Bedrohung im Verborgenen

/Blog
Erstellt von Vladimiras Popovas und Gabriela Maier

Fileless Malware schleicht sich als unsichtbare Gefahr in die Systeme. Diese Computerschädlinge agieren, ohne Software zu installieren, und sind damit unerkennbar für herkömmliche Antiviren-Lösungen. Aber es gibt durchaus Wege, auch dieser Bedrohung Herr zu werden.

Die traditionelle dateibasierte Malware ist ein Programm oder eine Datei, die verdeckt als eigenständige Anwendung ausgeführt wird oder die Integrität vorhandener Anwendungen gefährdet und ihr Verhalten verändert. Seit einigen Jahren verbreitet sich zunehmend jedoch eine neue Art von Malware, die dateilose Malware. Die Ziele sind ähnlich, wie die der traditionellen Malware: Sie dringen in das Unternehmensnetzwerk ein, exfiltrieren Daten, erhalten Fernzugriff oder stören das Geschäft. 

Im Vergleich zu dateibasierter Malware unterscheidet sich dateilose Malware grundlegend in der Art und Weise, wie der bösartige Code ausgeführt wird. Sie besitzt die Fähigkeit sich in das Netzwerk einzuschleichen, ohne die herkömmlichen, ausführbaren Dateien als eine erste Angriffsebene zu verwenden und umgeht damit die traditionelle Dateiscan-Technologien. Der Code für die dateilose Malware wird weder in einer Datei gespeichert noch auf dem Computer des Opfers installiert, sondern direkt als Systemkommandos in den Speicher geladen und sofort ausgeführt. Diese Art von Angriff kapert integrierte Windows-Tools, wie z.B. Powershell, um damit Angriffe auszuführen. Im Grunde richtet sich Windows damit gegen sich selbst. In einigen Fällen kann es mit anderen Arten von Angriffen wie Ransomware gekoppelt sein, um seine böswillige Absicht zu erreichen. Nach dem ersten Zugriff kann ein Angreifer Registrierungseinträge erstellen und Skripts einrichten, um die Persistenz aufrechtzuerhalten, Berechtigungen zu erhöhen oder sich lateral über das Netzwerk auszubreiten.

Mögliches Infektionsszenario
Dateilose Malware kann wie Phishing, bösartige Webseiten usw. in ein Netzwerk gelangen, genau wie jede andere Art von Malware. Wie sieht ein typisches Angriffsszenario aus? Schauen wir uns das kurz an.

  • Ein Benutzer erhält eine E-Mail, die so aussieht als ob sie von der Personalabteilung des Unternehmens gesendet worden wäre, mit dem Link für ein obligatorisches Training.
  • Der Benutzer öffnet den Link und besucht eine Website mit dem Standardbrowser des Unternehmens. Um diese Seite richtig zu laden, wird Adobe Flash Player benötigt. Ein perfekter Angriffsvektor, da der Player trotz regelmässiger Updates mehrere Sicherheitslücken aufweist, die für den Zugriff auf ein System verwendet werden können.
  • Adobe Flash Player ruft dann PowerShell (oder ein anderes Windows-Tool, das als vertrauenswürdig angesehen wird) auf und sendet schädliche Anweisungen über die Befehlszeile, die alle im Arbeitsspeicher ausgeführt werden.
  • PowerShell stellt eine Verbindung zu einem Befehls- und Steuerungsserver her und lädt ein schädliches PowerShell-Skript herunter, um vertrauliche Daten zu finden und zu extrahieren. Während dieses Angriffs gibt es keinen ausführbaren Malware-Download.

Bösartiger Code kann in Anwendungen wie Microsoft Word, Adobe Flash Player, Adobe PDF Reader, jedem Webbrowser oder JavaScript eingebaut werden, wodurch die Angriffsfläche exponentiell ansteigt. 

