Was ist dateilose Malware?
Dateilose Malware ist eine Form böswilliger Software, die mithilfe legitimer Programme einen Computer infiziert – ohne dabei auf Dateien angewiesen zu sein und ohne Fußabdrücke zu hinterlassen. Das macht die Erkennung und Entfernung sehr schwierig. Angreifer kennen heute die Strategien, mit denen Unternehmen ihre Angriffe abwehren können, und entwickeln immer raffiniertere, gezieltere Malware, die diese Abwehrmaßnahmen umgehen kann. Es ist ein Wettlauf gegen die Zeit, da in der Regel nur die neuesten Hacking-Techniken wirklich effektiv sind. Dateilose Malware kann nur von den modernsten Sicherheitslösungen effektiv erkannt werden.
Dateilose Malware hat sich seit 2017 als Mainstream-Angriffsart etabliert, doch viele dieser Angriffsmethoden gibt es schon deutlich länger. Frodo, Number of the Beast und The Dark Avenger waren frühe Beispiele für diese Malware-Form. Zu den neueren, bekannteren dateilosen Angriffen gehören die Hacker-Attacke auf das US-amerikanische Democratic National Committee sowie die Equifax-Kompromittierung.
Die Eigenschaften, die dateilose Infektionen so heimtückisch machen, machen sie auch besonders effektiv. Mitunter gilt dateilose Malware sogar als "nicht erkennbar". Das ist nicht wortwörtlich so gemeint, sondern bedeutet vielmehr, dass dateilose Angriffe häufig von Virenschutz-, Whitelisting- und anderen herkömmlichen Endgeräteschutz-Lösungen nicht erkannt werden können. Laut dem Ponemon Institute ist die Erfolgswahrscheinlichkeit bei dateilosen Angriffen 10-mal höher als bei dateibasierten Angriffen.
Wie läuft ein dateiloser Angriff ab?
Bei dateilosen Angriffen handelt es sich um sogenannte getarnte LOC-Angriffe (Low-Observable Characteristics), die der Erkennung durch die meisten Sicherheitslösungen und forensischen Analysen entgehen. Dateilose Malware gilt zwar nicht als "klassischer" Virus, funktioniert aber auf ähnliche Weise: Sie agiert im Speicher. Dateilose Infektionen werden nicht in einer Datei gespeichert oder direkt auf einem Computer installiert, sondern agieren direkt im Arbeitsspeicher, sodass die böswilligen Inhalte nie auf die Festplatte gelangen. Viele LOC-Angriffe nutzen Microsoft Windows PowerShell, ein legitimes und nützliches Tool, mit dem Administratoren Aufgaben automatisieren und die Konfiguration verwalten. PowerShell besteht aus einer Befehlszeilen-Shell und der zugehörigen Skriptsprache, womit Angreifer Zugriff auf praktisch alle Windows-Elemente erhalten.
Abbildung 1. Beispiel für die Cyber Kill Chain eines dateilosen Angriffs
Die Abbildung oben zeigt, wie ein dateiloser Angriff ablaufen kann. Wie bei den meisten hochentwickelten Angriffen werden Benutzer bei dateilosen Angriffen häufig per Social Engineering dazu gebracht, auf einen Link oder einen Anhang in einer Phishing-E-Mail zu klicken. Dateilose Angriffe werden in der Regel für Bewegungen innerhalb des Netzwerks verwendet. Dabei bewegen sie sich von einem Gerät zum anderen, um Zugriffsrechte auf wertvolle Daten im gesamten Unternehmensnetzwerk zu erlangen. Um unverdächtig zu erscheinen, integriert sich dateilose Malware in vertrauenswürdige, unverdächtige Anwendungen (z. B. PowerShell und ausführbare Windows-Skript-Host-Dateien wie wscript.exe und cscript.exe) oder in das Betriebssystem, um böswillige Prozesse zu starten. Diese Angriffe missbrauchen das Vertrauensmodell von Sicherheitsanwendungen, nach dem Whitelist-Programme nicht überwacht werden.
Beim hier beschriebenen Szenario musste der Hacker nicht herausfinden, wie er sein Schadprogramm an Malware- und Virenschutz-Software vorbeischmuggeln kann, da die meisten automatisierten Sensoren Befehlszeilenänderungen nicht erkennen können. Geschulte Analysten können diese Skripts identifizieren, wissen aber oft nicht, wo sie mit der Suche beginnen sollen.
Wie können Sie sich vor dateilosen Angriffen schützen?
Je geschickter die Cyber-Sicherheitsbranche bei der Abwehr von Exploits wird, desto kürzer wird auch die Lebensdauer dateiloser Angriffe. Eine Möglichkeit zum Schutz vor dateilosen Infektionen besteht darin, die Sicherheitssoftware einfach auf dem neuesten Stand zu halten. Dazu gilt besonders für Microsoft-Anwendungen – und mit der Einführung der Microsoft 365-Suite kommen weitere Sicherheitsmaßnahmen dazu. Microsoft hat außerdem das Windows Defender-Paket aktualisiert, um irreguläre Aktivitäten von PowerShell zu erkennen.
