Thought Leadership
Dateilose Malware ist eigentlich nicht neu. Doch sie wird zunehmend zu einer immer schneller wachsenden Bedrohung.
Allein im vergangenen Jahr verdoppelten sich Zugriffe auf Cloud-Server durch dateilose Malware wie HeadCrab. Den Angreifern gelang es dabei, unbemerkt Kryptowährung von über 2.300 Opfern zu schürfen. Der Cloud Native Threat Report von Aqua Security hat geschätzt, dass solche unsichtbaren Angriffe sogar um mehr als 1.400 Prozent zugenommen haben. Denn traditionelle Verteidigungstools wie Antivirenprogramme oder Endpoint Detection and Response (DER) reichen gegen diese Art von Malware nicht mehr aus.
Das Problem: Versteckten sich die ersten Computerviren aus den achtziger Jahren noch auf Disketten und konnten mit signaturbasierter Antiviren-Software erkannt werden, hinterlässt dateilose Malware dagegen heute keine Spuren mehr auf der Festplatte. Ohne ihre dateibasierte Hülle kann Malware die herkömmlichen Schutzmechanismen einfacher umgehen und tritt nun in einer unauffälligeren, speicherresidenten Form auf. Sie gelangt zum Beispiel über Phishing-E-Mails, bösartige Makros oder ausgenutzte Schwachstellen ins System und kapert dort vertrauenswürdige Tools wie PowerShell oder Windows Management Instrumentation, um direkt im Arbeitsspeicher des Opfers ausgeführt zu werden.
Hier kann sie völlig unbemerkt Daten stehlen oder Dateien verschlüsseln – und das bis zum nächsten Neustart des Systems. Mit dieser „Living off the Land“-Taktik trickst sie die klassischen Antivirenprogramme aus. Denn diese suchen weiterhin nach verdächtigen ausführbaren Dateien, die es aber längst nicht mehr gibt. Und selbst moderne Endpoint-Detection-Tools haben Schwierigkeiten, solche Angriffe zu erkennen, weil sie eigentlich legitime Prozesse nachahmen. Damit werden die alten Verteidigungsstrategien hinfällig – und ein neuer Sicherheitsansatz ist gefragt.
Ganzheitliche Verteidigung umfasst auch die Hardwareebene
Reine Software-Abwehrlösungen entwickeln sich dank Neuerungen in den Bereichen maschinelles Lernen und Speicherforensik zwar stetig weiter. Aber sie sind meist reaktiv und schließen Sicherheitslücken oft erst, nachdem Angreifer diese bereits erfolgreich ausgenutzt haben. Noch problematischer ist, dass die Hardwareebene bei der Erstellung einer Sicherheitsstrategie häufig übersehen wird und damit eine kritische und ungeschützte Schwachstelle bleibt. Angesichts der immer raffinierteren Angriffsmethoden benötigen Unternehmen statt fragmentierter Softwarelösungen heute einen integrierten Schutz, der das gesamte System aus Software, Hardware, Arbeitsspeicher und Speicher umfasst.
Auf der Softwareseite beispielsweise könnten fortschrittliche Verhaltensanalysen und die Überwachung des Arbeitsspeichers in Echtzeit helfen, dateilose Bedrohungen bereits im Entstehen zu erkennen, indem sie ungewöhnliche Prozessaktivitäten melden. Versagt dieser Mechanismus jedoch, dann müssen auf der nächsten Ebene zuverlässige Hardware-Sicherheitsmaßnahmen greifen. Es gibt mittlerweile durch künstliche Intelligenz (KI) gestützte Lösungen, die einen solchen Schutz direkt in die Speicherebene integrieren, indem sie nicht autorisierte Datenzugriffe automatisch identifizieren und abwehren. Solche hardwarebasierten Cybersicherheitslösungen wirken in nächster Nähe zu den Daten und bekämpfen Bedrohungen in Echtzeit. Auf diese Weise bleiben die Unternehmensdaten selbst dann noch gegen Manipulationsversuche und Datenklau abgesichert, wenn andere Abwehrmechanismen bereits kompromittiert sind.
Daneben können auch andere Hardware-Innovationen einen wichtigen Beitrag zur aktiven Bekämpfung von Cyberangriffen leisten. Ein Beispiel sind sichere Prozessorarchitekturen – etwa mit Trusted Execution Environments – , die sensible Vorgänge von potenziell kompromittierter Software isolieren. Methoden zur Speicherverschlüsselung wiederum können den Arbeitsspeicher vor neugierigen Blicken schützen und entziehen der dateilosen Malware so ihren Spielraum. Werden diese Hardwaremaßnahmen noch in einem gut abgestimmten Sicherheits-Stack mit Software-Tools wie Next-Generation-Firewalls, Sandboxing und regelmäßigen Firmware-Updates kombiniert, dann entsteht eine solide, mehrschichtige Verteidigungsinfrastruktur, die deutlich schwerer zu durchbrechen ist – weil sie die potenziellen Angreifer bei jedem Schritt vor neue Hürden stellt.
Ein Weg nach vorn mit künstlicher Intelligenz
Wenn sich der derzeitige Trend weiter ungebremst fortsetzt, dann könnten sich dateilose Angriffe in der Cloud bis Ende des Jahres verdreifachen – auch mit KI-gesteuerten Malware-Varianten, die lernen, sich in Echtzeit ihrer Umgebung anzupassen. So genannte „Living off the Land“-Taktiken könnten in 80 Prozent der Sicherheitsvorfälle dominieren. Auch dateilose Ransomware könnte um 40 Prozent zunehmen, mit speicherbasierten Täuschungen und dreifacher Erpressung, um auf der Seite der Opfer möglichst viel Chaos zu verursachen.
Vor diesem Hintergrund bleibt Unternehmen jetzt nur noch der Weg nach vorne. Und das heißt, nicht an veralteten Werkzeugen oder isolierten Sicherheitsstrategien festzuhalten. Der Schlüssel zu einer ganzheitlichen Verteidigung ist die Integration von leistungsstarker Software mit fortschrittlichen Hardwaresicherheitsmaßnahmen. KI-gestützte Hardwarelösungen mit geschütztem Speicher, sicheren Chips und verschlüsseltem Arbeitsspeicher sind bereits im Markt verfügbar und sollten beim Kampf gegen die Cyberkriminalität unbedingt zum Arsenal der Verteidiger gehören.
Zweifellos wird sich Malware auch in Zukunft rasant weiterentwickeln und böswillige Akteure werden immer wieder neue Wege suchen, um an ihr Ziel zu kommen. Doch ein proaktiver Ansatz, der sich auch Innovationen auf Hardwareebene zunutze macht, kann Unternehmen dabei unterstützen, den Angreifern einen entscheidenden Schritt voraus zu sein.
Autorin: Camellia Chan, CEO und Mitbegründerin von X-PHY Inc.
