Anzeige

Malware

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren. Auch bekannt als Non-Malware, Zero-Footprint oder Macro-Angriff, unterscheidet sie sich von herkömmlicher Malware dadurch, dass sie keine bösartige Software installieren muss, um den Computer eines Opfers zu infizieren.

Stattdessen nutzt sie die vorhandenen Schwachstellen auf dem Gerät aus: Hierbei nistet sich die Schadware im RAM des Computers ein und verwendet für ihre Angriffe gängige Systemwerkzeuge, um bösartigen Code in normalerweise sichere, vertrauenswürdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.

Angriffstechniken und Funktionsweise von Fileless Malware

Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten können. Beispielsweise durch bösartige Bannerwerbung, sogenanntes „Malvertising“. Klicken Nutzer auf die Ad, werden sie auf eine bösartige Website umgeleitet, die legitim erscheint und Flash lädt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle über die Command Line auszuführen, während es im RAM ausgeführt wird. PowerShell lädt daraufhin bösartigen Code von einem Botnet oder einem anderen gefährdeten Server herunter und führt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.

Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen ermöglicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher können heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln – ein Prozess, der dafür sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden.

Durch einen Neustart des Computers kann ein Sicherheitsverstoß durch Fileless Malware jedoch gestoppt werden. Dies liegt daran, dass der RAM seine Daten nur dann behält, wenn der Computer eingeschaltet ist. Sobald er heruntergefahren wird, ist die Infektion nicht mehr aktiv. Allerdings können Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitslücke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgeführt werden, um den Angriff fortzusetzen.



Anzeichen von Fileless Malware

Obwohl keine neuen Dateien installiert sind oder ein typisches, verräterisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen würde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungewöhnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverstößen im Systemspeicher sowie auf andere Artefakte geachtet werden, die möglicherweise durch bösartigen Code zurückgelassen wurden.

Best Practices zum Schutz vor Fileless Malware

Im Folgenden einige Maßnahmen für Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:

• Keine unnötigen Funktionen und Anwendungen: Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder für die für die Arbeit nicht notwendig sind, deinstallieren.

• Sparsame Privilegien-Vergabe: Unternehmen sollten Privilegien für Admin-Benutzer beschränken und Nutzern nur so viele Berechtigungen wie nötig gewähren, damit sie ihre Aufgaben erledigen können.

• Regelmäßige Software-Updates: Alle Software sollte stets auf dem neuesten Stand sein und regelmäßig aktualisiert werden.

• Netzwerkverkehr-Überwachung: Der Netzwerkverkehr sollte überwacht und die Aktivitätsprotokolle nach Auffälligkeiten überprüft werden.

• Endgeräteschutz: Unternehmen sollten sicherstellen, dass sie über einen Schutz für Endgeräte verfügen und jedes dieser Geräte sichern, einschließlich Remote- und Mobilgeräte, um ihr Netzwerk zu schützen.

• PowerShell: Zudem sollten die Best Practices für die Verwendung und Sicherung von PowerShell beachtet werden.

• Passwort-Hygiene: Passwörter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung geändert werden.

• Mitarbeiterschulungen: Ausführliche Sicherheitsschulungen für Endbenutzer können zudem einen großen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten.

Fileless Malware ist für Kriminelle leicht verfügbar, da sie häufig bereits in Exploit-Kits enthalten ist. Darüber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartnäckigkeit, obwohl ihre Flexibilität, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitslösungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bekämpfen.

Christoph M. Kumpa, Director DACH & EE
Christoph M. Kumpa
Director DACH & EE, Digital Guardian

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Open Source
Sep 04, 2020

Gemeinsame Lösung gegen Open-Source-Schwachstellen

Trend Micro entwickelt gemeinsam mit Snyk eine neue Lösung zum Schwachstellen-Management…
Cybersquatting
Sep 01, 2020

Cyberkriminelle locken Opfer auf gefälschte Marken-Websites

Cyberkriminelle locken Anwender im Web verstärkt auf gefälschte Websites von großen…
Cyber Security Concept
Aug 14, 2019

Ohne Rundumverteidigung kein zuverlässiger Schutz

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend…

Weitere Artikel

Cybercrime

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Der Bericht „Rückblick auf die Bedrohungslandschaft 2020“ analysiert unter anderem die…
Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!