Fileless Malware – Wie funktioniert sie?

Malware

Trotz der 2017, 2019 und 2021 verzeichneten Spitzenwerte bleiben Angriffe mittels dateiloser Malware meist unverstanden und werfen Fragen über ihre Funktionsweise auf. Sind Cybersicherheits-Tools wirklich in der Lage, sie zu erkennen?

Das erste als „Fileless Malware“ kategorisierte Schadprogramm tauchte 2001 mit dem Wurm „Code Red“ auf. Nicht weniger als 359.000 Webserver wurden Opfer eines an der Meldung „Welcome to http://www.worm.com ! Hacked by Chinese!“ ersichtlichen Absturzes durch ein mysteriöses Virus, das keine Dateien und keine bleibenden Spuren auf der Festplatte hinterließ. Die Untersuchung ergab, dass der Wurm nur über den Speicher des infizierten Rechners ausgeführt wurde.

Anzeige

In den folgenden zwei Jahrzehnten wurde dieser Mechanismus weitgehend auf Microsoft-Umgebungen verwendet. Der SQL-Wurm Slammer, der Banking-Trojaner Lurk, der Trojaner Poweliks (eine Weiterentwicklung der dateilosen Malware aus dem Jahr 2014), der Wurm Duqu 2.0 (der sogar als Toolbox für Cyberspionage eingesetzt wurde) und die Malware PowerSniff sind die bekanntesten Beispiele. Im Jahr 2017 machten dann aber zunehmend Angriffe via Fileless Malware von sich reden, als über eine Schwachstelle im Framework für Web-Anwendungen (Apache Struts) Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden.

Die Weiterentwicklung der Fileless-Malware-Technik

Memory-only-Malware, Non-Malware-Attack, Zero-Footprint-Attack: All diese Bezeichnungen treffen auf Angriffe mit dateiloser Malware zu, bei denen Codes aus der Ferne abgerufen und ausgeführt werden, ohne lokale Zwischendateien zu benötigen. Zum Beispiel in Form von Zeichenketten, die von einem Webserver abgerufen und dann als Parameter an einen Skriptinterpreter wie PowerShell übergeben werden. Der Schadcode wird dann direkt in dessen Speicher ausgeführt. Es handelt sich um einen Angriff, der somit keine Spuren auf der Festplatte hinterlässt. Und die Techniken, die bei einer Attacke über Fileless Malware verwendet werden, um bösartigen Code im Speicher auszuführen, können vielfältig sein: Zweckentfremdung von nativen Programmen, die für das reibungslose Funktionieren des Betriebssystems erforderlich sind, Injektion von bösartigem Code in bestehende Prozesse, Speicherung von Malware in Windows-Registerschlüsseln. Es gibt sogar fertige Exploit-Kits wie die PowerShell-Tools Empire, PowerSploit und Cobalt Strike.

Die gemeinhin beobachteten Angriffsvorgänge bestehen aus drei Schritten. In der ersten Phase müssen Cyberkriminelle einen Erstzugriff gewinnen, meist durch Kampagnen von Phishing und Spearphishing. Wenn diese erste Phase der Attacke nur im Arbeitsspeicher ausgeführt wird, besteht der zweite Schritt darin, den Zugriff bei einem Neustart des Rechners persistent zu machen. Hierbei werden legitime Registerschlüssel von Anwendungen ausgelesen und so manipuliert, dass sie dann einen Code zum Herunterladen und Ausführen von Payload als Parameter von PowerShell enthalten. Dadurch verschafft sich der Cyberkriminelle einen persistenten Eintrag in der Maschine, der es ermöglicht, weitere Malware darauf zu laden. Es gibt also erstens keine Dateien, und zweitens kann der Angreifer seine Schadsoftware in Echtzeit aktualisieren. Andererseits hinterlässt diese Malware trotz Dateilosigkeit eine Spur: die URL der Payload. Deshalb muss diese URL verschleiert werden, damit sie nicht als Hinweis einer Kompromittierung erkannt wird. Der dritte und letzte Schritt besteht dann in der Ausführung des tatsächlichen Diebstahls von Anmeldeinformationen, der Exfiltration von Daten oder der Schaffung einer Backdoor.

