen in Software entdeckt werden. Für diese Systeme gibt es keinen Patch und in der Regel ist es schwierig, die Systeme durch Konfigurationsänderungen abzusichern. Besonders kritisch wird es, wenn es sich dabei um Systeme handelt, die über das Internet erreichbar sind.
Bekannte Beispiele sind dabei die Schwachstellen in Microsoft Exchange oder die Citrix Schwachstellen der letzten Jahre. Dabei kann je nach Art der Schwachstelle Code durch den Angreifer zur Ausführung gebracht und das verwundbare System übernommen werden. Gerade in den genannten Beispielen hat dies weitreichende Folgen für das betroffene Unternehmen, da diese Systeme kritische Informationen und Anmeldedaten enthalten, die vom Angreifer missbraucht werden können. So war es beispielsweise im Falle der Citrix Schwachstelle für den Angreifer möglich, anschließend in das interne Netzwerk zu gelangen, Ransomware zu verbreiten und das Opfer zu erpressen.
Neben Serversystemen, die direkt aus dem Internet erreichbar sind, sind natürlich auch Systeme wie Laptops und Workstations, die sich im internen Netzwerk befinden und nicht von außen erreichbar sind, verwundbar für Zero-Day-Schwachstellen. Interessant sind dabei Schwachstellen in häufig verwendeten Anwendungen wie Browsern, PDF- und Office-Anwendungen etc.
Supply-Chain-Angriffe
Eine weitere Möglichkeit Malware in ein Unternehmens-Netzwerk einzuschleusen sind Supply-Chain-Angriffe. Dabei wird das Ziel-Unternehmen nicht direkt angegriffen, sondern ein Unternehmen, dessen Software das Ziel-Unternehmen einsetzt.
Ein berühmtes Beispiel ist dabei der Angriff auf das Unternehmen Solarwinds, das unter anderem Software für IT-Abteilungen zur Überwachung von Systemen erstellt. Den Angreifern ist es dabei gelungen, ihren Schadcode in die sogenannte Orion-Software einzubetten. Aufgrund der Tatsache, dass IT-Systeme überwacht werden, hat die Software entsprechend weitreichende Berechtigungen. Besonders pikant ist dabei, dass Solarwinds empfohlen hat, die Pfade, in denen die Software installiert ist, von Antivirenscannern auszuschließen, wodurch der Angriff noch länger unbemerkt blieb bzw. nicht verhindert wurde.
Ein weiteres Beispiel ist der Angriff auf 3CX. 3CX ist der Hersteller einer häufig in kleineren und mittleren Unternehmen eingesetzten VoIP-Software. Interessant an diesem Vorfall ist, dass der Angreifer eigentlich ein anderes Unternehmen, nämlich Trading Technologies, angegriffen hatte. In der Trading Software, die von Trading Technologies bereitgestellt wird, wurde anschließend Schadsoftware untergebracht. Ein Mitarbeiter von 3CX hat zufällig diese kompromittierte Version der Trading Software heruntergeladen und ausgeführt. Dies erlaubte den Angreifern von Trading Technologies den Zugriff auf das Netzwerk von 3CX und schlussendlich die Kompromittierung der 3CX VoIP-Software. Der Schadcode für die VoIP-Software wurde per (Auto-)Update verteilt und gelangte so auf eine große Anzahl von Systemen.
Erkennung & Abwehr
Angreifer werden immer wieder neue Angriffstechniken entdecken oder entwickeln. Als Unternehmen ist man dem jedoch nicht chancenlos ausgesetzt, sondern kann sich dagegen wehren, indem bestimmte Maßnahmen ergriffen werden, die einen Angreifer auch trotz bisher unbekannter Angriffstechniken entdecken. „Assume Breach“ bedeutet in dem Zusammenhang, dass angenommen wird, der Angreifer befindet sich bereits im Netzwerk. Bei den betrachteten Angriffstechniken würde das bedeuten, dass zum Beispiel ein E-Mail-Gateway den maliziösen Anhang nicht erkannt und gestoppt hat. Der Fokus der Abwehrmaßnahmen liegt daher auf dem Endpunkt. Um Angriffe erkennen und abwehren zu können, werden sogenannte Endpoint Dection and Reponse (EDR)-Systeme eingesetzt. Diese überwachen alle Aktivitäten auf den Systemen und stoppen erkannte Angriffe. Zusätzlich werden alle Informationen über diese Aktivitäten auch an ein zentrales Management übergeben. Diese Information – Telemetrie-Daten genannt – können von den Controlware Security-Experten nach bestimmten Mustern/Anomalien durchsucht werden. Diese Vorgehensweise machen wir uns im nachfolgenden Abschnitt zu Nutze und erstellen Abfragen, die in den vorhandenen Daten nach Anomalien suchen.
