:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Dateilose Schadsoftware Fileless Malware eine neue Bedrohung?
Schadsoftware ist immer besser zu managen und die jahrelangen Anstrengungen der Security-Industrie machen sich endlich bemerkbar. Doch am Horizont taucht eine neue Bedrohung auf, die alles über den Haufen werfen könnte: Fileless Malware
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Fileless Malware (FM) hat den Nimbus, einer wirklich fiesen IT-Attacke! Denn anders als bei klassischer Malware lässt sich FM deutlich schwerer entdecken. Normale Malware nistet sich in Dateien auf der Festplatte eines Systems ein und kann dort von einem Antivirus-Tool entdeckt und bekämpft werden. Aber bei FM, die nur Arbeitsspeicher agiert oder in anderen schwer überprüfbaren Bereichen ist die Antivirus-Software oft machtlos. Vor allem dann, wenn FM, wie heute üblich, in tausenderlei Gestalt existiert (Polymorphismus ) und bei jedem Reboot des attackierten Systems aus dem RAM gelöscht wird.
Dateilose Malware?
Die Deutschsprachige Übersetzung von Fileless zu „Dateilose“ Malware ist etwas unglücklich gewählt. Denn im Segment der FM sind diverse Varianten möglich. Es gibt Malware, deren Infektionsprogrammcode nur im RAM existiert, während ein nachgeladener Exploit dann im Dateisystem vorhanden ist. Es gibt aber auch FM die sich in der Registry sehr wohl fühlt, wobei aber die Registry letztendlich auch eine (System-)Datei ist. Auch reine RAM-FM wie Poweliks ist im Segment vertreten.
FM ist keine neue Bedrohung. Poweliks beispielsweise wurde bereits im August 2014 entdeckt. Die Malware checkt zunächst ob Windows PowerShell installiert ist (Wenn nicht, wird dies automatische nachinstalliert) und erstellt dann per API-Call “ZwSetValueKeyder“ einen NULL-Autostart-Eintrag in der Registry. Dieser Eintrag hat keinen „Namen“, und ist daher für den normalen Anwender unsichtbar, wird aber bei einem Systemstart ausgeführt.
Dabei wird ein Code aktiviert, der weitere Manipulationen vornimmt und letztendlich via DLLHOST.EXE weitere Schadsoftware ausführt.
Auch Bedep und die Kotver-Familie sind weitere Vertreter im Segment FM. Beide dienen als Türöffner, die dann die eigentliche Schadsoftware, z.B. Exploit-Kits wie Angler nachladen.
Wenig Samples
CoinVault, Crigent (aka PowerWorm), PhaseBot, PowerSniff, USB Thief, XseKit sind einige der bekannteren FM-Vertreter, deren Aufstieg 2013/2014 begann und Ende 2015 seinen vorläufigen Höhepunkt erreichte. Aktuell ist es eher ruhig geworden um FM und die Gründe dafür sind vielschichtig.
Zum einen ruhen sich Security-Unternehmen und Produkt-Hersteller nicht auf Ihren Lorbeeren aus, sondern versuchen ständig Lücken (Vulnerabilities) zu schließen und Ihre Produkte besser zu machen. Davon betroffen ist u.a. die Benutzerkontensteuerung bei Windows (UAC ), die Vergabe von Privilegien Skriptsprachen (Javascsript, PowerShell…) und auch die Funktionen von WebBrowser Controls.
Anderseits wird heutzutage der Datenstrom besser kontrolliert und so lässt sich FM abfangen, bevor sie den Endpoint attackieren kann. Wobei Anwender, die (unbewusst) Security-Kontrollen umgehen, indem Sie z.B. einen USB-Speicherstick von einer Veranstaltung oder aus dem heimischen Umfeld mitbringen, wieder eine Schwachstelle im Kontrollsystem schaffen.
Letztendlich ist es aber auch technisch anspruchsvoller, dateilose Schadsoftware zu erstellen, der es gelingt sich an allen verbesserten Kontrollinstanzen vorbei zu schmuggeln. Doch dank unvorsichtiger Anwender, ungesicherter Systeme, überalterter Konzepte und anderer Schwachstellen, gibt es einfacher Wege mit Malware erfolgreich zu agieren. Weshalb sollten sich Cyberkriminelle also die Mehrarbeit machen?
