Fileless Malware: Fiese Attacke unter dem Radar von Sicherheits-Tools

Fileless Malware: Frodo, Code Red und The Dark Avenger. Was hier nach großem Kino klingt, sind – oder waren – ziemlich fiese IT-Attacken. Denn es handelt sich hier weder um Helden der Filmgeschichte, noch um Blockbuster, sondern um frühe Beispiele für eine neuen Art von Malware, die sich ab 2001 als Angriffsform etabliert hat und bei Cyberkriminellen hoch im Kurs steht: Dateilose (Fileless) Malware. Varianten dieser Schadsoftware kommen völlig ohne Dateien aus und missbrauchen seriöse, systemeigene Programme für die Infizierung von Computersystemen. Da sie keine Spuren hinterlassen, ist ihre Erkennung durch Antivirus-Tools und ihre Beseitigung stark erschwert. Wir klären über diese Art der Bedrohung auf, wie Sie sich diese Schadsoftware einfangen können, wo ihr Ursprung liegt, stellen Ihnen Angriffstechniken vor und erläutern, wie eine typische Fileless Malware-Attacke abläuft. Zu guter Letzt erklären wir, wie dateilose Malware trotz reichlich Schwierigkeiten erkannt werden kann und haben kleinen Maßnahmenkatalog zusammengetragen, mit dessen Hilfe Sie Ihr Schutzniveau selbst ausbauen können.

Was ist Fileless Maware?

Memory-only-Malware, Non-Malware-Attack, Zero-Footprint-Attack: All diese Bezeichnungen treffen auf Angriffe mit dateiloser Malware zu, bei denen Codes aus der Ferne abgerufen und ausgeführt werden, ohne lokale Zwischendateien zu benötigen. Anders als normale Malware, die sich in Dateien auf der Festplatte einnistet, agiert dateilose Malware nur im Arbeitsspeicher oder in anderen schwer überprüfbaren Bereichen. Hierfür nutzt sie bereits auf dem Computer vorhandene Tools, autorisierte Protokolle und vertrauenswürdige Anwendungen und richten damit sozusagen das System gegen sich selbst. Da keine Dateien zum Scannen existieren, ist sie damit für herkömmliche Antiviren-Programme kaum zu erkennen. Hinzu kommt: Dateilose Malware existiert heutzutage in tausenderlei Gestalt (Polymorphismus) und wird bei jedem Reboot des attackierten Systems aus dem RAM gelöscht.

Wie alles begann: Code Red

Unter dem klangvollen Namen „Code Red“ tauchte 2001 ein Computerwurm auf, der als erste „Fileless Malware“ kategorisiert wurde. Dieses neue Virus brachte sage und schreibe 359.000 Webserver zum Absturz und hinterließ auf der Festplatte seiner Opfer weder Dateien noch sonst irgendwelche Spuren. Die Untersuchung ergab, dass dieser Wurm über den Speicher des infizierten Rechners ausgeführt wurde: Irgendwie hatten es Angreifer geschafft, einen Malware-Angriff zu starten, ohne dafür einen Code zu installieren. Sie benötigten lediglich Zugang zum Zielsystem, um dessen native Tools für ihre Zwecke zu modifizieren.

In den nächsten 20 Jahren wurde dieser Mechanismus von Angreifern vor allem auf Microsoft-Umgebungen verwendet. Bekannteste Vertreter dieser neuen Malware-Variante waren Slammer (ein SQL-Wurm), Lurk (ein Banking Trojaner), Poweliks (ein Trojaner), Duqu 2.0 (ein Wurm), PowerSniff. CoinVault, Crigent und USB Thief. 2017, als über eine Schwachstelle im Framework für Web-Anwendungen (Apache Struts) Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden, erlangte Fileless Malware ihren vorläufigen Höhepunkt.

So läuft ein Angriff mit Fileless Malware ab

Der Angriff mit einer dateilosen Malware läuft in drei Phasen ab: Zunächst müssen die Angreifenden einen ersten Zugriff auf ihr Zielsystem erhalten. Dies gelingt ihnen meist durch Phishing- oder Spearphishing-Kampagnen. Der eigentliche Angriff wird nun durch das Opfer ausgelöst, beispielsweise durch Anklicken eines Dokuments mit eingebetteten Code. Dieser Code wird mit dem Anklicken von einem Webserver abgerufen und als Parameter an einen Skriptinterpreter, wie PowerShell, übergeben, wo er auch direkt ausgeführt wird.

