Fileless Malware:\u00a0Frodo, Code Red und The Dark Avenger. Was hier nach gro\u00dfem Kino klingt, sind \u2013 oder waren \u2013 ziemlich fiese IT-Attacken. Denn es handelt sich hier weder um Helden der Filmgeschichte, noch um Blockbuster, sondern um fr\u00fche Beispiele f\u00fcr eine neuen Art von Malware, die sich ab 2001 als Angriffsform etabliert hat und bei Cyberkriminellen hoch im Kurs steht: Dateilose (Fileless) Malware. Varianten dieser Schadsoftware kommen v\u00f6llig ohne Dateien aus und missbrauchen seri\u00f6se, systemeigene Programme f\u00fcr die Infizierung von Computersystemen. Da sie keine Spuren hinterlassen, ist ihre Erkennung durch Antivirus-Tools und ihre Beseitigung stark erschwert. Wir kl\u00e4ren \u00fcber diese Art der Bedrohung auf, wie Sie sich diese Schadsoftware einfangen k\u00f6nnen, wo ihr Ursprung liegt, stellen Ihnen Angriffstechniken vor und erl\u00e4utern, wie eine typische Fileless Malware-Attacke abl\u00e4uft. Zu guter Letzt erkl\u00e4ren wir, wie dateilose Malware trotz reichlich Schwierigkeiten erkannt werden kann und haben kleinen Ma\u00dfnahmenkatalog zusammengetragen, mit dessen Hilfe Sie Ihr Schutzniveau selbst ausbauen k\u00f6nnen.<\/p>\n
Memory-only-Malware, Non-Malware-Attack, Zero-Footprint-Attack: All diese Bezeichnungen treffen auf Angriffe mit dateiloser Malware zu, bei denen Codes aus der Ferne abgerufen und ausgef\u00fchrt werden, ohne lokale Zwischendateien zu ben\u00f6tigen. Anders als normale Malware, die sich in Dateien auf der Festplatte einnistet, agiert dateilose Malware nur im Arbeitsspeicher oder in anderen schwer \u00fcberpr\u00fcfbaren Bereichen. Hierf\u00fcr nutzt sie bereits auf dem Computer vorhandene Tools, autorisierte Protokolle und vertrauensw\u00fcrdige Anwendungen und richten damit sozusagen das System gegen sich selbst. Da keine Dateien zum Scannen existieren, ist sie damit f\u00fcr herk\u00f6mmliche Antiviren-Programme kaum zu erkennen. Hinzu kommt: Dateilose Malware existiert heutzutage in tausenderlei Gestalt (Polymorphismus) und wird bei jedem Reboot des attackierten Systems aus dem RAM gel\u00f6scht.<\/p>\n
Unter dem klangvollen Namen \u201eCode Red\u201c tauchte 2001 ein Computerwurm auf, der als erste \u201eFileless Malware\u201c kategorisiert wurde. Dieses neue Virus brachte sage und schreibe 359.000 Webserver zum Absturz und hinterlie\u00df auf der Festplatte seiner Opfer weder Dateien noch sonst irgendwelche Spuren. Die Untersuchung ergab, dass dieser Wurm \u00fcber den Speicher des infizierten Rechners ausgef\u00fchrt wurde: Irgendwie hatten es Angreifer geschafft, einen Malware-Angriff zu starten, ohne daf\u00fcr einen Code zu installieren. Sie ben\u00f6tigten lediglich Zugang zum Zielsystem, um dessen native Tools f\u00fcr ihre Zwecke zu modifizieren.<\/p>\n
In den n\u00e4chsten 20 Jahren wurde dieser Mechanismus von Angreifern vor allem auf Microsoft-Umgebungen verwendet. Bekannteste Vertreter dieser neuen Malware-Variante waren Slammer (ein SQL-Wurm), Lurk (ein Banking Trojaner), Poweliks (ein Trojaner), Duqu 2.0 (ein Wurm), PowerSniff. CoinVault, Crigent und USB Thief. 2017, als \u00fcber eine Schwachstelle im Framework f\u00fcr Web-Anwendungen (Apache Struts) Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden, erlangte Fileless Malware ihren vorl\u00e4ufigen H\u00f6hepunkt.<\/p>\n