Der eigentliche Schlüssel zur erfolgreichen Abwehr dateiloser Angriffe ist jedoch ein integrierter Ansatz, der den gesamten Bedrohungslebenszyklus abdeckt. Durch mehrschichtigen Schutz verschaffen Sie sich einen Vorteil gegenüber Angreifern, da Sie jede Phase einer Kampagne vor, während und nach einem Angriff untersuchen können.
Zwei Dinge sind besonders wichtig:
- Sie müssen sehen und bewerten können, was passiert: Sie decken die bei einem Angriff verwendeten Techniken auf, überwachen Aktivitäten in PowerShell oder anderen Skripting-Modulen, greifen auf aggregierte Bedrohungsdaten zu und gewinnen einen Einblick in Benutzeraktivitäten.
- Sie müssen den Zustand des Zielsystems steuern können: Sie halten beliebige Prozesse an, korrigieren zu einem Angriff gehörende Prozesse und isolieren infizierte Geräte.
Um dateilose Angriffe erfolgreich unterbrechen zu können, benötigen Sie einen ganzheitlichen Ansatz, mit dem geeignete Aktionen skaliert und an geeigneter Stelle bedarfsgerecht schnell kaskadiert werden können.
Wie können Sie sich vor bestimmten Typen dateiloser Bedrohungen schützen?
Zu unseren Forschungsteams gehören über 250 Forscher auf der ganzen Welt. Ihnen steht bei Trellix also ein Expertenteam an der Seite, das verdächtige Elemente und Verhaltensweisen auf Bedrohungen analysiert und Tools entwickelt, mit denen verschiedene Varianten dateiloser Bedrohungen direkt blockiert werden. Wir haben mehrere Signaturen veröffentlicht, mit denen verschiedene Varianten dateiloser Bedrohungen blockiert werden, Dazu gehören:
Dateilose Bedrohung: Reflektive Selbstinjektion
Reflektives Laden bezieht sich auf das Laden einer portierbaren ausführbaren Datei (PE-Datei) aus dem Arbeitsspeicher und nicht vom Datenträger. Speziell erstellte Funktionen/Skripts können PE-Dateien reflektiv laden, ohne dabei als geladenes Modul registriert zu werden, und können daher Aktionen ausführen, ohne einen Fußabdruck zu hinterlassen. PowerShell gehört zu den am häufigsten verwendeten Anwendungen zum Ausführen solcher Skripts. Dieses Ereignis weist auf einen dateilosen Angriff hin, bei dem ein PowerShell-Skript versucht, eine PE-Datei in den PowerShell-Prozess selbst einzuschleusen.
Dateilose Bedrohung: Reflektive EXE-Selbstinjektion
Reflektives Laden bezieht sich auf das Laden einer PE-Datei aus dem Arbeitsspeicher und nicht vom Datenträger. Speziell erstellte Funktionen/Skripts können ausführbare Dateien (EXE-Dateien) reflektiv laden, ohne dabei als geladenes Modul registriert zu werden, und können daher Aktionen ausführen, ohne einen Fußabdruck zu hinterlassen. PowerShell gehört zu den am häufigsten verwendeten Anwendungen zum Ausführen solcher Skripts. Dieses Ereignis weist auf einen dateilosen Angriff hin, bei dem ein PowerShell-Skript versucht, eine EXE-Datei in den PowerShell-Prozess selbst einzuschleusen.
Dateilose Bedrohung: Reflektive DLL-Remote-Injektion
Reflektives Laden bezieht sich auf das Laden einer PE-Datei aus dem Arbeitsspeicher und nicht vom Datenträger. Speziell erstellte Funktionen/Skripts können eine DLL-Datei reflektiv laden, ohne dabei als geladenes Modul registriert zu werden, und können daher Aktionen ausführen, ohne einen Fußabdruck zu hinterlassen. PowerShell gehört zu den am häufigsten verwendeten Anwendungen zum Ausführen solcher Skripts. Dieses Ereignis weist auf einen dateilosen Angriff hin, bei dem ein PowerShell-Skript versucht, eine DLL-Datei in einen Remote-Prozess einzuschleusen.
Dateilose Bedrohung: Ausführung von Schadcode per DotNetToJScript
Dieses Ereignis weist auf einen Versuch hin, schädlichen Shell-Code per DotNetToJScript auszuführen. DotNetToJScript wird von weit verbreiteten dateilosen Angriffen wie CACTUSTORCH verwendet und ermöglicht das Laden und Ausführen einer schädlichen .NET-Assembly (DLL, EXE usw.) direkt aus dem Speicher mithilfe von .NET-Bibliotheken, die über COM offengelegt werden. Wie bei jedem anderen typischen dateilosen Angriff schreibt auch DotNetToJScript keine Teile der schädlichen .NET-DLL- oder EXE-Datei auf die Festplatte des Computers.