Fileless Malware: Best Practices gegen verborgene Schädlinge

Anzeige

Illustration: Absmeier, Matryx

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren. Auch bekannt als Non-Malware, Zero-Footprint oder Macro-Angriff, unterscheidet sie sich von herkömmlicher Malware dadurch, dass sie keine bösartige Software installieren muss, um den Computer eines Opfers zu infizieren. Stattdessen nutzt sie die vorhandenen Schwachstellen auf dem Gerät aus: Hierbei nistet sich die Schadware im RAM des Computers ein und verwendet für ihre Angriffe gängige Systemwerkzeuge, um bösartigen Code in normalerweise sichere, vertrauenswürdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.

 

Angriffstechniken und Funktionsweise von Fileless Malware

Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten können. Beispielsweise durch bösartige Bannerwerbung, sogenanntes »Malvertising«. Klicken Nutzer auf die Ad, werden sie auf eine bösartige Website umgeleitet, die legitim erscheint und Flash lädt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle über die Command Line auszuführen, während es im RAM ausgeführt wird. PowerShell lädt daraufhin bösartigen Code von einem Botnet oder einem anderen gefährdeten Server herunter und führt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.

Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen ermöglicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher können heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln – ein Prozess, der dafür sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden.

Durch einen Neustart des Computers kann ein Sicherheitsverstoß durch Fileless Malware jedoch gestoppt werden. Dies liegt daran, dass der RAM seine Daten nur dann behält, wenn der Computer eingeschaltet ist. Sobald er heruntergefahren wird, ist die Infektion nicht mehr aktiv. Allerdings können Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitslücke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgeführt werden, um den Angriff fortzusetzen.

 

Anzeichen von Fileless Malware

Obwohl keine neuen Dateien installiert sind oder ein typisches, verräterisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen würde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungewöhnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverstößen im Systemspeicher sowie auf andere Artefakte geachtet werden, die möglicherweise durch bösartigen Code zurückgelassen wurden.

 

Best Practices zum Schutz vor Fileless Malware

Im Folgenden einige Maßnahmen für Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:

  • Keine unnötigen Funktionen und Anwendungen: Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder für die für die Arbeit nicht notwendig sind, deinstallieren.
  • Sparsame Privilegien-Vergabe: Unternehmen sollten Privilegien für Admin-Benutzer beschränken und Nutzern nur so viele Berechtigungen wie nötig gewähren, damit sie ihre Aufgaben erledigen können.
  • Regelmäßige Software-Updates: Alle Software sollte stets auf dem neuesten Stand sein und regelmäßig aktualisiert werden.
  • Netzwerkverkehr-Überwachung: Der Netzwerkverkehr sollte überwacht und die Aktivitätsprotokolle nach Auffälligkeiten überprüft werden.
  • Endgeräteschutz: Unternehmen sollten sicherstellen, dass sie über einen Schutz für Endgeräte verfügen und jedes dieser Geräte sichern, einschließlich Remote- und Mobilgeräte, um ihr Netzwerk zu schützen.
  • PowerShell: Zudem sollten die Best Practices für die Verwendung und Sicherung von PowerShell beachtet werden.
  • Passwort-Hygiene: Passwörter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung geändert werden.
  • Mitarbeiterschulungen: Ausführliche Sicherheitsschulungen für Endbenutzer können zudem einen großen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten.

 

Fileless Malware ist für Kriminelle leicht verfügbar, da sie häufig bereits in Exploit-Kits enthalten ist. Darüber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartnäckigkeit, obwohl ihre Flexibilität, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitslösungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bekämpfen.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

 

Hacker, willkommen – Schatten-IT als Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

  Schatten-IT – Soft- und Hardware, die nicht durch das Sicherheitsteam eines Unternehmens freigegeben wurde – ist seit langem ein beliebter Angriffsvektor für Cyberkriminelle und Insider. Während Insider zunehmend bereits installierte, legitime und dadurch schwer zu entdeckende Tools wie PowerShell, WMI oder Cmd.exe einsetzen, um Unternehmensrechner mit Malware zu kapern, herrscht kein Mangel an scheinbar…

Malware in der Cloud: Best Practices zum Schutz vor einer wachsenden Bedrohung

Das enorme Wachstum von Cloud Services in der Geschäftswelt hat einen leidigen, aber vorhersehbaren Nebeneffekt: Die Cloud wird zum beliebten Ziel für Cyberkriminelle. Aufgrund der vernetzten Struktur kann sich Malware in der Cloud rasch auf Anwendungen und Geräte verbreiten, falls keine Sicherheitsmaßnahmen getroffen werden. Doch mit entsprechenden Best Practices können Unternehmen sich gegen die wachsende…

E-Mail-basierte Bedrohungen treffen Organisationen dort, wo es sehr schmerzt – beim Geld

Trotz einer Vielzahl an neuen Kommunikationstechnologien steht die altbewährte E-Mail sowohl bei Unternehmen als auch Privatpersonen immer noch hoch im Kurs. Sei es für einfache Nachrichten, Newsletter oder internen Unternehmensdaten. Schätzungen zufolge wurden im Jahr 2019 täglich rund 293,6 Milliarden E-Mails versendet. Ein Großteil davon ist allerdings Spam. Die Varianten sind zahlreich – vom nigerianischen…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Threats Predictions: Diese Cyber-Sicherheitstrends erwarten uns in 2019

Verstärkte Zusammenarbeit von cyberkriminellen Organisationen. Cloud, Smart Homes und soziale Medien geraten noch stärker ins Visier der Hacker.   In seinem neuen McAfee Labs Threats Predictions Report identifiziert das Sicherheitsunternehmen McAfee die wichtigsten Trends, die 2019 die Welt der Cyberkriminalität prägen werden [1]. Die Forscher erwarten, dass Malware-as-a-Service den Markt für das Outsourcing von Angriffen…