Alle nachfolgenden Erkennungsregeln wurden auf Basis des EDR-Systems „SentinelOne“ erstellt und getestet.
HTML / JavaScript
Trotz der weiten Verbreitung von HTML-Mails ist der Empfang von HTML-Dateien als Anhang doch eher selten im regulären IT-Alltag der meisten Benutzer. JavaScript-Dateien sind dabei sogar noch seltener.
Um bereits den Empfang als E-Mail-Anhang einer verdächtigen HTML-/Javascript-Datei zu erkennen, ist es möglich, nach Schreiboperationen zu suchen, die nach genau diesem Verhalten suchen. Outlook legt Anhänge nämlich immer im selben Ordner ab, was es uns erlaubt, die Suche sehr stark einzuschränken und Falscherkennungen zu reduzieren.
Die nachfolgende Abfrage sucht dabei nach Schreiboperationen, die durch Outlook ausgeführt wurden und als Zielpfad „Content.Outlook“ und als File-Extension „html“, „js“ oder „hta“ enthalten.
SrcProcName Contains "OUTLOOK" and TgtFilePath Contains "AppData\Local\Microsoft\Windows\INetCache\Content.Outlook" and (TgtFileExtension ContainsCIS "html" or TgtFileExtension ContainsCIS "js" or TgtFileExtension ContainsCIS "hta")
Um die Ausführung von maliziösem Javascript-Code zu erkennen, können wir nach ungewöhnlichen Prozessbeziehungen suchen. Ein klassisches Beispiel ist dabei ein CMD- oder Powershell-Prozess, der von mshta gestartet wird und HTA-Dateien ausführt. Der häufigste Einsatzzweck von HTA-Dateien sind heutzutage Dokumentationen für Software-Bibliotheken. Dabei werden Informationen nur angezeigt und es starten keine weiteren Unterprozesse.
Ähnliches gilt für Javascript-Dateien, also nicht eingebettet in HTML-Code, die auf Windows-Systemen direkt durch wscript ausgeführt werden. Auch hier sollten keine CMD-/Powershell-Prozesse auftauchen. Etwas allgemeiner lässt sich nach ungewöhnlichen Prozessen unterhalb von wscript suchen.
SrcProcName ContainsCIS "wscript" and EventType = "Process Creation" and TgtProcName In Contains Anycase ("mshta","cmd","powershell","rundll32","regsvr32","wscript","cscript")
OneNote
Ähnlich zur Erkennung von HTML-Dateien, die per Outlook geschrieben werden, können wir auch den Empfang von OneNote-Dateien per E-Mail-Anhang erkennen, indem wir nach Dateien suchen, die die Endung „one“ haben und im entsprechenden Outlook-Verzeichnis abgelegt werden. Dies geschieht automatisch bei Empfang der E-Mail durch Outlook.
SrcProcName Contains "OUTLOOK" and TgtFilePath Contains "AppData\Local\Microsoft\Windows\INetCache\Content.Outlook" and TgtFileExtension ContainsCIS "one"
Da OneNote-Dateien in den meisten Unternehmen eher selten per E-Mail verschickt werden, sollte sich die Zahl der Falscherkennungen in Grenzen halten.
