Fileless Malware: Meister der Tarnung

Cyber Attacke Fileless

Beitrag teilen

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren. Auch bekannt als Non-Malware, Zero-Footprint oder Macro-Angriff, unterscheidet sie sich von herkömmlicher Malware dadurch, dass sie keine bösartige Software installieren muss, um den Computer eines Opfers zu infizieren.

Stattdessen nutzt sie die vorhandenen Schwachstellen auf dem Gerät aus: Hierbei nistet sich die Schadware im RAM des Computers ein und verwendet für ihre Angriffe gängige Systemwerkzeuge, um bösartigen Code in normalerweise sichere, vertrauenswürdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.

Anzeige

Angriffstechniken und Funktionsweise von Fileless Malware

Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten können. Beispielsweise durch bösartige Bannerwerbung, sogenanntes „Malvertising“. Klicken Nutzer auf die Ad, werden sie auf eine bösartige Website umgeleitet, die legitim erscheint und Flash lädt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle über die Command Line auszuführen, während es im RAM ausgeführt wird. PowerShell lädt daraufhin bösartigen Code von einem Botnet oder einem anderen gefährdeten Server herunter und führt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.

Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen ermöglicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher können heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln – ein Prozess, der dafür sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden.

Anzeichen von Fileless Malware

Durch einen Neustart des Computers kann ein Sicherheitsverstoß durch Fileless Malware jedoch gestoppt werden. Dies liegt daran, dass der RAM seine Daten nur dann behält, wenn der Computer eingeschaltet ist. Sobald er heruntergefahren wird, ist die Infektion nicht mehr aktiv. Allerdings können Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitslücke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgeführt werden, um den Angriff fortzusetzen.

Obwohl keine neuen Dateien installiert sind oder ein typisches, verräterisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen würde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungewöhnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverstößen im Systemspeicher sowie auf andere Artefakte geachtet werden, die möglicherweise durch bösartigen Code zurückgelassen wurden.

Best Practices zum Schutz vor Fileless Malware

Im Folgenden einige Maßnahmen für Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:

  • Keine unnötigen Funktionen und Anwendungen: Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder für die für die Arbeit nicht notwendig sind, deinstallieren.
  • Sparsame Privilegien-Vergabe: Unternehmen sollten Privilegien für Admin-Benutzer beschränken und Nutzern nur so viele Berechtigungen wie nötig gewähren, damit sie ihre Aufgaben erledigen können.
  • Regelmäßige Software-Updates: Alle Software sollte stets auf dem neuesten Stand sein und regelmäßig aktualisiert werden.
  • Netzwerkverkehr-Überwachung: Der Netzwerkverkehr sollte überwacht und die Aktivitätsprotokolle nach Auffälligkeiten überprüft werden.
  • Endgeräteschutz: Unternehmen sollten sicherstellen, dass sie über einen Schutz für Endgeräte verfügen und jedes dieser Geräte sichern, einschließlich Remote- und Mobilgeräte, um ihr Netzwerk zu schützen.
  • PowerShell: Zudem sollten die Best Practices für die Verwendung und Sicherung von PowerShell beachtet werden.
  • Passwort-Hygiene: Passwörter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung geändert werden.
  • Mitarbeiterschulungen: Ausführliche Sicherheitsschulungen für Endbenutzer können zudem einen großen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten.

Fileless Malware ist für Kriminelle leicht verfügbar, da sie häufig bereits in Exploit-Kits enthalten ist. Darüber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartnäckigkeit, obwohl ihre Flexibilität, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitslösungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bekämpfen.

 

[starbox id=6]

 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen