Bedrohungen durch schädliche Software, die von Cyberkriminellen entwickelt und verbreitet wird, sind schon seit Langem im Umlauf. Deshalb haben Sie sicher auch eine Antivirus-Software installiert, die Ihre Computer schützt. Doch wissen Sie auch, was Fileless Malware ist, also ein Schädling ohne Dateien? Sie fragen sich jetzt wahrscheinlich: Wenn es keine Dateien gibt, wie funktioniert er dann und wie lässt er sich aufspüren? Gibt es einen Schutz davor?
Was ist Fileless Malware?
Fileless, also dateilose, Malware setzt auf Angriffsmethoden, bei denen es nicht erforderlich ist, Daten auf eine Festplatte zu schreiben, wodurch verhindert werden soll, dass sie von signaturbasierten Antivierenprogrammen erkannt wird. Mithilfe legitimer Binärdateien des Systems (LOLBins) wie PowerShell oder anderen Windowsdiensten setzt sie sich direkt im Arbeitsspeicher fest. Dazu gehören zum Beispiel:
- MSHTA
- WScript/CScript
- regsvr32
- rundll32
Da diese Tools Bestandteil des Betriebssystems sind und ihnen daher standardmäßig vertraut wird, können Angreifer ihre Aktivitäten als reguläre Systemprozesse tarnen – nahezu ohne Spuren zu hinterlassen.
Wie bei allen Bedrohungen gibt es unterschiedliche Varianten. Einige können sich beispielsweise dauerhaft einnisten, indem sie verschlüsselte Befehle oder Skript-Ladeprogramme (Script Loader) in die Windows-Registrierung, die Windows-Verwaltungsinstrumentation (WMI) oder die Aufgabenplanung schreiben. Auf diese Weise kann die Malware beim Neustart automatisch erneut Inlineskripts oder LOLBin-basierte Loader ausführen, ohne irgendwo eine herkömmliche ausführbare Datei speichern zu müssen.
Wie gelangt Fileless Malware auf das System?
Wie verschafft sich Fileless Malware Zugang zu Ihrem System? Der Erstzugriff, also der Zeitpunkt, an dem sich jemand erstmals unerlaubt Zugang zu einem Computer verschafft, kann über verschiedene Methoden erfolgen wie:
- Über den Browser, ein Dokument oder eine Anwendung wird ein Shellcode ausgeführt, der den Payload direkt in den Arbeitsspeicher lädt.
- Das Credential Stuffing ist eine Angriffsmethode, bei der sich Angreifer mithilfe von Zugangsdaten, die zuvor gestohlen oder über das Darknet gekauft wurden, bei einem System mit Internetverbindung (z. B. RDP-Server) anmelden und dann ihre Fileless Malware ausführen. Sie machen sich dabei die Angewohnheit vieler Anwender zunutze, dieselben Anmeldedaten für mehrere Onlinedienste wiederzuverwenden.
- Phishing ist eine Form des Social Engineerings, bei dem sich Angreifer als jemand vertrauenswürdiges ausgeben, sei es ein Unternehmen oder eine Person, um das Opfer dazu zu bringen, eine schädliche Aktion auszuführen. Dazu gehören zum Beispiel das Öffnen eines E-Mail-Anhangs, das Klicken auf einen Link in einem Dokument, das Herunterladen einer bösartigen Anwendung oder das Ausführen eines gefälschten Updates.
Taktiken und Techniken
Sobald sich ein Angreifer erfolgreich Zugriff auf das System verschafft hat, kann er seinen Angriff fortsetzen. Anstatt jedoch die schädliche Software zu installieren, nutzt er vorhandene Windows-Ressourcen, um sein Ziel zu erreichen. Diese sind bereits auf dem System vorhanden und ihnen wird in der Regel vertraut.