Der Angriff mit einer dateilosen Malware l\u00e4uft in drei Phasen ab: Zun\u00e4chst m\u00fcssen die Angreifenden einen ersten Zugriff auf ihr Zielsystem erhalten. Dies gelingt ihnen meist durch Phishing- oder Spearphishing-Kampagnen. Der eigentliche Angriff wird nun durch das Opfer ausgel\u00f6st, beispielsweise durch Anklicken eines Dokuments mit eingebetteten Code. Dieser Code wird mit dem Anklicken von einem Webserver abgerufen und als Parameter an einen Skriptinterpreter, wie PowerShell, \u00fcbergeben, wo er auch direkt ausgef\u00fchrt wird.<\/p>\n
Der zweite Schritt der Cyberkriminellen besteht jetzt darin, den Zugriff auch bei einem Systemneustart aufrecht zu erhalten. Hierf\u00fcr lesen die Cyberkriminellen legitime Registerschl\u00fcssel von seri\u00f6sen Anwendungen aus und manipulieren sie so, dass sie einen Code zum Herunterladen und Ausf\u00fchren von Payload als Parameter von PowerShell enthalten. Auf diese Weise erhalten die Angreifenden einen anhaltenden Eintrag in das Computersystem, der es erm\u00f6glicht, weitere Malware nachzuladen. Damit finden sich zwar keine Dateien auf der Festplatte, allerdings hinterl\u00e4sst diese Malware eine Spur, die Hinweis auf eine Kompromittierung geben kann \u2013 n\u00e4mlich die URL der Payload. Und genau diese m\u00fcssen die Angreifenden nun noch verschleiern. Im letzten Schritt werden dann Anmeldeinformationen gestohlen, Daten gestohlen oder eine Backdoor errichtet.<\/p>\n
<\/p>\n
Die Techniken, die Cyberangreifer f\u00fcr ihre Attacken \u00fcber Fileless Malware verwenden k\u00f6nnen, um b\u00f6sartigen Code im Speicher auszuf\u00fchren, sind sehr vielf\u00e4ltig. So k\u00f6nnen der Zugriff und die Angriffe auf verschiedene Weise erfolgen, wie etwa durch Zweckentfremdung von Programmen, die f\u00fcr die Funktion des Betriebssystems erforderlich sind, durch Infiltration von b\u00f6sartigem Code in bestehende Prozesse, durch Speicherung von Malware in Windows-Registerschl\u00fcsseln und durch fertige Exploit-Kits:<\/p>\n
Exploit-Kits<\/strong> Registrierungsschl\u00fcssel \u00e4ndernde Malware<\/strong> Dateilose Ransomware<\/strong> Gestohlene Anmeldedaten<\/strong> Da keine der eben vorgestellten Angriffstechniken auf der Festplatte gespeicherte Dateien verwenden, ist Fileless Malware f\u00fcr g\u00e4ngige Antivirenprogramme schwer bis nicht erkennbar. Denn diese bauen ihren Schutz in der Regel auf Mechanismen zur Erkennung von Dateifingerabdr\u00fccken. Und genau da liegt schlie\u00dflich auch die St\u00e4rke dieser Attacke: Sie zielt auf Elemente, die von Antivirensoftware in der Regel nicht ber\u00fccksichtigt werden, sodass eine T\u00fcr zu den Rechnern der Opfer offen bleibt.<\/p>\n Die gute Nachricht: Auch die Security-Unternehmen versuchen st\u00e4ndig Sicherheitsl\u00fccken zu schlie\u00dfen und ihre Produkte zu verbessern. Um der dateifreien Malware entgegenzuwirken, haben die Produkt-Hersteller neue Methoden zur Erkennung von Angriffen entwickelt.