Der Aufstieg von Non-Malware: Was bietet Schutz vor dateilosen Angriffen?

Als Experte für Cybersicherheit kann es manchmal aufreibend sein, im Hinblick auf die neuesten Bedrohungen und Taktiken der Hacker auf dem Laufenden zu bleiben. Die Methoden entwickeln sich ständig weiter, weil die Verbrecher unerkannt bleiben möchten, und so rüsten sich beide Seiten immer wieder mit neuen Angriffsmethoden und Abwehrmaßnahmen.

In den letzten Jahren gab es eine Entwicklung weg von herkömmlichen Malware-Übermittlungsmethoden. Denn Taktiken wie verseuchte E-Mail-Anhänge oder Driveby-Downloads laufen in vielen Fällen Gefahr, von einer wirksamen Eindringungserkennung und entsprechenden Abwehrsystemen blockiert zu werden, was die Eindringlinge dazu bringt, nach anderen Wegen zu suchen.

Der Aufstieg von Non-Malware

In den letzten Jahren ist vor allem die so genannte „dateilose“ Malware oder „Non-Malware“ auf dem Vormarsch gewesen. Eine Studie des Cybersicherheitsunternehmens WatchGuard hat ergeben, dass die Zahl der dateilosen Angriffe im Jahr 2020 verglichen mit dem Vorjahr um nahezu 900 % gestiegen ist.

Wie das Unternehmen anmerkt, erfreuen sich diese Techniken bei Hackern vor allem deshalb besonderer Beliebtheit, weil sie oftmals in der Lage sind, die Erkennungsfunktionen der herkömmlichen Endpunktlösungen zu umgehen. Um den Weg ins fremde Netz zu öffnen, muss das Opfer nur auf einen Link klicken.

Wenn Hacker erst einmal mit Hilfe von dateiloser Malware in ein Netzwerk eingedrungen sind, können sie dort auf vielfältige Weise aktiv werden – vom Diebstahl von Zugangsdaten bis hin zum Abgreifen wertvoller Datenbestände. Aus diesem Grunde sollte es für alle Unternehmen zu den obersten Prioritäten gehören, dieses Problem zu lösen.

Viele jedoch wissen gar nicht, wo sie anfangen sollen. So zeigen beispielsweise die Zahlen von Crowdstrike, dass 78 % der Unternehmen angeben, Angst vor derartigen Angriffen zu haben, während gleichzeitig 83 % der Experten den Wunsch äußern, mehr über die Bedrohung zu erfahren.

Was ist dateilose Malware?

Dateilose Malware ist bösartige Software, bei der sich die schädlichen Codes nicht in herkömmlichen ausführbaren Dateien verbergen, die auf ein System heruntergeladen werden. Stattdessen nutzen sie seriöse Tools, die in der Software, den Anwendungen und den Protokollen des Betriebssystems verankert sind, um ihre Aufgabe zu erfüllen.

Eines der beliebtesten Ziele dieser Art von Malware ist PowerShell. Aus einer von Norton durchgeführten Untersuchung ist ersichtlich, dass bösartige PowerShell-Skripte für 89 % der dateilosen Angriffe verantwortlich sind. Dabei wird in die seriösen PowerShell-Skripte ein Schadcode eingepflegt, der dafür sorgt, dass der Code des Hackers aktiviert wird, sobald die Software ihre ganz normalen Abläufe abruft.

Dateilose Bedrohungen können auf vielen verschiedenen Wegen in ein System gelangen. Klickt ein User beispielsweise auf den schädlichen Link einer Phishing-E-Mail, kann es sein, dass er damit Malware in den Arbeitsspeicher des Geräts lädt. Nun kann der Hacker die Codes aus der Ferne über Skripte laden, die Ihre vertraulichen Daten erfassen und weitergeben.

Alternativ kann der Schadcode auch über bereits installierte Anwendungen eingespeist werden, wie Microsoft Office oder JavaScript – oder beim Besuch einer Betrugswebsite, die nach Schwachstellen in den Plugins sucht.

Da es keine ausführbare Datei gibt, die die Anti-Malware-Software erkennen könnte, und nur native Tools genutzt werden, sind derartige Angriffe sehr schwer zu unterbinden. Dateilose Malware wird oftmals nicht auf die Festplatte, sondern in den Arbeitsspeicher geschrieben, was bedeutet, dass sie kaum Spuren hinterlässt. Mehr noch: Da die Daten des Arbeitsspeichers bei einem Neustart des Systems gelöscht werden, kann es für eine forensische Analyse eine echte Herausforderung sein, festzustellen, was eigentlich geschehen ist.