Neben dem Empfang der Datei wollen wir aber auch das Verhalten von OneNote analysieren. Dazu wählen wir zwei verschiedene Ansätze. Im ersten suchen wir nach Dateien, die von OneNote geschrieben werden, sobald eine OneNote-Datei geöffnet wird. Eingebettete Dateien werden damit immer im selben Pfad abgelegt und wir suchen nach Anomalien.
SrcProcName Contains "ONENOTE" and TgtFilePath Contains "AppData\Local\Temp\OneNote" and TgtFileExtension In AnyCase ("bat","cmd","ps1","hta","exe")
Um die Ausführung von Schadcode zu erkennen, suchen wir zusätzlich nach Prozessen, die von OneNote gestartet werden, aber selten sind. Um nur nach der Prozesserstellung zu suchen, schränken wir die Suche nach „Process Creation“ ein und haben eine Liste von Prozessen, die üblicherweise nicht durch OneNote gestartet werden.
SrcProcName Contains "ONENOTE" and EventType = "Process Creation" and TgtProcName In Contains Anycase ("mshta","cmd","powershell","rundll32","regsvr32","wscript","cscript")
ISO
Ursprünglich wurden ISO-Dateien als Abbild-Dateien von CD/DVDs entwickelt. Die Größe entspricht damit üblicherweise dem Inhalt einer CD/DVD. Bei den ISO-Dateien, die jedoch von Angreifern verwendet werden, ist die Größe deutlich geringer – insbesondere, wenn diese per E-Mail versendet werden. Dies erlaubt uns, nach ISO-Dateien zu suchen, die ungewöhnlich klein sind. Wir suchen dabei nach ISO-Dateien, die zwischen 500 Bytes und 50 MB groß sind.
TgtFileExtension EndsWithCIS "iso" and FilePath ContainsCIS ".iso" and EventType = "File Creation" and TgtFileSize BETWEEN "500" and "52428800"
Wie wir gesehen haben, verwenden Angreifer oft versteckte Dateien und LNK-Dateien, die auf diese versteckten Dateien verlinken, um den Benutzer dazu zu verleiten, die Malware auszuführen. Wir können daher nach Prozessen suchen, die durch LNK-Dateien gestartet werden, wo sich die LNK-Datei nicht auf C:\ befindet und das Ziel einer der typischen Prozesse ist.
IndicatorName = "ProcessStartedFromLnk" and IndicatorMetadata Does Not ContainCIS "Path: \"C:" and SrcProcParentDisplayName ContainsCIS "explorer" and SrcProcName In AnyCase ("cmd","powershell","rundll32","regsvr32","wscript","cscript")
ZIP-Archive
Leider nutzen Angreifer vermehrt passwortverschlüsselte ZIP-Archive, was dazu führt, dass Sandboxen Schwierigkeiten haben, den Inhalt zu analysieren. Wie oben beschrieben, versuchen Sandboxen das Passwort zu erraten bzw. aus dem E-Mail-Inhalt zu ermitteln. Schlägt dies fehl, landet das ZIP-Archiv jedoch nicht selten beim Empfänger und kann dort Schaden anrichten.
Um zu erkennen, ob sich Schadcode im ZIP-Archiv befindet, müssen wir daher warten, bis der Benutzer das Archiv entweder entpackt oder den Inhalt direkt aus einer entsprechenden Anwendung, z. B. 7-ZIP, heraus öffnet.
Add-ins für Office
Je nach Unternehmen sind Add-Ins für Excel/Word mehr oder weniger verbreitet, daher können wir nach Schreiboperationen für XLL-Dateien suchen. Da diese Abfrage potenziell sehr viele Falscherkennungen produziert, sind eventuell weitere Anpassungen der Abfrage erforderlich.
EventType = "File Creation" and EndpointOS = "windows" and SrcProcName != "OfficeClickToRun.exe" and (TgtFileExtension RegExp "xll$" and TgtFilePath RegExp "\.xll$" )
Zusätzlich ist es möglich, nach ungewöhnlichem Verhalten von Office-Produkten zu suchen – was auf die Ausführung von Schadcode hindeuten kann. Hier lässt sich feststellen, dass Angreifer darin beschränkt sind, wie sie Schadcode zur Ausführung bringen. Dieser Umstand ermöglicht es, die Anzahl der Prozesse, nach denen gesucht werden soll, stark einzuschränken. Die häufigsten Kandidaten sind dabei Powershell und Command Shell, um weitere Schadsoftware herunterzuladen oder rundll32/regsvr32, die die heruntergeladene Schadsoftware ausführen.