<\/p>\n Signaturmechanismus<\/strong> Blacklists<\/strong> Verhaltensanalyse<\/strong> Auch wenn derzeit Fileless Malware eine Pause einlegt \u2013 die letzte gr\u00f6\u00dfere Attacke fand 2017 stattt \u2013 bedeutet es nicht, dass sie nicht mehr existieren. In der Praxis sollten IT-Sicherheitsverantwortliche deshalb dateilose Malware im Auge behalten und einen Ma\u00dfnahmenkatalog schn\u00fcren. Dazu z\u00e4hlen<\/p>\n \u2022 Regelm\u00e4\u00dfige Security-Updates des Betriebssystems und s\u00e4mtliche Anwendungen <\/p>\n Wenngleich dateilose Malware derzeit offenbar eine Pause einlegt und aktuell keine g\u00f6\u00dfere Bedrohung darstellt, bedeutet dies nicht, dass Fileless Malware verschwunden ist. Zwar ist es eine technisch anspruchsvolle Angelegenheit, dateilose Malware zu erstellen, die nicht jeder Cyberkriminelle beherrscht. Denn die Schadsoftware muss so beschaffen sein, dass sie auch an allen verbesserten Kontrollinstanzen der Security-Unternehmen und Produkt-Hersteller vorbeigeschmuggelt werden kann. Zudem gibt es einfachere Wege, Malware zu verbreiten: unvorsichtige Anwender, ungesicherter Systeme, \u00fcberalterter Sicherheitskonzepte \u2013 Makro-Viren f\u00fchren die meisten Angreifenden eben einfacher und schneller an ihr Ziel.<\/p>\n Bleiben Sie also dennoch vorsichtig und behalten Sie dateilose Malware im Auge beziehungsweise in Ihrem Ma\u00dfnahmenkatalog zum Schutz vor Cyberangriffen. Denn auch wenn es derzeit ruhig um Fileless Malware ist, kann sich die Bedrohungslage schnell wieder \u00e4ndern und dateilose Malware zu neuen, massiven Security-Bedrohung werden.<\/p>\n Haben Sie Fragen zum Thema IT-Security? Nehmen Sie ganz einfach und unkompliziert Kontakt<\/a> zu uns auf!<\/p>\n
\nExploit-Kits sind Sammlungen von Codes oder Befehlssequenzen, mit denen Angreifer versuchen, bekannte Schwachstellen in einem Betriebssystem oder Anwendung auszunutzen. Ein Exploit-Kit enth\u00e4lt in der Regel Exploits f\u00fcr verschiedene Schwachstellen sowie eine Verwaltungskonsole, \u00fcber die der Angreifer das System steuern kann. Weil Exploits zum Beispiel \u00fcber Phishing Mails unmittelbar in den Systemspeicher der Opfer injiziert werden, k\u00f6nnen Angreifende ihre Kompromittierung regelrecht automatisieren.<\/p>\n
\nRegistrierungsresidente Malware installiert sich selbst in der Windows-Registrierung, um \u00fcber einen l\u00e4ngeren Zeitraum persistent zu sein und gleichzeitig einer Erkennung durch ein Antivirus-Tool zu entgehen. Windows-Systeme werden in der Regel \u00fcber so genannte Dropper-Programms infiziert, die den Schadcode herunterladen. Bei dateiloser Malware ist es etwas anders: Sie kann zwar auch ein solches Programm nutzen. Statt aber Schadcode herunterzuladen, schreibt das Dropper-Programm diesen selbst \u2013 und zwar direkt in die Windows-Registrierung. Der sch\u00e4dliche Code wird zudem in einer regul\u00e4ren Datei versteckt, die keiner Virenschutzerkennung unterliegen. Somit bleibt diese Malware f\u00fcr lange Zeit unerkannt.<\/p>\n
