Fileless Malware: Meister der Tarnung

15. September 2020
| Keine Kommentare
Cyber Attacke Fileless

Beitrag teilen

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren. Auch bekannt als Non-Malware, Zero-Footprint oder Macro-Angriff, unterscheidet sie sich von herkömmlicher Malware dadurch, dass sie keine bösartige Software installieren muss, um den Computer eines Opfers zu infizieren.

Stattdessen nutzt sie die vorhandenen Schwachstellen auf dem Gerät aus: Hierbei nistet sich die Schadware im RAM des Computers ein und verwendet für ihre Angriffe gängige Systemwerkzeuge, um bösartigen Code in normalerweise sichere, vertrauenswürdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.

Angriffstechniken und Funktionsweise von Fileless Malware

Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten können. Beispielsweise durch bösartige Bannerwerbung, sogenanntes „Malvertising“. Klicken Nutzer auf die Ad, werden sie auf eine bösartige Website umgeleitet, die legitim erscheint und Flash lädt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle über die Command Line auszuführen, während es im RAM ausgeführt wird. PowerShell lädt daraufhin bösartigen Code von einem Botnet oder einem anderen gefährdeten Server herunter und führt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.

Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen ermöglicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher können heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln – ein Prozess, der dafür sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden.

Anzeichen von Fileless Malware

Durch einen Neustart des Computers kann ein Sicherheitsverstoß durch Fileless Malware jedoch gestoppt werden. Dies liegt daran, dass der RAM seine Daten nur dann behält, wenn der Computer eingeschaltet ist. Sobald er heruntergefahren wird, ist die Infektion nicht mehr aktiv. Allerdings können Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitslücke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgeführt werden, um den Angriff fortzusetzen.

Obwohl keine neuen Dateien installiert sind oder ein typisches, verräterisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen würde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungewöhnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverstößen im Systemspeicher sowie auf andere Artefakte geachtet werden, die möglicherweise durch bösartigen Code zurückgelassen wurden.

Best Practices zum Schutz vor Fileless Malware

Im Folgenden einige Maßnahmen für Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:

  • Keine unnötigen Funktionen und Anwendungen: Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder für die für die Arbeit nicht notwendig sind, deinstallieren.
  • Sparsame Privilegien-Vergabe: Unternehmen sollten Privilegien für Admin-Benutzer beschränken und Nutzern nur so viele Berechtigungen wie nötig gewähren, damit sie ihre Aufgaben erledigen können.
  • Regelmäßige Software-Updates: Alle Software sollte stets auf dem neuesten Stand sein und regelmäßig aktualisiert werden.
  • Netzwerkverkehr-Überwachung: Der Netzwerkverkehr sollte überwacht und die Aktivitätsprotokolle nach Auffälligkeiten überprüft werden.
  • Endgeräteschutz: Unternehmen sollten sicherstellen, dass sie über einen Schutz für Endgeräte verfügen und jedes dieser Geräte sichern, einschließlich Remote- und Mobilgeräte, um ihr Netzwerk zu schützen.
  • PowerShell: Zudem sollten die Best Practices für die Verwendung und Sicherung von PowerShell beachtet werden.
  • Passwort-Hygiene: Passwörter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung geändert werden.
  • Mitarbeiterschulungen: Ausführliche Sicherheitsschulungen für Endbenutzer können zudem einen großen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten.

Fileless Malware ist für Kriminelle leicht verfügbar, da sie häufig bereits in Exploit-Kits enthalten ist. Darüber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartnäckigkeit, obwohl ihre Flexibilität, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitslösungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bekämpfen.

 

[starbox id=6]

 

Passende Artikel zum Thema

EU-NIS2-Direktive: Wie bereiten sich Unternehmen am besten vor?

Von der Neuauflage der EU-NIS2-Direktive sind viele Unternehmen betroffen. Mit ihr erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

EU-NATO-Papier: KRITIS vor Cyberangriffen schützen

EU-NATO-Taskforce über die Resilienz der Kritischen Infrastruktur (KRITIS) in Europa erklärt Energie, Verkehr, digitale Infrastruktur und Weltraum als besonders schützenswerte ➡ Weiterlesen

Cyber-Risiko: Ladestationen für Elektrofahrzeuge

Ladestationen und Anwendungen für Elektrofahrzeuge sind oft nur unzureichend gegenüber Sicherheitsrisiken geschützt. Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen Aktionen von ➡ Weiterlesen

Drastische Zunahme von Malware-Bedrohungen

Sicherheitsbedrohungen in OT- und IoT-Umgebungen nehmen stark zu. Das Gesundheitswesen, der Energiesektor und die Fertigung sind besonders davon betroffen. Die ➡ Weiterlesen

FBI vs. Qakbot-Netzwerk: Zerschlagen oder nur lahmgelegt?

Am 29. August 2023 gab das US-amerikanische FBI bekannt, dass es die multinationale Cyber-Hacking- und Ransomware-Operation Qakbot bzw. Qbot zerschlagen ➡ Weiterlesen

E-Mail-Erpressung auf dem Vormarsch

Bei Erpressungs-E-Mails drohen Cyberkriminelle damit, kompromittierende Informationen ihrer Opfer zu veröffentlichen, etwa ein peinliches Foto, und fordern eine Zahlung in ➡ Weiterlesen

Risiken des Quantencomputings in der Automobilbranche

Auswirkungen der Quantencomputer-Technologie auf die Automobilindustrie, die potenziellen Cybersicherheitsrisiken der neuen Technologie und die Möglichkeiten der Risikominderung für die Automobilhersteller. ➡ Weiterlesen

Storys
, , , ,