EndpointOS = "windows" and SrcProcParentName In AnyCase ("Microsoft Word","WINWORD.EXE","Microsoft Excel","EXCEL.EXE","Microsoft Outlook","OUTLOOK.EXE","Microsoft Powerpoint","POWERPNT.exe“, "EQNEDT32.EXE") and SrcProcName In AnyCase ("powershell.exe","cmd.exe","python.exe","rundll32.exe","regsvr32.exe","wscript.exe","cscript.exe","scrcons.exe","schtasks.exe","wmic.exe", "mshta.exe","msiexec.exe","forfiles.exe","scriptrunner.exe","mftrace.exe","svchost.exe","msbuild.exe")
Drive-by-Malware
Grundsätzlich sollten Benutzer keine Administratorenrechte auf Clients besitzen. Zudem ist es ratsam, per Policy die Installation von Fremdsoftware zu verbieten. Natürlich lässt sich nicht immer verhindern, dass Benutzer Software herunterladen. Daher empfiehlt es sich, heruntergeladene Software automatisiert in einer Sandbox zu testen und erst bei entsprechend negativem Ergebnis dem Benutzer zur Verfügung zu stellen. Da Angreifer jedoch immer ausgefeiltere Methoden verwenden, um ihren Schadcode zu verstecken, kann dies keinen 100%igen Schutz bieten.
Sollte die Software tatsächlich ausgeführt/installiert worden sein, gibt es weitere Möglichkeiten, zu erkennen, ob es sich um Schadsoftware handelt. Dazu zählt ein ungewöhnliches Verhalten, beispielsweise die Informationsbeschaffung über die Domäne und Domänenadministratoren via adfind oder der Zugriff auf gespeicherte Zugangsdaten in Browsern und anderen Programmen.
Zero-Day-Schwachstellen
Leider werden immer wieder Schwachstellen bekannt, für die es keinen Patch gibt. Erfahren Angreifer frühzeitig von der Schwachstelle und es existiert ein Exploit, um diese auszunutzen, werden Angreifer so viele Systeme wie möglich kompromittieren, so u. a. geschehen bei den Schwachstellen in Microsoft Exchange Anfang 2021. Um den Schaden zu begrenzen und den Aufwand für Angreifer zu erhöhen, bietet es sich an, Härtungsmaßnahmen nach bekannten Standards, wie BSI, NIST, CIS Benchmarks, anzuwenden. Dazu zählt auch, die Systeme soweit wie möglich voneinander zu trennen und beispielsweise Systemen in einer DMZ nicht den Zugriff auf das Active Directory zu ermöglichen. Die Kompromittierung eines exponierten Systems soll nicht gleich den Weg in das Firmennetzwerk ebnen. Für einige Systeme bietet es sich sogar an, diese bei einem externen Dienstleister zu hosten und so keine Schnittstelle zwischen exponiertem System und internen Netzen zu bieten.
Um bei Bekanntwerden einer Zero-Day-Schwachstelle entsprechend reagieren zu können, muss natürlich bekannt sein, welche Systeme überhaupt von der Schwachstelle betroffen sein könnten. Dazu empfiehlt sich ein (automatisiertes) Asset Management, in dem alle Systeme inklusive installierter Software mit Versionsständen aufgelistet sind. Im besten Falle lassen sich anschließend alle Systeme über eine einfache Suche finden und entsprechende Gegenmaßnahmen einleiten bzw. können diese nach Spuren für eine erfolgreiche Ausnutzung der Schwachstelle untersucht werden.