\nBei dieser Methode betten Angreifende zun\u00e4chst sch\u00e4dlichen Code entweder mithilfe nativer Skriptsprachen (z. B. Makros) in Dokumente ein oder schreiben ihn mithilfe eines Exploits direkt in den Speicher. Im Anschluss manipuliert die Ransomware native Tools wie PowerShell, um Dateien ihrer Opfer zu verschl\u00fcsseln, ohne auch nur eine einzige Zeile auf einen Datentr\u00e4ger zu schreiben.<\/p>\n
\nAngreifende k\u00f6nnen dateilose Angriffe auch mithilfe gestohlener Anmeldedaten beginnen, um \u2013 getarnt als legitimer Benutzer \u2013 auf ihr Ziel zuzugreifen. Erst einmal ins System eingedrungen, k\u00f6nnen sie ihren Angriff mit systemeigenen Tools, beispielsweise PowerShell oder Windows Management Instrumentation vorantreiben. Persistenz erreichen die Kriminellen, indem sie Code in der Registrierung oder im Kernel verstecken.<\/p>\nFileless Malware erkennen<\/h3>\n
\nEine von ihnen basiert auf dem Signaturmechanismus f\u00fcr ausf\u00fchrbare Dateien in Windows. Diese Methode macht es Angreifen aufgrund der notwendigen Verifizierung der Dateisignatur schwerer, Dateien im Speicher zu ersetzen. Das Betriebssystem des Opfers stuft die ersetzte Datei nicht l\u00e4nger als Originaldatei ein. Diese Strategie ist eine recht einfache M\u00f6glichkeit, sich vor weniger fortgeschrittenen Attacken zu sch\u00fctzen.<\/p>\n
\nEine andere Strategie basiert auf der Verbesserung sogenannter schwarzer Listen: Blacklists m\u00fcssen dazu tief ins Detail der zu blockierenden Elemente gehen und die verwendeten Muster enthalten, wie Zeichenketten oder Befehle, die als Teil eines b\u00f6sartigen Prozesses zu erkennen sind. Man spricht hierbei auch von Angriffsindikatoren (\u201eIndicators of Attack\u201c, IOA).<\/p>\n
\nEine dritte Strategie ist die Verhaltensanalyse mithilfe von Endpoint-Protection-L\u00f6sungen. Sie \u00fcberwachen verd\u00e4chtige Aktivit\u00e4ten, wie beispielsweise eine m\u00f6gliche Verbindung zu einem Command-and-Control-Server oder zu einer IP mit schlechtem Ruf. Die Mechanismen der Verhaltensanalyse erm\u00f6glichen es zu erkennen, ob ein Programm eine Code-Injection erleidet oder ob mehr Daten in einen Speicher geschrieben werden, als der daf\u00fcr vorgesehene Puffer aufnehmen kann, wodurch wiederum angrenzende Speicherbereiche mit Daten beschrieben werden. Ebenfalls kann durch Verhaltensanalyse erkannt werden, ob eine Anwendung \u00fcber ein Benutzerkonto erfolgt, das nicht \u00fcber die entsprechenden Rechte verf\u00fcgt.<\/p>\nPraxistipp: Ma\u00dfnahmenkatalog aufsetzen<\/h3>\n
\n\u2022 Web-Blocking von Seiten, die Exploit Kits hosten oder bekannte C&C-Server sind
\n\u2022 C&C-Kommunikation und Download von Malware-Payload unterbinden
\n\u2022 Security-Settings f\u00fcr Skriptsprachen und Office-Anwendungen versch\u00e4rfen
\n\u2022 Virenscanner-Optionen \u00fcberpr\u00fcfen und Anti-FM-Funktionen aktivieren
\n\u2022 Regelm\u00e4\u00dfig stichprobenartig Einzelsysteme \u00fcberpr\u00fcfen und die dazugeh\u00f6rigen Benutzerrechte<\/p>\nFazit zu Fileless Malware: Totgesagte leben l\u00e4nger<\/h2>\n