Einige Beispiele für dateilose Malware
Nachfolgend einige der bekanntesten dateilose Malware-Beispiele:

  • DNSMessenger - ist ein Remote-Access-Trojaner (RAT), der mithilfe von DNS-Abfragen böswillige PowerShell-Befehle auf infizierten Computern ausführt, wodurch die Erkennung der RAT erschwert wird
  • Poweliks - ist eine Malware, die ihren gesamten Schadcode in der Windows-Registry versteckt
  • Phase Bot - ist ein Bot, der Funktionen wie Formgrabbing, FTP-Diebstahl und die Fähigkeit, ohne eine Datei zu laufen bietet
  • Kovter – die Malware speichert verschleierte oder verschlüsselte Artefakte in der Windows-Registry und entfernt sich danach automatisch. Der Fortbestand wird mithilfe von JavaScript-Code aufrechterhalten, der PowerShell-Code und nicht bösartige Anwendungen ausführt
  • POSHSPY – Die Malware verwendete Windows Management Instrumentation (WMI)-Funktionen des Betriebssystems, um den Fortbestand zu gewährleisten, und verlässt sich auf PowerShell für seine Payload

Es gibt natürlich noch viele weitere Beispiele. Ein von Carbon Black veröffentlichter Bericht ergab, dass dateilose Angriffe heute mehr als 50 Prozent der erfolgreichen Angriffe von Finanzinstituten ausmachen.

Herausforderungen bei der Erkennung von dateiloser Malware
Traditionelle Malware verwendet entweder ein ausführbares Programm oder eine schädliche Datei, um ein System oder ein Netzwerk zu infizieren. Diese werden von Experten analysiert um danach Malware-Signaturen zu erstellen, die später von verschiedenen Sicherheitsprodukten zur Erkennung verwendet werden. Bei dateiloser Malware ist dies jedoch nicht möglich, da es keine ausführbaren Programme oder Dateien gibt, die von der Anti-Malware-Software auf Signaturen überprüft werden können. Dies macht es auch forensischen Experten schwer, eine Probe zu entnehmen um diese auf eine Infektion hin zu analysieren. In den meisten Fällen der einzige Weg, eine Probe zu bekommen, einen Live-Angriff zu verfolgen. Dies ist jedoch nicht einfach, da die Malware das Betriebssystem gegen sich selbst verwendet. 

Prävention und Erkennung?
Eine 100 % sichere Methode zur Erkennung gibt es nicht. Sie können jedoch einige Schritte ergreifen, um das Leben des Angreifers zu erschweren.
Unsere Threat Intelligence Experten aus dem ISPIN Security Operation Center empfehlen Ihnen den Einsatz einer Sicherheitslösung, die auch einen Befall mit Fileless Malware erkennen und verhindern kann. Carbon Black Response ist ein Tool, das Angriffe in Echtzeit ohne Signaturen auf Basis von Verhaltensanalysen erkennen kann. Es verwendet erweiterte Bedrohungsindikatoren, um Sie auf das Vorhandensein eines Angriffs hinzuweisen. Auf diese Weise können Sie komplexe Bedrohungen, Zero-Day-Angriffe oder andere Arten von Malware erkennen, die signaturbasierten Erkennungswerkzeugen entgehen. Carbon Black ermöglicht es Ihnen, die vollständige Angriffskette zu sehen, einzudämmen und zu stoppen.

Für eine mehrschichtige Sicherheit empfehlen wir neben dem Einsatz von modernen Sicherheitsplattformen immer auch begleitende Massnahmen wie z.B.:

  • Geben Sie Benutzern die erforderlichen Berechtigungen, um ihre Arbeit zu erledigen, und nicht mehr
  • Verringern Sie die Angriffsfläche, indem Sie nicht benötigte Anwendungen oder Systemtools (z. B. PowerShell oder WMI) absichern.
  • Erstellen Sie eine Baseline auf Ihren Systemen und überwachen Sie etwaige Anomalien
  • Führen Sie regelmässige Prüfungen der Log-Daten durch und implementieren Sie Methoden zur Vermeidung von Datenlecks
  • Führen Sie regelmässige Softwareupdates für Unternehmensressourcen durch
  • Deaktivieren Sie Makros, wenn sie nicht verwendet werden. Verwenden Sie alternativ nur digital signierte Makros, die speziell für Ihr Unternehmen überprüft wurden
  • Halten Sie strenge Sicherheitsrichtlinien ein und schulen Sie Ihre Benutzer regelmässig, damit Ihr Unternehmen sicher bleibt.