Anzeige

Ein weiterer starker Trend, der beobachtet wurde, ist das Ersetzen eines legitimen Programms. Dabei gibt sich die Malware als Dienstprogramm aus, das in Betriebssystemen vorkommt und somit als legitim anerkannt wird. Beispiele hiervon sind etwa die Dienstprogramme certutil.exe, mavinject.exe, cmdl.exe, msixec oder auch WMI („Windows Management Interface“) sowie die Interpreter PowerShell und bash. Diese verschiedenen legitimen Programme können die Effizienz des Angriffs vervielfachen, da einige von ihnen Funktionen wie das Herunterladen von Dateien oder das Herstellen einer Verbindung zu einem entfernten Rechner von Haus aus mitbringen. 2018 nahm die Ransomware-as-a-Service-Plattform Grand Crab den Angriff „Fileless Malware“ in ihre Vorgehensweise auf und infizierte damals weltweit mehr als 50.000 Rechner.

Wie kann man sich vor unauffindbarer Malware schützen?

Da solche Angriffe keine auf die Festplatte gespeicherte Datei verwenden, können sie von Antivirenprogrammen, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdrücken aufgebaut haben, nicht erkannt werden. Die Stärke dieser Attacke liegt darin, dass sie auf Elemente abzielt, die in der Regel von Antivirensoftware nicht berücksichtigt werden, sodass eine Tür zu den Rechnern der Opfer offen bleibt.

Um der dateifreien Malware entgegenzuwirken, sind neue Methoden zur Erkennung von Angriffen entstanden. Die häufigste basiert auf dem Signaturmechanismus für ausführbare Dateien in Windows. Dies erschwert es dem Angreifer, die Datei im Speicher zu ersetzen (nachdem die Signatur verifiziert wurde), deren Zielsetzung dadurch zu missbrauchen, dass das Betriebssystem die ersetzte Datei als Originaldatei einstuft, oder die Anwendung an der Quelle zu verändern. Diese Strategie ist eine recht einfache Möglichkeit, sich vor weniger fortgeschrittenen Attacken zu schützen.

Eine zweite Strategie besteht darin, den Einsatz schwarzer Listen zu perfektionieren. Blacklists müssen also noch tiefer ins Detail der zu blockierenden Elemente gehen und nun auch verwendete Muster enthalten, z. B. Zeichenketten oder Befehle, die als Teil eines bösartigen Prozesses zu erkennen sind. Man spricht hierbei auch von Angriffsindikatoren („Indicators of Attack“, IOA).

Eine dritte Strategie ist die Verhaltensbeobachtung. Sie wird von Endpoint-Protection-Lösungen verwendet und ermöglicht die Überwachung suspekter Aktivitäten. Beispielhaft genannt sei etwa die Verbindung zu einem Command-and-Control-Server oder zu einer IP mit schlechtem Ruf. Auch die Korrelation aufeinanderfolgender Aktionen wie die Verwendung einer Scripting-Engine aus einer verdächtigen Befehlszeile heraus und das anschließende Lesen und Ausführen von Dateien zählt dazu. Die Entdeckung von Inkonsistenzen bei der Nutzung von Systemdienstprogrammen ist ebenfalls ein starkes Kompromittierungssignal. Solche Mechanismen zur Verhaltensanalyse ermöglichen es zu erkennen, ob ein Programm einen Pufferüberlauf („buffer overflow“) oder eine Code-Injektion erleidet oder ob die Nutzung einer Anwendung durch ein Benutzerkonto erfolgt, das nicht über die entsprechenden Rechte verfügt.

Jahr für Jahr zeigen Cyberkriminelle also, dass sie in der Lage sind, Verschleierungsstrategien umzusetzen, wodurch sie unter dem Radar von Sicherheits-Tools operieren können. Und das Aufkommen von Akteuren, die sich auf die Schaffung von Erstzugängen spezialisiert haben, lässt leider vermuten, dass sich Angriffe über Fileless Malware in Zukunft weiter ausbreiten dürften. Mehr denn je müssen Unternehmen Methoden zur Erkennung von Indikatoren für Attacken einführen und sich gleichzeitig darum bemühen, alle Mitarbeiter für die digitale Hygiene zu sensibilisieren.

www.stormshield.com/de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.