Aber auch wenn keine Informationen über eine Zero-Day-Schwachstelle bekannt sind, ist es möglich, Anomalien oder auffälliges Verhalten über entsprechende Software (EDR-Systeme) zu ermitteln. Dazu zählen u. a. die Erstellung von Webshells in wwwroot, ungewöhnliche Verbindungen bzw. Datenabfluss, Zugriff auf in Programmen gespeicherte Zugangsdaten oder die interne Bewegung von Angreifern mit bekannten Hacking-Tools (Cobaltstrike, Metasploit, Empire etc.).
Supply-Chain-Angriffe
Die Abwehrmaßnahmen zu Supply-Chain-Angriffen unterscheiden sich kaum von denen für Zero-Day-Schwachstellen.
Manche Software-Hersteller empfehlen aus Kompatibilitätsgründen, die Installationspfade der Software zur Ausnahmenliste der Antiviren-/Security-Lösung hinzuzufügen. Dies ist jedoch nicht empfehlenswert, da durch pauschale Ausnahmen, also ohne dass die Security-Software tatsächlich die Funktionalität behindert, auch Angreifern die Möglichkeit gegeben wird, Schadsoftware in diesen Pfaden abzulegen. Ein Beispiel dafür war die Supply-Chain-Attacke auf Solarwinds/Orion. Durch die großzügigen Ausnahmen in der Antiviren-Software konnten die Angreifer ihre Schadsoftware auf die betroffenen Systeme bringen und ausführen. Die Empfehlung lautet daher, nur einzelne Software-Bestandteile in eine Ausnahmenliste hinzuzufügen, die tatsächlich durch die Security-Software geblockt werden.
Fazit
Wir haben gesehen, dass Angreifer immer kreative Wege finden, um Schadsoftware in Firmennetzwerke zu schleusen. Dabei werden häufig die einfachsten und (kosten)effizientesten Mittel gewählt. Durch die Verschiebung des Fokus von der netzwerkbasierten Erkennung am Perimeter hin zur kontinuierlichen Überwachung von Endgeräten ist es plötzlich möglich, ungewöhnliches Verhalten der Systeme zu erkennen. Angreifer können eigene Software auf Systemen installieren bzw. ausführen, um ihre Ziele zu erreichen oder die bereits vorhandene Software verwenden. Die Verwendung externer (Schad-)Software ist jedoch auffällig, was dazu führt, dass Angreifer in ihrer Auswahl eingeschränkt sind. Dieser Umstand kann zum eigenen Vorteil genutzt werden, um zu erkennen, wann das Verhalten der bereits vorhandenen Software vom Standard abweicht, was ein Indikator für Angreifer-Aktivität sein kann.
Selbst für komplexere Angriffstechniken, wie Drive-by-Malware, Zero-Day-Schwachstellen und Supply-Chain-Angriffen, lassen sich (generische) Erkennungen entwickeln, um den Angreifer beispielsweise beim Zugriff auf gespeicherte Zugangsdaten zu entdecken oder Bewegungen innerhalb des Netzwerks zu beobachten.
Zusammenfassend lässt sich sagen, dass durch gezielte Beobachtung der aktuell eingesetzten Angriffstechniken auch Erkenntnisse für noch unbekannte Angriffstechniken gewonnen werden können. Diese erlauben es, nach Spuren zu suchen, die Angreifer mit hoher Wahrscheinlichkeit in den Telemetrie-Daten zurücklassen. So ist es möglich, Angreifer selbst dann zu identifizieren, wenn die initiale Angriffstechnik nicht erkannt wurde. Wichtig ist dabei, die erstellten Erkennungsregeln regelmäßig auf Gültigkeit zu überprüfen und gegebenenfalls zu aktualisieren bzw. zu erweitern. Auf diese Art und Weise erreicht man eine hohe Erkennungsrate und ist den meisten Angreifern einen Schritt voraus.
Über den Autor: Dominik Degroot ist Senior Cyber Security Analyst Malware bei Controlware.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/66/82/66823f0785b0ad041cdc81eb864b3a9f/0124884590v2.jpeg "Die Analyse der aktuellen TA406-Kampagne gegen die Ukraine unterstreicht, wie flexibel und zielgerichtet staatlich unterstützte Hackergruppen nicht nur aus Nordkorea mittlerweile agieren. (Bild: © Vitalii - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")