Keine Zukunft für FM
Ist Fileless Malware tot? Nein, definitiv nicht. Der „Proof Of Concept “ wurde erbracht und FM hat gezeigt, dass sich immer wieder neue, andere Infiltrationswege in ein System ergeben. Malware und Cyberkriminelle agieren dynamisch – feste Regeln und Normen sind nicht üblich.
Mal wird dies Verfahren genutzt, mal ein anders. Derzeit genießen Makro-Viren wieder mehr Aufmerksamkeit, nachdem dieses alte Infektionsverfahren eine länger „Pause“ hatte.
Für die Praxis bedeute dies, dass Sicherheitsverantwortliche trotzdem dateilose Malware im Auge und Maßnahmenkatalog behalten sollten. Dazu zählt z.B.:
- 1. Security-Updates für das Betriebssystem und die Applikationen einsetzen
- 2. Web-Blocking für WebSeiten die Exploit Kit‘s hosten oder bekannte C&C-Server sind
- 3. Unterbinden von C&C-Kommunikation und Download der Malware-Payload
- 4. Security-Settings für Skriptsprachen & Office-Anwendungen verschärfen
- 5. Verifizieren der Virenscanner-Optionen und aktivieren Anti-FM-Funktionen
- 6. Stichprobenartige Überprüfung von Einzelsystemen und einzelnen User-Kennungen (Rechte)
Eine Umsetzung dieser Empfehlungen ist ratsam, denn FM hat auch einige unangenehme Seiteneffekte.
Beweissicherung
Cyber-Versicherungen sind derzeit ein Thema, welches über Unternehmen zunehmend auch im privaten Umfeld Fuß fassen wird. Ein Aspekt, der spätestens bei größeren Schadenssummen wichtig wird, ist die Beweissicherung.
:quality(80)/images.vogel.de/vogelonline/bdb/1122700/1122732/original.jpg "Cyberversicherung in die vorhandene Risikostrategie zu integrieren, kann sich, angesichts des steigenden Risikos Opfer von Cyber-Angriffen zu werden, für Unternehmen durchaus lohnen. (alphaspirit - Fotolia.com)")
Cyberversicherungen
IT-Risiken vorbeugen, IT-Schäden begrenzen
IT-Forensiker und Schadensgutachter werden bei dateiloser Malware auf Probleme stoßen, diese verwertbar zu sichern. Technisch kann man den Arbeitsspeicher eines Systems als Speicherdump erstellen! Aber was passiert, wenn die dateilose Malware der nächsten Generation sich dagegen wehrt?
Der Verteidigungsgedanke ist nicht neu – manche Malware wird beispielsweise nur dann aktiv, wenn sie NICHT in einem virtuellen Umfeld läuft. Denn ein VM-System, so die Annahme, könnte das Test-System eines Analysten sein, also bleibt die Malware inaktiv und tut so als wäre sie „guter Code“.
Der Schritt für dateilose Schadsoftware, sich auch gegen das Auslesen von Speicherbereichen zu wehren ist technisch nicht weit entfernt – denn Schadsoftware geht immer öfter dazu über, sich selbst zu verteidigen! Aber ohne aussagekräftige Beweissicherung wird die Cyber-Versicherung problematisch.
Fazit
Derzeit ist es ruhig um fileless Malware, aber die Bedrohung kann schnell wieder am Horizont sichtbar werden, besser ausgerüstet und technisch versierter als in den ersten Proof-Of-Concept-Versionen. Dann, könnte sich die dateilose Malware wirklich zu einer massiven Security-Bedrohung entwickeln.
Sprechen Sie mit den Herstellern Ihr Security-Software und fragen Sie nach Features gegen FM, denn der beste Schutz ist derjenige, der verhindert, dass Malware das eigentliche Ziel-System erreicht.
(ID:44438638)
:quality(80)/p7i.vogel.de/wcms/fd/19/fd1950f78ea6b9352d97317275184ee8/0108759269.jpeg "Der Autor: Dr. Sven Krasser ist Senior Vice President und Chief Scientist bei CrowdStrike (Bild: CrowdStrike)")
:quality(80)/p7i.vogel.de/wcms/fc/aa/fcaab2a729d595bddfda1d0d0e37741e/0112821636.jpeg "Manche Server-Schwachstellen bleiben unbeachtet - und bieten Angreifern ein Einfallstor. (Bild: Pete Linforth)")