Der zweite Schritt der Cyberkriminellen besteht jetzt darin, den Zugriff auch bei einem Systemneustart aufrecht zu erhalten. Hierfür lesen die Cyberkriminellen legitime Registerschlüssel von seriösen Anwendungen aus und manipulieren sie so, dass sie einen Code zum Herunterladen und Ausführen von Payload als Parameter von PowerShell enthalten. Auf diese Weise erhalten die Angreifenden einen anhaltenden Eintrag in das Computersystem, der es ermöglicht, weitere Malware nachzuladen. Damit finden sich zwar keine Dateien auf der Festplatte, allerdings hinterlässt diese Malware eine Spur, die Hinweis auf eine Kompromittierung geben kann – nämlich die URL der Payload. Und genau diese müssen die Angreifenden nun noch verschleiern. Im letzten Schritt werden dann Anmeldeinformationen gestohlen, Daten gestohlen oder eine Backdoor errichtet.

Gängige Angriffstechniken von Fileless Malware

Die Techniken, die Cyberangreifer für ihre Attacken über Fileless Malware verwenden können, um bösartigen Code im Speicher auszuführen, sind sehr vielfältig. So können der Zugriff und die Angriffe auf verschiedene Weise erfolgen, wie etwa durch Zweckentfremdung von Programmen, die für die Funktion des Betriebssystems erforderlich sind, durch Infiltration von bösartigem Code in bestehende Prozesse, durch Speicherung von Malware in Windows-Registerschlüsseln und durch fertige Exploit-Kits:

Exploit-Kits
Exploit-Kits sind Sammlungen von Codes oder Befehlssequenzen, mit denen Angreifer versuchen, bekannte Schwachstellen in einem Betriebssystem oder Anwendung auszunutzen. Ein Exploit-Kit enthält in der Regel Exploits für verschiedene Schwachstellen sowie eine Verwaltungskonsole, über die der Angreifer das System steuern kann. Weil Exploits zum Beispiel über Phishing Mails unmittelbar in den Systemspeicher der Opfer injiziert werden, können Angreifende ihre Kompromittierung regelrecht automatisieren.

Registrierungsschlüssel ändernde Malware
Registrierungsresidente Malware installiert sich selbst in der Windows-Registrierung, um über einen längeren Zeitraum persistent zu sein und gleichzeitig einer Erkennung durch ein Antivirus-Tool zu entgehen. Windows-Systeme werden in der Regel über so genannte Dropper-Programms infiziert, die den Schadcode herunterladen. Bei dateiloser Malware ist es etwas anders: Sie kann zwar auch ein solches Programm nutzen. Statt aber Schadcode herunterzuladen, schreibt das Dropper-Programm diesen selbst – und zwar direkt in die Windows-Registrierung. Der schädliche Code wird zudem in einer regulären Datei versteckt, die keiner Virenschutzerkennung unterliegen. Somit bleibt diese Malware für lange Zeit unerkannt.

Dateilose Ransomware
Bei dieser Methode betten Angreifende zunächst schädlichen Code entweder mithilfe nativer Skriptsprachen (z. B. Makros) in Dokumente ein oder schreiben ihn mithilfe eines Exploits direkt in den Speicher. Im Anschluss manipuliert die Ransomware native Tools wie PowerShell, um Dateien ihrer Opfer zu verschlüsseln, ohne auch nur eine einzige Zeile auf einen Datenträger zu schreiben.

Gestohlene Anmeldedaten
Angreifende können dateilose Angriffe auch mithilfe gestohlener Anmeldedaten beginnen, um – getarnt als legitimer Benutzer – auf ihr Ziel zuzugreifen. Erst einmal ins System eingedrungen, können sie ihren Angriff mit systemeigenen Tools, beispielsweise PowerShell oder Windows Management Instrumentation vorantreiben. Persistenz erreichen die Kriminellen, indem sie Code in der Registrierung oder im Kernel verstecken.

Fileless Malware erkennen

Da keine der eben vorgestellten Angriffstechniken auf der Festplatte gespeicherte Dateien verwenden, ist Fileless Malware für gängige Antivirenprogramme schwer bis nicht erkennbar. Denn diese bauen ihren Schutz in der Regel auf Mechanismen zur Erkennung von Dateifingerabdrücken. Und genau da liegt schließlich auch die Stärke dieser Attacke: Sie zielt auf Elemente, die von Antivirensoftware in der Regel nicht berücksichtigt werden, sodass eine Tür zu den Rechnern der Opfer offen bleibt.

