Sophos entschlüsselt DNA dateiloser Malware

23. März 2021
| Keine Kommentare
Sophos entschlüsselt DNA dateiloser Malware

Beitrag teilen

Sophos entschlüsselt DNA dateiloser Malware – und stellt neue Schutztechnologie vor. Dynamic Shellcode Protection spürt im temporären Speicher ausgeführte Malware wie Ransomware oder Remote Access Agenten auf und blockiert damit eine beliebte Hackertechnik, um Schutzprogramme zu umgehen.

Sophos stellt seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection ist in Sophos Intercept X integriert und kann das Einnisten von Angriffscode in die dynamische Heap-Region des Speichers verhindern.

Speicher: beliebtes Versteck für Malware

Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Infolgedessen ist es weniger wahrscheinlich, dass die Malware erkannt und blockiert wird. Zu den Malwarearten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote Access Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff, je früher sie entdeckt und blockiert werden, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection nun einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt ist dabei die Entdeckung, dass diese speziellen Angriffscodes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen. Im Blog-Beitrag „Covert Code Faces a Heap of Trouble in Memory“ beschreiben die Sophos-Forscher ihre Entdeckung detailliert.

So funktioniert die Sophos Dynamic Shellcode Protection

Code von Anwendungen mit Ausführungsrechten wird üblicher Weise in den Speicher geladen. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich wird als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen wird der Loader für einen Remote Access Agent direkt in den Heap-Speicher injiziert. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote Access Agents zu erfüllen. Dies wird als „Heap-Heap“-Speicherzuweisungsverhalten bezeichnet. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockiert.

Malware im Speicher wird oft nicht erkannt

„Schadhafter Code versucht sich immer einer Erkennung zu entziehen, beispielsweise indem er getarnt und gepackt direkt in den Speicher geladen wird. Derartiger Code wird von Sicherheits-Tools oft nicht erkannt, auch nicht, wenn er entpackt wird. Die Forensiker und Security-Experten von Sophos erkannten, dass Heap-Heap-Speicherzuweisungen eine sehr typische Aktion mehrstufigen Remote Access Agents und anderen Angriffscodes ist“, erklärt Mark Loman, Director of Engineering bei Sophos. „Es ist das primäre Ziel, Angreifer daran zu hindern, einzelne Computer oder ein ganzes Netzwerk zu kompromittieren. Darum muss Schadware sehr früh erkannt werden, um beispielsweise den Zugriff auf Anmeldeinformationen, eine Rechteausweitung, laterale Bewegungen im Netzwerk oder das Sammeln, Freigeben und Abziehen von Informationen zu verhindern. Mit Dynamic Shellcode Protection sind wir nun in der Lage, genau jene Ansprüche noch effektiver zu bedienen.“

 

Mehr dazu bei Sophos.com

 

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.

 

Passende Artikel zum Thema

Cybersecurity-Plattform mit Schutz für 5G-Umgebungen

Cybersecurity-Spezialist Trend Micro stellt seinen plattformbasierten Ansatz zum Schutz der ständig wachsenden Angriffsfläche von Unternehmen vor, einschließlich der Absicherung von ➡ Weiterlesen

Datenmanipulation, die unterschätzte Gefahr

Jedes Jahr erinnert der World Backup Day am 31. März aufs Neue daran, wie wichtig eine aktuelle und leicht zugängliche ➡ Weiterlesen

Drucker als Sicherheitsrisiko

Die Flotte der Drucker von Unternehmen wird zunehmend zum blinden Fleck und birgt enorme Probleme für deren Effizienz und Sicherheit. ➡ Weiterlesen

Der AI Act und seine Folgen beim Datenschutz

Mit dem AI Act ist das erste Gesetz für KI abgesegnet und gibt Herstellern von KI-Anwendungen zwischen sechs Monaten und ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Windows Betriebssysteme: Fast zwei Millionen Rechner gefährdet

Für die Betriebssysteme Windows 7 und  8 gibt es keine Updates mehr. Das bedeutet offene Sicherheitslücken und damit lohnende und ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

DSPM-Produktsuite für Zero Trust Data Security

Data Security Posture Management – kurz DSPM – ist entscheidend für Unternehmen, um Cyber Resilience gegenüber der Vielzahl sich ständig ➡ Weiterlesen

PR-Meldungen, Sophos
, , , ,