Auch hier unterscheiden sich die Methoden von Angreifer zu Angreifer, aber im Großen und Ganzen sind die eingesetzten Taktiken ausführlich in der MITRE ATT&CK-Wissensdatenbank dokumentiert. Hierzu gehören beispielsweise:
- Auskundschaften (TA0007), um Informationen über Benutzerkonten, Berechtigungen, laufende Prozesse, Netzwerke usw. zu sammeln
- Zugriff auf Zugangsdaten (TA0006), also das Stehlen von Benutzernamen und Kennwörtern, um sich Zugriff auf weitere Systeme zu verschaffen und damit das Aufspüren des Angriffs zu erschweren
- Erweiterung von Berechtigungen (TA0004), um die gewünschten Aktionen ausführen zu können
- Laterale Ausbreitung (TA0008), also die Suche nach weiteren Systemen, um auch diese zu infizieren
- Dauerhaftes Einnisten (TA0003), um sich über einen längeren Zeitpunkt Zugriff auf das System zu sichern
- Einrichten einer C&C-Infrastruktur (TA0011), um per Fernzugriff mit dem infizierten System zu kommunizieren und Änderungen vorzunehmen
Warum lässt sich Fileless Malware so schwer aufspüren?
Mit einer dateilosen Angriffstaktik erhoffen sich Cyberkriminelle wie bereits erwähnt, dass ihr Schädling unerkannt bleibt. Auf diese Weise können sie über Tage und Wochen hinweg mit denselben Zugangsdaten zugreifen und sich Informationen über das betroffene System beschaffen. Hätten sie eine Malware installiert, würde ein Antivirus-Tool sie früher oder später erkennen. Außerdem hinterlassen Dateien forensisch auswertbare Spuren. Fileless Malware ist weniger offensichtlich und mögliche Beweise verschwinden bei einem Neustart oder beim Beenden des ausgenutzten Prozesses. Folglich bleiben die schädlichen Aktivitäten unbemerkt.
Wie schafft es Emsisoft dennoch, Fileless-Angriffe zu erkennen?
Wie oben beschrieben nutzen die Tools, die zum Auskundschaften und Vorbereiten eines infizierten Systems eingesetzt werden, dieselben Dienste, die auch Administratoren regelmäßig einsetzen. Daher stammt auch der englische Begriff „Living off the Land Binary“ (LOLBin), also eine Binärdatei, die bereits vorhandene Daten nutzt. Die Erkennung wird dadurch erschwert, dass häufig reguläre Befehle dieser legitimen Dienste verwendet werden. Trotz der Hürden haben Cybersicherheitsprogramme jedoch Verfahren entwickelt, um den Missbrauch dieser Windows-Dienste festzustellen. Tools zur Endpunkterkennung und -reaktion (EDR) können beispielsweise typische Anzeichen für einen unerlaubten Zugriff erkennen, bevor schädliche Schritte unternommen werden. Wie so oft ist alles eine Sache des Kontextes und in diesem Fall geben der Zeitpunkt und die Umstände einer bestimmten Aktion den Ausschlag, ob sie für weitere Nachforschungen gemeldet wird.
Ein erster Schritt, um Angriffe frühzeitig erkennen und entsprechende Maßnahmen ergreifen zu können, besteht darin, eine Basis anzulegen, was als normales Ereignis gilt und was nicht. Schädliches Verhalten ist nämlich trotz Einsatz von LOLBins eindeutig zu erkennen, etwa wenn ein Prozess versucht, große Datenmengen zu löschen oder zu verschlüsseln. Sie können sich sicher sein, dass die Emsisoft-Verhaltensanalyse das erkennt und blockiert.
Abschließende Gedanken
Fileless Malware ist dafür konzipiert, herkömmliche Erkennungsverfahren zu täuschen. Allerdings können Unternehmen sie mit den richtigen Tools anhand ihres Verhaltens aufspüren. Indem diese sich auf Prozessaktivitäten sowie Dateien konzentrieren, erkennen sie frühzeitig einen Missbrauch legitimer Dienste und können so die Auswirkungen dieser heimtückischen Angriffe minimieren.
Übersetzung: Doreen Schäfer