Fachartikel

Bedrohungen durch Fileless-Malware

Fileless-Malware ist eine Form von Malware, die sich ausschließlich in den Arbeitsspeicher einschreibt und wenige oder gar keine Spuren auf der Festplatte hinterlässt. Die Malware befindet sich auch nach dem Schließen des Browsers weiter im Speicher, richtet Befehls- und Kontrollkanäle ein, lädt weitere Schadprogramm-Teile nach und führt Operationen im Speicher aus. Was Unternehmen tun können, um sich vor dieser Malware zu schützen, erläutert dieser Fachartikel.
Files-Malware ist für die meisten Sicherheitswerkzeuge nur sehr schwer zu erfassen.
Ein dateiloser Angriff kann zum Beispiel ein Exploit auf einer Website sein, bei dem der Angreifer Java-Schwachstellen ausnutzt, um Code in den Speicher herunterzuladen und über den eigenen Prozess des Browsers auszuführen. Die Malware läuft dann nach dem Schließen des Browsers weiter im Speicher und führt dort ihr Unwesen. Sie ist zwar vergänglich und wird durch einen Neustart wieder aus dem Speicher gelöscht, besteht aber dennoch lange genug, um einen Lösegeldangriff zu starten. Auch auf mobilen Geräten, die nicht regelmäßig heruntergefahren werden, kann sie weiterhin bestehen.

Angreifer kapern nachhaltig den Arbeitsspeicher
Um die Persistenz für anspruchsvollere Angriffe zu erhöhen, nutzen Angreifer daher nun das sogenannte Integrierte-Skripting-, Servicemanagement- und andere Tools, um Malware nach einem Neustart direkt in den Arbeitsspeicher herunterzuladen. Dabei stellt die ausschließliche Verwendung legitimer Tools hierbei sicher, dass keine Beweise auf der Festplatte oder anderen Speichermedien zurückbleiben, was die Erkennung mit herkömmlichen Antivirus-Lösungen unmöglich macht.

Vorläufer gibt es seit mindestens 2012, diese verwendeten allerdings einen einfachen Downloader für die Persistenz, um den bösartigen Code in den Speicher herunterzuladen und auszuführen. Während es immer noch keinen bösartigen Code auf der Festplatte zu erkennen gab, blieb zumindest der installierte Downloader sichtbar bestehen. Dies waren allerdings zur damaligen Zeit sehr ausgefeilte Angriffe. Heutzutage machen Exploit-Kits wie Angler auch weniger erfahrenen Angreifern völlig dateifreie Angriffe möglich.

Netzwerküberwachung spürt dateilose Malware auf
Während diese Angriffe keine Spuren hinterlassen, die ein Standard-Antivirus-Programm erkennen würde, gibt es sowohl auf dem Host-Computer als auch durch Netzwerküberwachung Maßnahmen, die zum Schutz vor dieser Form von Malware und zur Erkennung ihrer Aktivität ergriffen werden können. Prävention erweist sich dabei immer als vorteilhaft gegenüber nachträglichem Heilen, daher ist gutes Housekeeping wie das Patchen und das Blockieren bösartiger Websites immer der erste Schritt. Der Gefahr von Querübertragung lässt sich dabei dadurch begegnen, dass Verbindungen durch Verwaltungswerkzeuge von nicht autorisierten Hosts blockiert werden.

In Bezug auf aktive Erkennung muss dateilose Malware dieselben Befehls- und Kontrollverbindungen wie andere Malware auch herstellen. Selbst ein flüchtiger Ransomware-Angriff muss Kontakt aufnehmen, um einen Verschlüsselungsmechanismus und andere Informationen zu übertragen. Die Netzwerküberwachung kann daher verdächtigen Datenverkehr dieser Art erkennen und Verbindungsversuche zu bekannten unsicheren Seiten lassen sich markieren oder blockieren.

Bösartige Verhaltensweise schnell erkennen
Für Hosts ist ein signaturbasiertes Antivirus-Programm zwar unwirksam, die meisten modernen Anti-Virus-Suiten enthalten dennoch eine oder mehrere verhaltensbasierte oder heuristische Erkennungsmaßnahmen. Diese können bösartige Ereignisse und Verhaltensweisen erkennen und den Benutzer auf das Vorhandensein von Malware aufmerksam machen, selbst wenn diese speicherresident ist. Wenn PowerShell- oder andere Skripte als Dienst gestartet werden, ist dies durch die Überwachung von Diensten und das Scannen von Registrierungseinträgen erkennbar.

Aufgrund des Mangels an Beweisen auf der Festplatte kann sich die Bereinigung eines Angriffs mit speicherresistenter Malware problematischer gestalten. Wenn dieser wirklich nur temporär ist, kann ein einfacher Neustart für den einzelnen Host funktionieren, aber trotzdem muss die Überwachung fortgesetzt werden, um sicherzustellen, dass auch wirklich keine Schadware mehr vorhanden ist.  Speicheranalyse-Tools, die den meisten Incident und Forensic Respondern zur Verfügung stehen, können bei der Erkennung und Analyse der Malware nützlich sein und den Behebungsvorgang unterstützen.

Fazit
Zusammenfassend lässt sich sagen, dass die Vorbeugung gegen diese Angriffe größtenteils durch ein übliches Housekeeping erfolgt. Das Erkennen der neuen Malware-Versionen ist schwieriger, ist aber mit Standard-Host- und Netzwerksicherheitstools durchführbar. Das größere Problem ist die Reaktion, da es keine Beweise für den Angriff mehr gibt, etwa was genau getan wurde oder welche Daten gekapert wurden. Die Zuordnung kann sich ebenfalls als schwieriger erweisen, wenn keine Malware mehr zur Analyse verbleibt. Nichts davon ist jedoch unmöglich, aber im Nachhinein zu agieren ist zeitaufwändiger und komplexer. Daher ist es immer besser, diese Angriffe so früh wie möglich zu stoppen oder einzudämmen.
21.11.2018/ln/Michael Gerhards, Head of CyberSecurity bei Airbus CyberSecurity

Nachrichten

Hacker-Angriff auf Marriott möglicherweise politisch motiviert [14.12.2018]

Berichten zufolge steckt hinter einer massiven Cyberattacke in einer Marriott-Hotelkette ein chinesischer Geheimdienst, der die persönlichen Informationen von bis zu 500 Millionen Kunden erbeutete. Dies meldet das IT-Sicherheitsunternehmen Vectra. [mehr]

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Tipps & Tools

Audioprobleme bei Remotesession beheben [2.12.2018]

Wer Linux-Endgeräte im Zusammenspiel mit der USB-Geräteumleitung von Audiogeräten in einer XenApp/Virtual-Apps-Remotesession nutzt, steht unter Umständen vor folgendem Problem: Die USB-Geräteumleitung von Audiogeräten über einen Linux-Receiver zum Server-VDA auf Basis von Windows Server 2016 funktioniert nicht korrekt. Das Gerät erscheint zwar im Gerätemanager, wird jedoch nicht unter Wiedergabegeräte als Audio-Ein-/Ausgabegerät angezeigt. Doch es gibt eine einfach Lösung. [mehr]

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen