Angriffe mit dateiloser Schadsoftware

So schützen Unternehmen sich vor Fileless-Malware

| Autor / Redakteur: Michael Gerhards / Peter Schmitz

Fileless Malware existiert meist ausschließlich im RAM des infizierten Geräts. Dadurch sind vor allem Geräte die selten oder nie ausgeschaltet werden, ein bevortzugtes Ziel.
Fileless Malware existiert meist ausschließlich im RAM des infizierten Geräts. Dadurch sind vor allem Geräte die selten oder nie ausgeschaltet werden, ein bevortzugtes Ziel. (Bild: Pixabay / CC0)

Fileless-Malware ist eine Form von Schad­soft­ware, die sich ausschließlich in den Ar­beits­spei­cher schreibt und oft nur wenige oder gar keine Spuren auf der Festplatte hinterlässt. Ein wirklich dateil­oser Angriff könnte beispielsweise ein Exploit auf einer Website sein, bei dem Java-Schwach­stel­len verwendet werden, um Code in den Speicher herunter­zu­la­den und über den eigenen Prozess des Browsers auszuführen.

Eine dateilose Malware läuft nach dem Schließen des Browsers weiter im Speicher, richtet Befehls- und Kontrollkanäle ein, lädt weitere Schadprogramm-Teile nach und führt Operationen im Speicher aus. Diese Malware wäre vergänglich, sie würde durch einen Neustart wieder aus dem Speicher gelöscht und würde aber dennoch lange genug bestehen, um zum Beispiel einen Ransomware-Angriff zu starten.

Auch auf mobilen Geräten, die nicht regelmäßig heruntergefahren werden, könnte sie weiterhin bestehen. Um die Persistenz für anspruchsvollere Angriffe zu erhöhen, nutzen Angreifer daher nun das sogenannte integrierte Skripting, Servicemanagement und andere Tools, um Malware nach einem Neustart direkt in den Arbeitsspeicher herunterzuladen. Dabei stellt die ausschließliche Verwendung legitimer Tools hierbei sicher, dass keine Beweise auf der Festplatte oder anderen Speichermedien zurückbleiben, was die Erkennung mit herkömmlichen Antivirus-Lösungen unmöglich macht.

Fileless Malware eine neue Bedrohung?

Dateilose Schadsoftware

Fileless Malware eine neue Bedrohung?

03.01.17 - Schadsoftware ist immer besser zu managen und die jahrelangen Anstrengungen der Security-Industrie machen sich endlich bemerkbar. Doch am Horizont taucht eine neue Bedrohung auf, die alles über den Haufen werfen könnte: Fileless Malware lesen

Vorläufer gibt es seit mindestens 2012, diese verwendeten allerdings einen einfachen Downloader für die Persistenz um den bösartigen Code in den Speicher herunterzuladen und auszuführen. Während es immer noch keinen bösartigen Code auf der Festplatte zu erkennen gab, blieb zumindest der installierte Downloader sichtbar bestehen. Dies waren allerdings zur damaligen Zeit sehr ausgefeilte Angriffe. Heutzutage machen Exploit-Kits wie Angler auch weniger erfahrenen Angreifern völlig dateifreie Angriffe möglich.

Während diese Angriffe keine Spuren hinterlassen, die ein Standard-Antivirus-Programm erkennen würde, gibt es immer noch Maßnahmen, sowohl auf dem Host-Computer als auch durch Netzwerküberwachung, die zum Schutz vor dieser Form von Malware und zur Erkennung ihrer Aktivität ergriffen werden können. Prävention erweist sich dabei immer als vorteilhaft gegenüber nachträglichem Heilen, daher ist gutes Housekeeping wie das Patchen und auch das Blockieren bösartiger Websites immer der erste Schritt. Der Gefahr von Querübertragung sollte dabei dadurch begegnet werden, dass Verbindungen durch Verwaltungswerkzeuge von nicht autorisierten Hosts blockiert werden.

In Bezug auf aktive Erkennung, muss dateilose Malware dieselben Befehls- und Kontrollverbindungen wie andere Malware auch herstellen. Selbst ein flüchtiger Ransomware-Angriff muss Kontakt aufnehmen, um einen Verschlüsselungsmechanismus und andere Informationen zu übertragen. Die Netzwerküberwachung kann daher verdächtigen Datenverkehr dieser Art erkennen und auch Verbindungsversuche zu bekannten unsicheren Seiten können markiert oder blockiert werden.

Für Hosts ist ein signaturbasiertes Antivirus-Programm zwar unwirksam, die meisten modernen Anti-Virus-Suiten enthalten dennoch eine oder mehrere verhaltensbasierte oder heuristische Erkennungsmaßnahmen. Diese können bösartige Ereignisse und Verhaltensweisen erkennen und den Benutzer auf das Vorhandensein von Malware aufmerksam machen, selbst wenn diese speicherresident ist. Wenn PowerShell oder andere Skripts als Dienst gestartet werden, kann dies auch durch die Überwachung von Diensten und das Scannen von Registrierungseinträgen erkannt werden.

Aufgrund des Mangels an Beweisen auf der Festplatte kann die Bereinigung eines Angriffs mit speicherresistenter Malware problematischer werden. Wenn dieser wirklich nur temporär ist, kann ein einfacher Neustart für den einzelnen Host funktionieren, aber trotzdem muss die Überwachung fortgesetzt werden, um sicherzustellen, dass auch wirklich keine Schadware mehr vorhanden ist. Speicheranalyse-Tools, die den meisten Incident und Forensic Respondern zur Verfügung stehen, können bei der Erkennung und Analyse der Malware nützlich sein und den Behebungsvorgang unterstützen.

Zusammenfassend lässt sich sagen, dass die Vorbeugung gegen diese Angriffe größtenteils durch ein übliches Housekeeping erfolgt. Das Erkennen der neuen Malware-Versionen ist schwieriger, kann aber mit Standard-Host- und Netzwerksicherheitstools durchgeführt werden. Das größere Problem ist die Reaktion, da es keine Beweise für den Angriff mehr gibt, z.B. was genau getan wurde oder welche Daten gekapert wurden. Die Zuordnung kann sich ebenfalls als schwieriger erweisen, wenn keine Malware mehr zur Analyse verbleibt. Nichts davon ist jedoch unmöglich, aber im Nachhinein zu agieren ist zeitaufwändiger und komplexer, daher ist es immer besser, diese Angriffe so früh wie möglich zu stoppen oder einzudämmen.

Über den Autor: Michael Gerhards ist Head of Cybersecurity bei Airbus CyberSecurity.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45408622 / Malware)