Bedrohungsanalyse

    Kampf gegen die wachsende Herausforderung durch dateilose Malware

    Dateilose Malware, die sich im Arbeitsspeicher befindet, ist eine ernsthafte Bedrohung, die Unternehmen nicht ignorieren können.

    by Samuel Greengard
    03BLOG_1.jpg

    Wichtige Punkte

    • Angriffe mit dateiloser Malware stellen eine erhebliche Gefahr für Unternehmen dar. Sie sind schwer zu erkennen und zu beheben.
    • Diese so genannten Angriffe, die vom Land leben", sind am erfolgreichsten, wenn es Unternehmen an einem ganzheitlichen Sicherheitsrahmen mit den richtigen Tools fehlt.
    • Eine mehrschichtige Sicherheitsstrategie sollte auch das Blockieren von dateiloser Malware umfassen, bevor sie über E-Mail, ungepatchte Software oder andere Schwachstellen in Ihr Netzwerk gelangt.

    Die zunehmende Komplexität von Malware stellt Unternehmen vor enorme Herausforderungen. Eines der ärgerlichsten Probleme ist Malware, die sich nur im Speicher befindet - sogenannte dateilose Malware. Dieser Typ nutzt eine Reihe von Techniken, um nicht entdeckt zu werden, einschließlich des Versteckens in legitimem Binärcode, Shellcode oder Skripten.

    Diese Angriffsmethode, die auch als "living off the land" (LotL) bezeichnet wird, zielt auf Host-Systeme mit ausführbaren Dateien ab, die bösartigen Code herunterladen, installieren und ausführen. Nach Angaben des Ponemon Institute machten dateilose Angriffe im Jahr 2016 etwa 20 % aller Angriffe aus, mittlerweile sind sie jedoch für etwa 50 % aller Malware-Angriffe verantwortlich.[1] In einer anderen Studie wurde berichtet, dass dateilose Malware-Angriffe innerhalb eines Jahres bis 2020 um 888 % gestiegen sind.[2]

    Dateilose Malware verschafft sich Privilegien, indem sie als legitim erscheint. Dabei werden die in ein System eingebauten Tools verwendet, um einen Cyberangriff durchzuführen. Da er sich im Arbeitsspeicher befindet und wie legitimer Code arbeitet - unter Verwendung von Windows PowerShell und Windows Management Instrumentation (WMI) - wird er von typischen Malware-Erkennungstools nicht erkannt. Sobald dateilose Malware in einem System Fuß gefasst hat, kann sie sich seitlich durch ein Netzwerk bewegen.

    Die Beseitigung von dateiloser Malware ist extrem schwierig. Daher ist es von entscheidender Bedeutung, nicht genutzte Softwarekomponenten zu entfernen oder abzuschalten, da diese ein bevorzugtes Ziel für LoTL-Exploits sind. 

    Außerdem ist ein starkes Erkennungs- und Präventionssystem erforderlich, einschließlich Tools wie Mimecast Email Security & Resilience, um das Eindringen von bösartigem Code zu verhindern und seine seitliche Verbreitung einzuschränken. Je länger diese Art von Malware in einem Netzwerk aktiv bleibt, desto größer ist das Risiko - und desto schwieriger ist es, sie zu beseitigen.

    Wie LoTL funktioniert und warum Wachsamkeit so wichtig ist

    Dateilose Malware stützt sich auf legitime Softwarekomponenten, um einen Angriff zu starten. Er kann sich sogar als echte signaturbasierte Antiviren- und Intrusion Detection-Tools tarnen. Typische Ziele sind:

    • PowerShell, das für die Windows- und .NET-Verwaltung für administrative Aufgaben verwendet wird.
    • PsExec, ein Telnet-Ersatz für die Fernverwaltung von Systemen.
    • BITSAdmin, das die Koordinierung von Dateiübertragungen, einschließlich Uploads und Downloads, unterstützt.
    • Regsvr32.exe, die Objekte und eingebettete Steuerelemente, einschließlich dynamischer Link-Bibliotheken (DLLs), verwaltet.
    • Wmic.exe, ein Windows-eigenes Dienstprogramm zur Automatisierung von Aufgaben und zur Verwaltung von Remote-Management-Systemen.

    Die Standardeinstellungen des Windows-Betriebssystems führen in der Regel zu Sicherheitslücken. In vielen Fällen bieten diese Komponenten Verwaltungsfunktionen und Features, die Unternehmen oder Gruppen nicht benötigen.

    Angreifer verwenden verschiedene Techniken, um einen Angriff zu starten, darunter Phishing-Methoden, DLL-Hijacking, Drive-by-Downloads, Prozess-Dumping, Umgehung von UAC-Keylogging, Codekompilierung, Protokollumgehung und Codeausführung. 

    Sobald sie in ein System oder Netzwerk eingedrungen sind, nutzen Eindringlinge verschiedene und sich ständig weiterentwickelnde Angriffsmethoden. In jüngster Zeit gehören dazu auch dateilose Trojaner wie Astaroth,[3] Scripting-Malware,[4] und verschiedene Methoden zur Erstellung von Backdoors.[5] Es ist bekannt, dass Angreifer auch Malware-Varianten wie DarkWatchman, Panda Stealer, BitRAT und AveMariaRAT verwenden.

    Ein LotL-Angriff besteht in der Regel aus vier verschiedenen Phasen:

    • Die Angreifer dringen über ein Skript, eine Shell oder eine Binärdatei in ein System ein.
    • Sie ändern Anmeldedaten, um einen breiteren und tieferen Zugang zu erhalten.
    • Sie führen Hintertüren in die Umgebung ein, damit sie zurückkehren können, ohne frühere Schritte zu wiederholen.
    • Schließlich exfiltrieren sie Daten oder platzieren konventionelle Malware wie Ransomware. 

