Sophos entschlüsselt DNA dateiloser Malware

Sophos entschlüsselt DNA dateiloser Malware
Anzeige

Beitrag teilen

Sophos entschlüsselt DNA dateiloser Malware – und stellt neue Schutztechnologie vor. Dynamic Shellcode Protection spürt im temporären Speicher ausgeführte Malware wie Ransomware oder Remote Access Agenten auf und blockiert damit eine beliebte Hackertechnik, um Schutzprogramme zu umgehen.

Sophos stellt seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection ist in Sophos Intercept X integriert und kann das Einnisten von Angriffscode in die dynamische Heap-Region des Speichers verhindern.

Anzeige

Speicher: beliebtes Versteck für Malware

Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Infolgedessen ist es weniger wahrscheinlich, dass die Malware erkannt und blockiert wird. Zu den Malwarearten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote Access Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff, je früher sie entdeckt und blockiert werden, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection nun einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt ist dabei die Entdeckung, dass diese speziellen Angriffscodes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen. Im Blog-Beitrag „Covert Code Faces a Heap of Trouble in Memory“ beschreiben die Sophos-Forscher ihre Entdeckung detailliert.

So funktioniert die Sophos Dynamic Shellcode Protection

Code von Anwendungen mit Ausführungsrechten wird üblicher Weise in den Speicher geladen. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich wird als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen wird der Loader für einen Remote Access Agent direkt in den Heap-Speicher injiziert. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote Access Agents zu erfüllen. Dies wird als „Heap-Heap“-Speicherzuweisungsverhalten bezeichnet. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockiert.

Anzeige

Malware im Speicher wird oft nicht erkannt

„Schadhafter Code versucht sich immer einer Erkennung zu entziehen, beispielsweise indem er getarnt und gepackt direkt in den Speicher geladen wird. Derartiger Code wird von Sicherheits-Tools oft nicht erkannt, auch nicht, wenn er entpackt wird. Die Forensiker und Security-Experten von Sophos erkannten, dass Heap-Heap-Speicherzuweisungen eine sehr typische Aktion mehrstufigen Remote Access Agents und anderen Angriffscodes ist“, erklärt Mark Loman, Director of Engineering bei Sophos. „Es ist das primäre Ziel, Angreifer daran zu hindern, einzelne Computer oder ein ganzes Netzwerk zu kompromittieren. Darum muss Schadware sehr früh erkannt werden, um beispielsweise den Zugriff auf Anmeldeinformationen, eine Rechteausweitung, laterale Bewegungen im Netzwerk oder das Sammeln, Freigeben und Abziehen von Informationen zu verhindern. Mit Dynamic Shellcode Protection sind wir nun in der Lage, genau jene Ansprüche noch effektiver zu bedienen.“

 

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Windows: Grenze von 1 Milliarde Malware-Samples überschritten

Das Statistik-Tool AV-ATLAS von AV-TEST hat zum Jahresübergang Dezember 2022 und Januar 2023 nun mehr als 1 Milliarde Malware-Samples für ➡ Weiterlesen

Angriffserkennung für mehr Cyber-Sicherheit im Mittelstand

Die Deutsche Cyber-Sicherheitsorganisation (DCSO) stellt ab sofort ein erweitertes Angebot für Cyber-Sicherheit als Managed Service zur Verfügung. Speziell mittelständische Unternehmen ➡ Weiterlesen

Ertappt: Black Basta-Struktur durchleuchtet

Dem Sicherheitsanbieter Quadrant ist es gelungen eine Black Basta-Attacke live zu verfolgen und den technischen Hintergrund auszuwerten. Damit kennen die ➡ Weiterlesen

Policen: Werden Cyberangriffe unversicherbar?

Die zunehmende Zahl von Cyberangriffen und der damit verbundene Schaden haben zu einer steigenden Nachfrage nach Cyberversicherungen geführt. Wenn Cyberangriffe ➡ Weiterlesen

TeamDrive: Verschlüsselung und Cloud in Deutschland

Der deutsche Datendienstleister TeamDrive bietet seinen gleichnamigen Cloudservice als Alternative zu Boxcryptor an. Nachdem Boxcryptor, bis vor kurzem in deutscher ➡ Weiterlesen

Risiko Remote-Arbeit: Mitarbeiter ohne Cybersicherheits-Schulung

Eine neue Studie von Hornetsecurity hat ergeben, dass 33 % der Unternehmen keinerlei Schulungen zum Thema Cybersicherheit für Anwender durchführt, ➡ Weiterlesen

2023: Die größten Cyberbedrohungen für Großunternehmen

Cyberbedrohungen: Die Kaspersky-Experten prognostizieren für dieses Jahr, dass Cyberkriminelle Medien nutzen werden, um große Unternehmen und staatliche Einrichtungen zu erpressen ➡ Weiterlesen

IT-Sicherheit: Ungeschulte Mitarbeiter sind ein Risiko

In puncto IT-Sicherheit haben Mitarbeitende in deutschen Unternehmen einen großen Nachholbedarf: Fast 34 Prozent haben nur geringe oder sehr geringe ➡ Weiterlesen