Im Laufe des letzten Jahres verzeichnete die IT-Security-Branche einen bedeutenden Anstieg einer recht jungen Kategorie von Schadsoftware: Fileless Malware Attacks.
Umgangssprachlich umfasst die Bezeichnung verschiedene, aber oft ähnliche Begriffe. „Fileless Malware“ bezeichnet mehr ein Konzept als eine konkrete Umsetzung.
Was zeichnet Fileless Malware aus?
Während bei herkömmlicher Schadsoftware ausführbarer Schadcode von extern in ein System eingeschleust wird, kommt bei Fileless Malware eine vollkommen andere Strategie zum Einsatz. Es wird explizit vermieden, ausführbaren Schadcode nachzuladen, der über Datei- und signaturbasierenden Antivirenschutz relativ einfach entdeckt werden kann. Fileless Malware versucht seine Aktionen ohne Zwischenspeichern von ausführbarem Schadcode umzusetzen – daher auch der Terminus „Fileless“. Dazu werden meist bereits existierende Systemmittel verwendet. Das können z.B. vorhandene Admin-Tools wie Microsoft PowerShell oder Scriptsprachen wie Visual Basic, Bash oder Python sein.
Was alles zählt zu dieser Kategorie?
Ein Hauptelement der Angriffe ist es, möglichst keine nachweisbaren Dateispuren zu hinterlassen. Dazu wird eine Infektion eventuell nur im Speicher des Zieles, z.B. als getarnter Prozess, umgesetzt und nicht auf der Festplatte. Zur Klasse der Fileless Attacks gehören auch speicherorientierte Angriffe wie „Non-Malware Attacks“, „Zero-Footprint Attacks“ und im weitesten Sinne Macro-Attacken. Ziel dieser Vorgehensweisen ist, bei der Sicherheitsüberprüfung von Downloads und Schreiboperationen nicht aufzufallen.
Welche Auswirkungen hat diese Strategie?
Alle Systeme können betroffen sein – Windows wie auch Unix-basierende, da alle über verschiedene Admin-Tools im Hintergrund verfügen. Durch die oft mehrstufige Ausnutzung dieser Werkzeuge ist es schwer zu unterscheiden, ob Aktionen gewollt (z.B. zur gewünschten Verwaltung von Systemen) oder ungewollt stattfinden. Mehrstufig bedeutet dabei, dass die ersten Aktionen nicht verdächtig erscheinen, sondern erst die Verkettung verschiedener Ausführungen eine Sicherheitsbedrohung darstellen. Dass sich Fileless Malware meist nur im RAM befindet, erschwert die forensische Untersuchung eines Systems deutlich. Meist sind die Beweise verschwunden, sobald das System neu gestartet oder abgeschaltet wird.
Wie tritt Fileless Malware auf?
Fileless Malware Attacken beginnen häufig mit Phishing-Kampagnen, die ihre Opfer dazu verleiten, auf einen Link zu klicken. Besonders bekannt sind „Emotet“ und auch „Kovter“. Andere Angriffe beginnen beim Surfen auf infizierten Websites.
Eine weitere Strategie ist die mehrstufige, möglichst unauffällige Verkettung – z.B. MS Office Makro, Visual Basic Script und danach PowerShell –, die deutlich zeitversetzt Schadensroutinen ausführt. Möglichst lange werden nur möglichst unauffällige Aktionen durchgeführt. Einige angepasste Varianten sind während des gesamtes Betriebs „fileless“ und schreiben erst im letztmöglichen Moment beim Herunterfahren des Systems Peristence-Daten in das System.
Wie kann man Fileless Malware aufspüren?
Reine Überprüfungen von Signaturen, Downloads und Schreibprozessen können diese Angriffe kaum enttarnen. Zur Detektion muss ein System in der Lage sein, abnormales und geändertes Verhalten von Prozessen zu erkennen und zu bewerten. Verschiedene Verhaltensweisen wie das Ausführen und Akzeptieren von Shell-Kommandos, eine Veränderung des Netzwerkverkehrs oder auch Änderungen in Benutzerprivilegien müssen in Summe erfasst und bewertet werden. Weitere Indikationen wie das Löschen von Log-Daten, um Spuren zu verschleiern, können ausschlaggebend sein, um Fileless oder Non-Malware Attacken zu identifizieren. Nicht einzelne Elemente, sondern die Kombination verschiedenster Analysen ermöglichen die Erkennung.
Worauf haben es Fileless Malware Attacken abgesehen?
Ziel der Fileless Attacken sind vor allem Unternehmensnetzwerke, Angriffe finden in der Regel zielgerichtet statt. Die individuellen Anpassungen sind allerdings ohne großen Aufwand umzusetzen, und das steigende Angebot von Exploits-as-a-Service im Darknet ermöglicht es auch technisch nicht versierten Kriminellen, Attacken zu starten.
Um auf der sicheren Seite zu bleiben, müssen Anwender und Sicherheitsanbieter aktuelle Entwicklungen erkennen und berücksichtigen. IKARUS berät Sie gerne zu aktuellen Entwicklungen, verschiedenen Lösungsansätzen und effektiven Sicherheitskonzepten!
Sicherheits-Tipps für Anwender und Admins:
- Sicherheitslücken schließen: Software immer auf dem neuesten Stand halten
- Firewall nutzen
- PowerShell deaktivieren
- „Principle of least privilege“: nicht als Administrator arbeiten und Benutzern nur die benötigten Rechte geben
- So weit als möglich auf Skriptsprachen verzichten
- Makros mit Bedacht und nur dort einsetzen, wo sie benötigt werden
- Endgeräte nach Gebrauch runterfahren
- Zusätzlich zum lokalen Virenschutz Web- und Mail-Gateways absichern
- Niemals auf verdächtige Links klicken oder unbekannte und unerwartete Dateien öffnen
- Daten auf externe Systeme sichern und regelmäßig auf Integrität und Wiederherstellbarkeit überprüfen
- Fragen Sie im Zweifel Ihren Admin oder das IKARUS Support-Team um Rat