3 Arten von dateiloser Malware, die Sie kennen sollten

Der erste Schritt beim Schutz vor Non-Malware-Angriffen besteht darin, zu verstehen, wie sie funktionieren und was sie beinhalten. Wenn Sie wissen, wonach Sie suchen müssen und welche Teile Ihres Systems Ziel der Angriffe sind, können Sie sich Strategien zur Vorbeugung, Erkennung und Beseitigung überlegen. Dies sind drei der häufigsten Techniken von dateiloser Malware:

Einschleusung eines Codes in den Arbeitsspeicher

Diese Technik verbirgt den Schadcode im Arbeitsspeicher seriöser Anwendungen und nutzt dabei bekannte Schwachstellen in Software-Produkten wie Java oder Flash, um in ein System einzudringen. Ist die Malware erst einmal im Arbeitsspeicher, sucht sie sich selbst einen Weg in kritische Windows-Prozesse, wobei sie den Umstand nutzt, dass ein innerhalb dieser Prozesse befindlicher Code vom System als vertrauenswürdig eingestuft wird.

Manipulation der Registrierungsdatenbank von Windows

Diese Art des dateilosen Angriffs ähnelt der Einschleusung in den Arbeitsspeicher, nur dass sich die Malware nicht im Arbeitsspeicher verbirgt, sondern in der Registrierungsdatenbank von Windows installiert wird. Dort kann sie lange Zeit überdauern und bleibt unentdeckt. Derartige Bedrohungen können bei jedem Hochfahren des Betriebssystems aktiviert werden und fallen oftmals erst spät auf, weil Antivirentools im Normalfall nicht die Registrierungsdatenbank durchsuchen.

Namhafte Beispiele für eine Manipulation der Registrierungsdatenbank sind Kovter und Powelike, die befallene Systeme in Botnetze umwandeln können, indem sie sich mit Websites und anklickbarer Werbung verbinden.

Skriptbasierte Techniken

Skriptbasierte Techniken können ganz oder teilweise dateilos sein und speisen schädliche Skripte in Tools wie PowerShell ein. Ein Beispiel hierfür ist die SamSam-Ransomware, die sich besonders schwer analysieren lässt, da ihr Payload laufzeitentschlüsselt ist. Das macht es schwierig, ein Muster des Payload-Codes zu finden, den die Ransomware immer entwickelt – und das bedeutet, dass die Gegenwehr zur Herausforderung wird.

Ein weiteres Beispiel ist Operation Cobalt Kitty, eine fortschrittliche, dauerhaft eingeschleuste Bedrohung, die bösartige PowerShell-Skripte nutzte, um ein großes Unternehmen in Asien anzugreifen. Über eine Spear-Phishing-Kampagne gelangte die Malware in Dutzende PCs und Server und blieb dort monatelang unentdeckt.

Die wichtigsten Strategien zur Beseitungung von dateiloser Malware

Da dateilose Malware nicht nach den „normalen“ Regeln üblicher Bedrohungen spielt, wie sie bei Viren und Trojanern gelten, kann es schwer sein, sie mit traditionellen Anti-Malware-Programmen aufzuspüren. Aus diesem Grunde muss Ihre erste Verteidigungslinie aus einer modernen Erkennungs- und Abwehrlösung für Ihre Endpunkte bestehen.

Diese Lösung sollte Ihr Netzwerk kontinuierlich überwachen und nach Indicators of Attack (IOAs) suchen, die ein Anzeichen dafür sein könnten, dass in Ihrem System dateilose Malware steckt. Das Progamm achtet dabei auf Sequenzen von Events, wie die Ausführung von Codes, Querbewegungen und Aktionen, die ihre wahre Absicht zu verhüllen scheinen.

Da IOA die Absichten, den Kontext und die Sequenz von Tätigkeiten innerhalb Ihres Netzwerks – und damit nicht nur in der Peripherie – untersuchen, können sie schädliche Aktivitäten erkennen und blockieren, die mithilfe seriöser Tools oder Accounts durchgeführt werden, wie es oftmals vorkommt, wenn ein Angreifer gestohlene Zugangsdaten verwendet oder Technologien wie PowerShell nutzt.

Für viele Angriffe mit dateiloser Malware sind menschliche Fehler erforderlich, damit das System infiziert werden kann. Achten Sie daher darauf, Ihre Software regelmäßig zu patchen, die User in der Erkennung verdächtiger E-Mails zu schulen und sie darauf aufmerksam zu machen, dass sie in Bezug auf Downloads wachsam sein sollten. Vorsicht ist besser als Nachsicht! Der erste Schritt besteht immer darin, Ihre Mitarbeiter mit den absoluten Grundlagen vertraut zu machen.