Sogenannte Fileless Malware ist für Cyberkriminelle ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren, ohne Spuren auf dem System zu hinterlassen. Über Schwachstellen nistet sich die Malware im Arbeitsspeicher des Systems ein und verrichtet dort ihr Werk. Christoph M. Kumpa, Director DACH & EE bei Digital Guardian, erläutert im nachfolgenden Beitrag, wie Unternehmen sich gegen Fileless Malware schützen können.
Anzeige
Fileless Malware ist auch als Non-Malware, Zero-Footprint oder Macro-Angriff bekannt. Diese Art Schadsoftware, unterscheidet sich von herkömmlicher Malware dadurch, dass sie nichts installieren muss, um den Computer eines Opfers zu infizieren. Stattdessen nutzt die Malware vorhandenen Schwachstellen auf dem Gerät aus, um sich im im RAM des Computers einzunisten. Die Fileless Malware verwendet für ihre Angriffe gängige Systemwerkzeuge, um bösartigen Code in normalerweise sichere, vertrauenswürdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.
Angriffstechniken und Funktionsweise von Fileless Malware
Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten können. Beispielsweise durch bösartige Bannerwerbung, sogenanntes „Malvertising". Klicken Nutzer auf die Ad, werden sie auf eine bösartige Website umgeleitet, die legitim erscheint und Flash lädt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle über die Command Line auszuführen, während es im RAM ausgeführt wird. PowerShell lädt daraufhin bösartigen Code von einem Botnet oder einem anderen gefährdeten Server herunter und führt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.
Da Adobe Flash Ende 2020 aus dem Support fällt und in den aktuellen Browsern bereits blockiert wird, halte ich diesen Angriffsvektor nicht mehr für sonderlich bedeutend.
Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen ermöglicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher können heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln – ein Prozess, der dafür sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden.
Durch einen Neustart des Computers kann ein Sicherheitsverstoß durch Fileless Malware jedoch gestoppt werden. Denn der Arbeitsspeichre (RAM) verliert beim Ausschalten des Computers seinen Inhalt. Sobald das System heruntergefahren wird, ist die Infektion nicht mehr aktiv. Bedeutet aber auch, dass alle Spuren beseitigt sind.
Zudem können Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitslücke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgeführt werden, um den Angriff fortzusetzen.
Anzeichen von Fileless Malware
Obwohl keine neuen Programme installiert oder Dateien abgelegt werden, oder ein typisches, verräterisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen würde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungewöhnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverstößen im Systemspeicher sowie auf andere Artefakte geachtet werden, die möglicherweise durch bösartigen Code zurückgelassen wurden.
Best Practices zum Schutz vor Fileless Malware
Im Folgenden einige Maßnahmen für Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:
- Keine unnötigen Funktionen und Anwendungen: Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder für die für die Arbeit nicht notwendig sind, deinstallieren.
- Sparsame Privilegien-Vergabe: Unternehmen sollten Privilegien für Admin-Benutzer beschränken und Nutzern nur so viele Berechtigungen wie nötig gewähren, damit sie ihre Aufgaben erledigen können.
- Regelmäßige Software-Updates: Alle Software sollte stets auf dem neuesten Stand sein und regelmäßig aktualisiert werden.
- Netzwerkverkehr-Überwachung: Der Netzwerkverkehr sollte überwacht und die Aktivitätsprotokolle nach Auffälligkeiten überprüft werden.
- Endgeräteschutz: Unternehmen sollten sicherstellen, dass sie über einen Schutz für Endgeräte verfügen und jedes dieser Geräte sichern, einschließlich Remote- und Mobilgeräte, um ihr Netzwerk zu schützen.
- PowerShell: Zudem sollten die Best Practices für die Verwendung und Sicherung von PowerShell beachtet werden.
- Passwort-Hygiene: Passwörter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung geändert werden.
- Mitarbeiterschulungen: Ausführliche Sicherheitsschulungen für Endbenutzer können zudem einen großen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten.
Fileless Malware ist für Kriminelle leicht verfügbar, da sie häufig bereits in Exploit-Kits enthalten ist. Darüber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartnäckigkeit, obwohl ihre Flexibilität, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitslösungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bekämpfen.
Anzeige
Der Text wurde mir als Presseinformation von Digital Guardian zur Verfügung gestellt, ist also kein sponsored Post. Digital Guardian bietet eine aus der Cloud bereitgestellte Data Protection Platform. Diese wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden.
2015
Ok, wenn man powershell.exe und powershell-ise.exe (und cmd.exe, und wscript, und cscript, evtl. auch java.exe und nodejs.exe) per Applocker für normale Benutzer sperrt, ist man schon aus der Nummer raus. Und Admins dürfen Proxy-kontrolliert nicht ins Internet. Aus die Maus.