Die gute Nachricht: Auch die Security-Unternehmen versuchen ständig Sicherheitslücken zu schließen und ihre Produkte zu verbessern. Um der dateifreien Malware entgegenzuwirken, haben die Produkt-Hersteller neue Methoden zur Erkennung von Angriffen entwickelt.

Signaturmechanismus
Eine von ihnen basiert auf dem Signaturmechanismus für ausführbare Dateien in Windows. Diese Methode macht es Angreifen aufgrund der notwendigen Verifizierung der Dateisignatur schwerer, Dateien im Speicher zu ersetzen. Das Betriebssystem des Opfers stuft die ersetzte Datei nicht länger als Originaldatei ein. Diese Strategie ist eine recht einfache Möglichkeit, sich vor weniger fortgeschrittenen Attacken zu schützen.

Blacklists
Eine andere Strategie basiert auf der Verbesserung sogenannter schwarzer Listen: Blacklists müssen dazu tief ins Detail der zu blockierenden Elemente gehen und die verwendeten Muster enthalten, wie Zeichenketten oder Befehle, die als Teil eines bösartigen Prozesses zu erkennen sind. Man spricht hierbei auch von Angriffsindikatoren („Indicators of Attack“, IOA).

Verhaltensanalyse
Eine dritte Strategie ist die Verhaltensanalyse mithilfe von Endpoint-Protection-Lösungen. Sie überwachen verdächtige Aktivitäten, wie beispielsweise eine mögliche Verbindung zu einem Command-and-Control-Server oder zu einer IP mit schlechtem Ruf. Die Mechanismen der Verhaltensanalyse ermöglichen es zu erkennen, ob ein Programm eine Code-Injection erleidet oder ob mehr Daten in einen Speicher geschrieben werden, als der dafür vorgesehene Puffer aufnehmen kann, wodurch wiederum angrenzende Speicherbereiche mit Daten beschrieben werden. Ebenfalls kann durch Verhaltensanalyse erkannt werden, ob eine Anwendung über ein Benutzerkonto erfolgt, das nicht über die entsprechenden Rechte verfügt.

Praxistipp: Maßnahmenkatalog aufsetzen

Auch wenn derzeit Fileless Malware eine Pause einlegt – die letzte größere Attacke fand 2017 stattt – bedeutet es nicht, dass sie nicht mehr existieren. In der Praxis sollten IT-Sicherheitsverantwortliche deshalb dateilose Malware im Auge behalten und einen Maßnahmenkatalog schnüren. Dazu zählen

• Regelmäßige Security-Updates des Betriebssystems und sämtliche Anwendungen
• Web-Blocking von Seiten, die Exploit Kits hosten oder bekannte C&C-Server sind
• C&C-Kommunikation und Download von Malware-Payload unterbinden
• Security-Settings für Skriptsprachen und Office-Anwendungen verschärfen
• Virenscanner-Optionen überprüfen und Anti-FM-Funktionen aktivieren
• Regelmäßig stichprobenartig Einzelsysteme überprüfen und die dazugehörigen Benutzerrechte

Fazit zu Fileless Malware: Totgesagte leben länger

Wenngleich dateilose Malware derzeit offenbar eine Pause einlegt und aktuell keine gößere Bedrohung darstellt, bedeutet dies nicht, dass Fileless Malware verschwunden ist. Zwar ist es eine technisch anspruchsvolle Angelegenheit, dateilose Malware zu erstellen, die nicht jeder Cyberkriminelle beherrscht. Denn die Schadsoftware muss so beschaffen sein, dass sie auch an allen verbesserten Kontrollinstanzen der Security-Unternehmen und Produkt-Hersteller vorbeigeschmuggelt werden kann. Zudem gibt es einfachere Wege, Malware zu verbreiten: unvorsichtige Anwender, ungesicherter Systeme, überalterter Sicherheitskonzepte – Makro-Viren führen die meisten Angreifenden eben einfacher und schneller an ihr Ziel.

Bleiben Sie also dennoch vorsichtig und behalten Sie dateilose Malware im Auge beziehungsweise in Ihrem Maßnahmenkatalog zum Schutz vor Cyberangriffen. Denn auch wenn es derzeit ruhig um Fileless Malware ist, kann sich die Bedrohungslage schnell wieder ändern und dateilose Malware zu neuen, massiven Security-Bedrohung werden.

Haben Sie Fragen zum Thema IT-Security? Nehmen Sie ganz einfach und unkompliziert Kontakt zu uns auf!