    Ein LotL-Angriff kann sich über Wochen oder sogar Monate hinziehen - während Angreifer Dateien manipulieren, Dokumente aus vertrauenswürdigen Prozessen verschlüsseln und andere schädliche Aktivitäten durchführen.

    Die Risiken sind beträchtlich und nehmen zu

    Während frühe Versionen von LoTL Nutzdaten einbrachten, die eher ein Ärgernis als eine wirkliche Bedrohung darstellten, stellt dateilose Malware jetzt ein ernstes Risiko dar. Mithilfe von LotL können sich Angreifer Zugang zu zahlreichen Prozessen verschaffen und Softwarecode ändern, indem sie gängige Skriptsprachen wie Python, Perl und C++ verwenden. Bei Angriffen wie der Verletzung einer großen Kreditauskunftei im Jahr 2017[6] und dem Angriff auf eine politische Partei in den USA im Jahr 2016[7] kamen LotL-Angriffsmethoden zum Einsatz.

    Erschwerend kommt hinzu, dass in den letzten Jahren Exploit-Toolkits aufgetaucht sind, die Prozesse automatisieren und neue Arten von Malware generieren. Angreifer verwenden auch legitime Sicherheitstools wie PowerSploit[8] und Metasploit,[9] , die zur Generierung von Malware und verschiedenen Angriffsmethoden missbraucht werden können. Und in einigen Fällen werden die Opfer dazu verleitet, legitime Sicherheitstools wie Cobalt Strike und SilentBreak herunterzuladen, die den Angreifern helfen.[10] Tatsächlich setzen Cyberkriminelle oft auf eine Kombination von Methoden, um einen LotL-Angriff auszulösen. Dazu gehören Exploit-Kits, gekaperte legitime Tools und Malware, die in den Speicher oder in die Registrierung eingeschleust werden kann. 

    Schritte zur Verringerung des Risikos von dateiloser Malware

    Da herkömmliche Antiviren- und Endpunktsicherheitstools nicht in der Lage sind, LotL-Angriffe zu erkennen, müssen Unternehmen ein fortschrittlicheres Sicherheitssystem entwickeln. Der beste Ansatz ist Zero Trust Policies und robuste, mehrschichtige Verteidigungsstrukturen. Es gibt drei Hauptkomponenten:

    • Analysieren Sie Ihren aktuellen Sicherheitsrahmen. Ein erster Schritt besteht darin, sicherzustellen, dass Ihr Unternehmen eine gründliche Überprüfung der administrativen Rechte und Privilegien vorgenommen und die Einstellungen für den am wenigsten privilegierten Zugriff angepasst hat. Darüber hinaus sollten nicht benötigte oder unnötige Komponenten abgeschaltet oder entfernt werden - und die Kernsysteme sollten gepatcht werden, um sicherzustellen, dass sie auf dem neuesten Stand der Sicherheit sind.
    • Setzen Sie die richtigen Sicherheitstools ein. Darüber hinaus ist es wichtig, eine starke Authentifizierung und ein Identitätsmanagement zu verwenden, einschließlich einer Multi-Faktor-Authentifizierung (MFA). Punktuelle Sicherheitstools reduzieren spezifische Risiken, wie z. B. durch E-Mail übertragene Malware. Erwägen Sie auch den Einsatz von maschinellem Lernen (ML), künstlicher Intelligenz (KI) und neuartiger Verhaltensüberwachung, um anomale Aktivitäten, einschließlich Änderungen im Netzwerk, zu erkennen. Es gibt auch neue Speicher-Scan-Tools, die man im Auge behalten sollte.[11]
    • Ausbildung und Schulung des Personals. Wichtig ist auch eine Schulung zum Thema Cybersicherheit . Die Mitarbeiter müssen wissen, wie sie verdächtige E-Mails erkennen können, und sich der Risiken bewusst sein, die mit dem Anklicken falscher Links verbunden sind.

    Es gibt zwar keinen einzigen Weg, dateilose Malware und LotL-Angriffe zu vereiteln, aber ein ganzheitlicher Sicherheitsrahmen kann die Risiken minimieren.

    Die Quintessenz

    "Angriffe, die vom Land leben", stellen eine ernsthafte Bedrohung für Unternehmen, Bildungseinrichtungen, Behörden und andere dar. Da diese Angriffe heimlich erfolgen, sind sie schwer zu erkennen und zu stoppen. Eine gezielte Sicherheitsstrategie mit den richtigen Tools und Schulungen verringert die Risiken jedoch erheblich. Stellen Sie sicher, dass Ihr Unternehmen alles tut, um eine Null-Vertrauens-Politik und einen mehrschichtigen Rahmen für die Cybersicherheit zu schaffen. Lesen Sie, wie Mimecasts Email Security & Resilience dabei helfen kann, diese Herausforderung zu meistern.

     


    [1] "Nur im Speicher: Fileless Malware - An Elusive TTP," Center for Internet Security

    [2] "Fileless Malware Attacks Surge by 900%", WatchGuard

    [3] "Astaroth," Mitre

    [4] "Powruner," Mitre

    [5] "Poshspy," Mitre

    [6] "Wie es zu dem Equifax-Hack kam und was noch zu tun ist," CNET

    [7] "Mueller-Bericht wirft neues Licht darauf, wie die Russen das DNC und die Clinton-Kampagne gehackt haben," TechCrunch

    [8] "PowerShellMafia/PowerSploit," github

    [9] "Metasploit," Rapid7

    [10] "Von China unterstützte APT41-Hacker haben im vergangenen Jahr weltweit 13 Organisationen angegriffen," The Hacker News

    [11] "KI für Sicherheit," Techwire Asia

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang