zurück zur Übersicht

Fileless Malware – Eine unsichtbare Bedrohung?

Stellen Sie sich vor Sie wären ein Maulwurf, der einmal falsch abgebogen ist und zufällig mitten im Hyänengehege des städtischen Zoos aus seinem Hügel krabbelt. Sie sehen nichts, spüren aber irgendwie, dass Sie sich in einer ziemlichen brenzligen Situation befinden. Die Räuber können Sie sehen, Sie hingegen sind blind und müssen sich auf andere Sinne verlassen, um zu überleben.

So ähnlich gestaltet sich auch die Situation mit sog. Fileless Malware, also Schadsoftware, die nicht durch Angreifer auf Ihrem System installiert wird, sondern direkt in den Speicher des Systems geladen wird oder Werkzeuge benutzt, die zum Funktionsumfang des Betriebssystems gehören.

Laut der Studie „2017 State of Endpoint Risk“ von Ponemon nahmen solche Angriffe allein im Jahr 2017 um 45% zu. 77% der erfolgreichen Angriffe nutzten Techniken, die als Fileless Malware bezeichnet werden können.

Wie funktioniert Fileless Malware?

Grundsätzlich können bei den Techniken die folgenden Unterscheidungen gemacht werden:

  • Windows Registry Manipulation – Der Malware Code wir hier direkt in Registry von Windows-Betriebssystem geschrieben und dann durch reguläre Prozesse ausgeführt. Ziel sind hierbei: Persistenz, UAC Bypass, Umgehen von Whitelisting, Code Injection in andere Prozesse.
  • Memory Code Injection – Hier wird der Schadcode in den Process Memory laufender Prozesse injiziert. Üblicherweise werden Prozesse verwendet, die besonders wichtig sind, um das System normal benutzen zu können und die üblicherweise nicht durch Whitelisting eingeschränkt oder sogar gescannt werden können. Verbreitete Techniken zur Code Injection sind: Remote Thread Injection, APC, Atom Bombing, Process Hollowing, Local Shellcode Injection und Reflective Loading.
  • Script-based Malware – Hier kommt auf Windows-Systemen vorwiegend PowerShell oder WMI zum Einsatz.

Doch wie läuft ein Angriff mittels Fileless Malware überhaupt ab? Ein gutes Beispiel ist der Angriff auf verschiedene Organisationen im Vorfeld der Olympischen Winterspiele der im Dezember 2017 entdeckt wurde. Dieser begann mit Emails, die vorgaben vom National Counter-Terrorism Center in Südkorea zu stammen. Im authentisch wirkenden Text der Mail wurden die Empfänger auf ein angehängtes Word-Dokument verwiesen. Wurde dies geöffnet, wurden sie gebeten per Click den Inhalt des Dokumentes zu aktivieren. Dadurch wurde ein Macro aktiviert, das durch ein verstecktes PowerShell Script die eigentliche Schadsoftware ausführte. Das PowerShell Script wurde mittels Steganographie in einer Bilddatei versteckt. Auch wenn hier also Dateien involviert waren, enthielten diese keine Schadfunktionen und konnten somit nicht ohne weiteres durch Sicherheitssysteme erkannt werden.

 Prävention und Erkennung

Security Awareness

Eine universelle Maßnahme, die gegen eine Vielzahl von Bedrohungen schützt, ist die regelmäßige Sensibilisierung und Schulung der Anwender im Hinblick auf Cyber Security und aktuelle Bedrohungen. Oft wird eine niedrige Erfolgsquote als Gegenargument für diese Maßnahmen angeführt, dabei gilt es jedoch zu bedenken, dass auch nur eine 50%ige Erfolgsquote dazu führt, dass sich die Anzahl der potentiellen Vorfälle halbiert, die durch weitere Schutzmaßnahmen verhindert, erkannt oder eingedämmt werden müssen. Der Invest lohnt sich also schon allein, um die Security Teams zu entlasten.

Endpoint Protection

Moderne Endpoint-Protection-Lösungen erkennen den Einsatz von PowerShell und können helfen deren Nutzung einzuschränken. Die generelle Blockierung ist selten eine Alternative, da PowerShell in den meisten Umgebungen massiv für die Administration von Windows Systemen und Microsoft Applikationen (z.B. Exchange)  eingesetzt wird. Für den Arbeitsablauf der Administratoren ist sie damit ähnlich essentiell wie die Verwendung von Email Attachments für alle anderen IT User, deren Blockierung ebenfalls nur selten eine praktikable Option darstellt. Was aber meist möglich ist, ist Definition von Rahmenbedingungen, unter denen der Einsatz von PowerShell erfolgen soll. So können freigegebene Scripts beispielsweise immer unter einem bestimmten Pfad ausgeführt werden. Endpoint-Protection-Lösungen können helfen diese Rahmenbedingungen zu überwachen und beispielsweise die direkte Ausführung von PowerShell Kommandos in der PowerShell Konsole  verhindern.

Incident Detection

Verhaltensanalyse ist eine sehr schlagkräftige Waffe im Kampf gegen Fileless Malware Attacks. Mit Hilfe von EDR Tools (Endpoint Detection and Response) oder SIEM Systemen (Security Information and Event Management) kann man potentiell schädliche PowerShell Kommandos erkennen. Indikatoren sind beispielsweise die Encodierung von Kommandos oder einzelnen Parametern und der nachfolgende Start einer PowerShell Session.

Fazit

Auch wenn man sich manchmal fühlt, als wäre man als Maulwurf im Hyänengehege aufgewacht, es gibt immer Strategien, die einem dabei helfen auch solche Situationen zu überleben.

 


Bild: ©iT-CUBE SYSTEMS AG 2018

 

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer