Dateilose Malware-Angriffe nehmen zu, da immer mehr Hacker sie nutzen, um ihre bösartigen Aktivitäten zu verschleiern. Diese Bedrohungen nutzen die vorhandenen, auf der Whitelist stehenden Anwendungen und die Rechenleistung eines Computers gegen sich selbst. Dies wird von Sicherheitsexperten als „Live-off-the-Land“-Bedrohungen bezeichnet.

Dateilose Malware ist eine fortschrittliche, persistente Bedrohung, die in Form von heimlichen, signaturlosen Angriffen auftritt, die einen Computer gegen sich selbst wenden und Systeme kompromittieren können, um Informationen zu stehlen. Dies hinterlässt keine Spuren für Sicherheitsexperten, um eine forensische Analyse durchzuführen und die Ursache zu ermitteln.

Laut dem Trend Micro 2019 Midyear Security Roundup stiegen die Erkennungen von dateiloser Malware in diesem Jahr um 265 % im Vergleich zur ersten Hälfte des Jahres 2018. Der Bericht ergab auch, dass die häufigsten Verwendungen von dateiloser Malware in Form von Kryptowährungs-Mining-Malware, Ransomware und Banking-Trojanern auftraten.

Was ist dateilose Malware?

Typische Malware muss ausgeführt werden, um einen Angriff zu ermöglichen. Dateilose Malware erfordert keine Dateidownloads und hinterlässt keine Signatur, was sie erheblich schwieriger zu untersuchen und zu beheben macht.

Hacker nutzen dateilose Malware, indem sie bösartigen Code, Skripte oder Bibliotheken in Dokumente und Webseiten injizieren. Dieser Code wird als LOLBins oder Living-off-the-Land-Binaries bezeichnet und hilft Hackern, Angriffe auf Penetrationstests und Verwaltungssoftware zu automatisieren.

LOLBins nutzen auf der Whitelist stehende, legitime Softwareanwendungen, die auf dem Zielgerät vorhanden sind, verwenden sie jedoch mit böswilliger Absicht. Häufig missbrauchte Werkzeuge sind PowerShell, PsExec oder Windows Management Instrumentation (WMI).

Hacker fügen Binärdateien, Skripte und Bibliotheken in alltägliche Dokumente ein und liefern sie per E-Mail an ihr Ziel. Alternativ speichern sie LOLBins im HTML einer Webseite. Sobald sie geöffnet sind, löst das Skript eine Reihe von Aufgaben aus, die Verwaltungswerkzeuge betreiben und starten, die bösartige Aktivitäten im Speicher durchführen. Diese Aktivitäten können das Bereitstellen von Ransomware, das Exfiltrieren sensibler Informationen oder das Herstellen einer Verbindung zu einem Remote-Server zum Herunterladen und Ausführen einer bösartigen Nutzlast umfassen.

Einige bemerkenswerte Fälle von dateilosen Malware-Angriffen umfassen den Banking-Trojaner von 2018, der in zwei Monaten mehr als 100.000 Computer infizierte, eine Reihe von Ransomware-Angriffen, die 2019 Krankenhäuser angriffen, sowie eine Serie von gefälschten Adobe Flash-Update-Anfragen, die Malware enthielten. Zwei der bekanntesten Angriffe umfassen den Hack des Democratic National Committee (DNC) im Jahr 2016 und den Equifax Datenverstoß im Jahr 2017.

Arten von dateiloser Malware

Dokumentenbasiert — Makros, die in harmlos aussehenden Dokumenten gespeichert sind, sind eine der häufigsten Methoden, um einen Angriff zu ermöglichen. Makros sind dazu gedacht, Aktionen zu automatisieren, um Menschen Zeit zu sparen. Während diese für viele unglaublich nützlich sind, können Hacker leicht ein Makro verstecken, das ein ausführbares Skript in einem dieser Dokumente enthält.

Zum Beispiel ist es in einem professionellen Umfeld nicht ungewöhnlich, dass ein Mitarbeiter eine Microsoft Excel-Tabelle von einem seiner Kollegen erhält. Es kann für einen Angreifer einfach sein, eine bösartige Excel-Tabelle mit einem Makro zu senden, das dazu bestimmt ist, Powershell auszuführen und Aufgaben wie das Herunterladen einer bösartigen Paywall zu automatisieren.

Webbasiert — Angriffe, die von bösartigen Online-Seiten ausgehen, funktionieren etwas anders. Webbasierte Angriffe nutzen eine Vielzahl von Skriptsprachen, die über eine Webseite ausführbar sind, am häufigsten ist JavaScript. Laut einer Stack Overflow-Umfrage von 2018 unter mehr als 100.000 Entwicklern verwenden etwa 72 % der Entwickler JavaScript.

