Bedrohung im Verborgenen: Fileless Malware
Fileless Malware umgeht Dateiscan-Technologien, weil sie nur im Arbeitsspeicher oder in anderen schwer überprüfbaren Bereichen agiert. Darauf sollten sich Unternehmen einstellen.
Bereits seit einigen Jahren verbreitet sich zunehmend die sogenannte Fileless Malware (auch Zero-Footprint Malware genannt). Diese Computerschädlinge agieren, ohne Software zu installieren, und sind damit unerkennbar für herkömmliche Antiviren-Lösungen.
Da sich mit Fileless Malware die Möglichkeit für Cyberkriminelle deutlich erhöht, unbemerkt zu agieren, steigen dadurch auch die Erfolgschancen ihres Angriffs. Das macht diesen Angriffsweg für Cyberkriminelle besonders attraktiv.
Zudem sorgt auch die wachsende Beliebtheit von Exploits-as-a-Service für eine Zunahme von Fileless-Malware-Attacken, denn so können auch Kriminelle mit wenig technischem Verständnis Angriffe starten, indem sie diese „Dienstleistung“ aus dem Darknet beziehen.
Traditionelle Bedrohungslandschaft: File-based Malware
Die traditionelle Bedrohungslandschaft besteht aus Schadcode, der verdeckt als eigenständige Anwendung ausgeführt wird oder die Integrität vorhandener Anwendungen gefährdet und ihr Verhalten verändert. Um Endpunkte vor dieser geläufigen dateibasierten (file-based) Malware zu schützen, scannen herkömmliche Technologien Dateien, die vor der Ausführung auf die Festplatte geschrieben wurden.
Die häufigsten Angriffstechniken dateibasierter Malware sind auf eine Interaktion des Opfers angewiesen, wie das Herunterladen einer bösartigen Anwendung. Ein Klick reicht in der Regel. Die Software läuft anschließend oft stillschweigend im Hintergrund, verfolgt das Verhalten des Benutzers oder nutzt eine Schwachstelle in einer bereits installierten Software aus. So kann sie im Verborgenen zusätzliche Komponenten herunterladen und ohne Wissen des Opfers ausführen.
Dateibasierte Malware zielt in der Regel darauf ab, unautorisierten Zugriff auf das Betriebssystem zu erlangen. Sie erzeugt oder entpackt normalerweise zusätzliche Dateien, wie zum Beispiel .dll-, .sys- oder .exe-Dateien, die unterschiedliche Funktionen haben. Sie hat auch die Möglichkeit, sich selbst als Treiber zu installieren (zum Beispiel Rootkits), um die vollständige Kontrolle über das Betriebssystem zu erlangen. Dies setzt jedoch die Verwendung eines gültigen digitalen Zertifikats voraus, um traditionelle dateibasierte Endpunktsicherheitstechnologien zu überwinden. Eines der am weitesten fortgeschrittenen dateibasierten Malware-Programme war Stuxnet. Sein Zweck war es, ein ganz bestimmtes Ziel zu infiltrieren und dabei persistent zu bleiben. Es wurde digital signiert und hatte verschiedene Module, die es ermöglichten, sich von einem Opfer zum anderen zu verbreiten, bis es sein Ziel erreicht hatte.
Dateibasierte Bedrohungen müssen also immer erst auf der Festplatte des Opfers installiert werden, bevor sie bösartigen Code ausführen können. Die klassische signaturbasierte Erkennung kann genau deshalb eine als schädlich bekannte Datei eindeutig identifizieren und verhindert, dass sie auf den Computer geschrieben oder ausgeführt wird. Jedoch sind traditionelle Erkennungstechnologien angesichts neuer Mechanismen wie Verschlüsselung, Verschleierung und Polymorphismus allenfalls noch als eine erste, von Kriminellen leicht überwindbare Schutzschicht anzusehen. Kriminelle Profis können nicht nur das Aussehen der Datei für jedes einzelne Opfer manipulieren, sondern auch die Analyse des Codes erschweren.