In diesem Szenario lädt eine Webseite, führt einen JavaScript-Befehl aus und startet ihn, um PowerShell zu öffnen und eine Reihe von Aktionen auszulösen. PowerShell wird gestartet und folgt den Skriptbefehlen, die das Herstellen einer Verbindung zu einem Remote-Server und das Extrahieren sensibler Informationen oder das Herunterladen und Ausführen bösartiger Dateien umfassen können.

Warum werden dateilose Angriffe häufiger?

Vertrauenswürdige Anwendungen — Da dateilose Malware auf vertrauenswürdige, legitime Anwendungen angewiesen ist, gibt es nur wenige Möglichkeiten, sich dagegen zu schützen. Anstatt Dateien herunterzuladen, was normalerweise eine Administratorgenehmigung erfordert, nutzt das bösartige Skript die native Anwendung. Diese Werkzeuge werden vom Angreifer gekapert.

Die Verwendung legitimer Werkzeuge ermöglicht es diesen Prozessen, im Speicher anstelle der Festplatte des Computers abzulaufen. Dies hinterlässt keine Spuren des Angriffs, da er ausschließlich im RAM abläuft. Dies ermöglicht es dem Angriff, im Geheimen zu operieren und Malware im RAM zu verstecken, wo sie von herkömmlicher Antivirensoftware nicht erkannt wird.

In-Memory-Operation — Es gibt einige Vorteile auf der Angreiferseite, Befehle im Speicher auszuführen, aber der offensichtlichste ist die Umgehung von Antivirenprogrammen. Antivirensoftware konzentriert sich normalerweise darauf, Downloads oder neu installierte Anwendungen zu scannen. Dateilose Malware erfordert keine dieser Aktionen, wodurch die meisten Antiviren-Tools den Angriff übersehen.

Ein weiterer Vorteil ist der Mangel an Aufmerksamkeit, der durch fehlgeschlagene Erkennung entsteht. Dies ermöglicht es Hackern, Malware an Orten zu verstecken, auf die die meisten Sicherheitstools nicht zugreifen können. In einigen Fällen ermöglicht die In-Memory-Operation, dass Malware weiterläuft, wenn ein Gerät ausgeschaltet wird.

Potentiell OS-agnostisch — Während Windows-Systeme anfälliger für dateilose Angriffe sind, können auch Mac- und Linux-Systeme anfällig sein. Da dateilose Malware auf die nativen Werkzeuge eines Computers angewiesen ist, könnte das Betriebssystem des Geräts irrelevant werden.

Angriffe können durch ein auf einem Mac-Computer geöffnetes Skript oder durch das Ausführen von Befehlen von einem Remote-Server resultieren. Diese Fälle sind weit weniger verbreitet als Windows-basierte dateilose Angriffe, könnten jedoch theoretisch ähnlich funktionieren, indem sie Mac- und Linux-native Verwaltungstools verwenden.

Wie schützt man sich vor dateiloser Malware?

Einige Sicherheitsexperten argumentieren, dass dateilose Malware in Echtzeit nicht erkennbar ist. Aber nichts ist völlig unentdeckbar. Die am häufigsten akzeptierte Lösung zum Schutz vor dateiloser Malware ist die Implementierung einer Endpoint Detection and Response (EDR)-Lösung.

Diese Tools kombinieren die Funktionalität traditioneller Antivirus- und Endpunktschutzlösungen mit Anomalieerkennung und Bedrohungsbehebungsfähigkeiten. Wenn ein Endpunktgerät versucht, außerhalb eines festgelegten Netzwerks zu kommunizieren oder ein Benutzer eine Datei herunterlädt, die ein bösartiges Skript enthält, erkennt und löst die EDR-Lösung das Problem an seiner Quelle.

Benutzer- und Entitätsverhaltensanalysen (UEBA) sind ein aufstrebender Markt für Sicherheitslösungen, der maschinelles Lernen nutzt, um eine Basislinie typischer Aktivitäten und Verhaltensweisen eines Benutzers zu entwickeln. Wenn das System ungewöhnliche Aktivitäten oder Anfragen von einem unbekannten Gerät oder Standort bemerkt, werden die Sicherheitsteams alarmiert. Zusätzlich zur Verhinderung von dateilosen Angriffen ist UEBA in der Lage, Insider-Bedrohungen, kompromittierte Konten und Datenverstöße zu erkennen.

Darüber hinaus wäre es ratsam, wenn Sie einen Windows-Computer verwenden, PowerShell und WMI zu deaktivieren, es sei denn, Sie haben sie manuell geöffnet. Wenn Sie keine Makros in Microsoft Excel oder Word verwenden, könnte es auch von Vorteil sein, Makros für diese Anwendungen zu deaktivieren.

Abgesehen von technischen Lösungen kann Sicherheitsschulung Unternehmen helfen, Mitarbeiter darüber aufzuklären, wie man Spam-E-Mails und bösartige Websites erkennt. Schauen Sie sich unsere Kategorie für Sicherheitsschulungssoftware an, um die Tools zu finden, die Ihr Team benötigt, um Ihre Mitarbeiter zu schulen und Ihr Unternehmen zu schützen.