Fileless Malware: Angriffe aus dem Arbeitsspeicher
Im Vergleich zu dateibasierter Malware unterscheidet sich dateilose Malware grundlegend in der Art und Weise, wie der bösartige Code ausgeführt wird und wie es gelingt, traditionelle Dateiscan-Technologien zu umgehen. Wie der Begriff schon sagt, handelt es sich nicht um eine Datei, die auf die Festplatte geschrieben werden müsste, um ausgeführt zu werden. Der bösartige Code wird in der Regel direkt im Arbeitsspeicher des Rechners ausgeführt. Das heißt (zunächst) auch: Er bleibt nicht persistent. Nach einem Neustart ist der Angriff beendet. Allerdings wurden von Cyberkriminellen verschiedene Techniken entwickelt, die Fileless- und Persistenzfähigkeiten verbinden. Beispielsweise kombiniert bösartiger Code, der in Registry-Einträgen platziert und bei jedem Neustart von Windows ausgeführt wird, Tarnung und Persistenz.
Die Verwendung von Skripten, Shellcode und sogar verschlüsselten Binärdateien ist für Fileless Malware, die Registry-Einträge nutzt, keine Seltenheit. Der Grund: Herkömmliche Mechanismen der Endpunktsicherheit sind normalerweise nicht in der Lage, Skripte zu überprüfen. Da herkömmliche Tools und Technologien hauptsächlich auf den Scan, die statische Dateianalyse und das Entdecken von bekannter und unbekannter Malware ausgerichtet sind, können dateilose Angriffe sehr lange unbemerkt bleiben.
Der Hauptunterschied zwischen dateibasierter und dateiloser Malware besteht darin, wo und wie ihre Komponenten gespeichert und ausgeführt werden.
Auslieferungsmechanismen von Fileless Malware
Beide Angriffsarten greifen grundsätzlich auf die gleichen Infektionsmechanismen zurück, wie infizierte E-Mail-Anhänge oder Drive-by-Downloads, die Schwachstellen in Browsern oder häufig verwendeter Software ausnutzen. Aber dateilose Malware ist in der Regel skriptbasiert und kann auf vorhandene legitime Anwendungen zurückgreifen, um Befehle auszuführen.
Beispielsweise können PowerShell-Skripte, die an Word-Dokumente angehängt sind, automatisch von dem nativen Windows-Tool PowerShell ausgeführt werden. Die resultierenden Befehle können entweder detaillierte Informationen über das System des Opfers an den Angreifer senden oder eine verschleierte Nutzlast herunterladen, die von der traditionellen lokalen Sicherheitslösung nicht erkannt werden kann.
„Fileless Malware umgeht herkömmliche Dateiscan-Technologien. Deshalb kann nur ein neuer Ansatz von mehreren Sicherheitsschichten umfangreichen Schutz bieten.“
Liviu Arsene, Bitdefender
Ein anderes Beispiel wäre eine bösartige URL, die, sobald sie einmal geklickt wurde, den Benutzer auf Websites weiterleitet, die eine Java-Schwachstelle ausnutzen, um dann das PowerShell-Skript auszuführen. Das Skript selbst ist nur eine Reihe von legitim erscheinenden Befehlen, die eine Binärdatei direkt im Arbeitsspeicher herunterladen und ausführen können. Daher erkennen herkömmliche Dateiscan-Mechanismen diese Bedrohung nicht.
Diese schwer erkennbaren Angriffe sind in der Regel auf bestimmte Organisationen und Unternehmen ausgerichtet und haben das Ziel der verdeckten Infiltration und Daten-Exfiltration. Der Aufwand der Cyberkriminellen, solche Angriffe zu individualisieren, ist nur noch gering und lässt sich teilweise schon automatisieren. Der Kreis der gefährdeten Organisationen wird damit immer größer.
Mehrere Sicherheitsschichten: Schutz der nächsten Generation
Heutige Plattformen für den Schutz von Endpunkten sollten deshalb heute mehrschichtige Sicherheit bieten – eine Kombination aus dateibasiertem Scannen und Verhaltens-Monitoring mit Machine Learning und Sandboxing zur Erkennung von Bedrohungen. Einige Security-Technologien setzen alleine auf Algorithmen des maschinellen Lernens als einzige Verteidigungsschicht. Dieser Schutz ist in der Regel durch dateilose Malware einfach zu umgehen.
Endpoint Security Plattformen der nächsten Generation verwenden dagegen mehrere Schutzschichten und ergänzen diese durch Machine Learning auf alle Schichten, also mit Algorithmen, die darauf spezialisiert sind, ausgefeilteste Bedrohungen vor, während und nach der Ausführung zu erkennen. So können sie auch vor neuen Angriffswerkzeugen und -techniken schützen, die ungepatchte und unbekannte Schwachstellen in Anwendungen ausnutzen.
Über den Autor:
Liviu Arsene ist Leitender Bedrohungsanalyst Analyst bei Bitdefender.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
