Und so funktioniert es
Die meisten anwendungs- und dateibasierten Schadprogramme beginnen als Datei, die auf die Festplatte geschrieben wird. Wenn diese Datei ausgeführt wird, wird eine Kopie in den Speicher geladen und die Befehle des Programms werden ausgeführt. Dateilose Malware überspringt den Schritt des Schreibens auf die Festplatte und existiert nur im Speicher.
Dies kann unter anderem wie folgt erreicht werden:
- Leben außerhalb des Landes: Viele der Aktionen, die Malware ausführt, können mit legitimen Systemfunktionen ausgeführt werden. Dateilose Malware nutzt häufig PowerShell, um auf die integrierten Windows-API-Funktionen zuzugreifen, die normalerweise in bösartigen ausführbaren Dateien verwendet werden.
- Schädliche Dokumente: Ein Microsoft Office-Dokument kann schädliche Makros enthalten, die PowerShell zum Ausführen von Befehlen verwenden. Dies könnte das Herunterladen und Ausführen zusätzlicher Malware umfassen, ohne sie auf die Festplatte zu schreiben.
- Schwachstellenausnutzung: Eine Anwendung kann einen Pufferüberlauf oder eine andere RCE-Schwachstelle ( Remote Code Execution ) enthalten. Durch die Ausnutzung dieser Schwachstelle kann ein Angreifer bösartige Befehle innerhalb des anfälligen Prozesses ausführen, ohne etwas auf die Festplatte zu schreiben.
- Process Hijacking: Sobald eine Datei in den Speicher geladen wird, kann ihr Speicherplatz geändert werden. Malware kann Code in den Speicherbereich eines vorhandenen Prozesses schreiben und ihre schädliche Funktionalität innerhalb dieses Prozesses starten.
- Registrierungsbasierte Malware: Die Windows-Registrierung enthält Konfigurationsinformationen für das Windows- OS, einschließlich Autoruns. Dateilose Malware kann einen Autorun definieren, der beim Systemstart oder bei der Anmeldung eines Benutzers Schadcode über LoLBins startet.
Was kann dateilose Malware?
Dateilose Malware kann alles tun, was eine herkömmliche, dateibasierte Malware-Variante kann. Dazu gehört die Tätigkeit als Infostealer, Ransomware, Remote Access Toolkit (RAT) und Kryptominer.
Der Hauptunterschied zwischen dateiloser und dateibasierter Malware besteht darin Malware wie sie ihren Schadcode implementieren. Dateilose Malware verlässt sich im Allgemeinen eher auf integrierte Funktionen des Betriebssystems als auf die Implementierung bösartiger Funktionen in einer eigenständigen ausführbaren Datei.
Phasen eines dateilosen Angriffs
Ein dateiloser Malware-Angriff sieht einem dateibasierten Malware-Angriff sehr ähnlich. Zu den wichtigsten Phasen gehören:
- Erstzugriff: Malware benötigt eine Möglichkeit, sich Zugang zu den Systemen einer Organisation zu verschaffen. Dateilose Malware kann per Phishing ein bösartiges Dokument übermitteln oder eine anfällige Webanwendung ausnutzen.
- Ausführung: Dateilose Malware kann die Codeausführung auf verschiedene Weise erreichen. Beispielsweise kann ein bösartiges Dokument Social Engineering nutzen, um den Empfänger dazu zu verleiten, Makros zu aktivieren, sodass bösartige Makros PowerShell-Befehle ausführen können.
- Persistenz: Sobald Malware Zugriff auf ein Zielsystem erhält, möchte sie diesen Zugriff aufrechterhalten. Das Hinzufügen von Autorun-Schlüsseln zur Windows-Registrierung ist ein gängiges Mittel zur Erzielung von Persistenz und kann durchgeführt werden, ohne dass Code auf die Festplatte geschrieben werden muss.
- Ziele: Malware soll eine bestimmte Aufgabe erfüllen. Dateilose Malware versucht möglicherweise, Anmeldeinformationen zu stehlen, Dateien zu verschlüsseln, zusätzliche Malware herunterzuladen oder andere schädliche Aktivitäten auszuführen.
Erkennung und Schutz vor dateilosen Malware-Angriffen
Dateilose Malware ist so konzipiert, dass sie schwieriger zu erkennen ist als herkömmliche, dateibasierte Malware-Varianten. Der Grund dafür ist, dass sich einige Endgerätesicherheit-Lösungen auf das Scannen von Dateien auf einem System konzentrieren und aktiv laufende Prozesse nicht auf Schadcode oder anomale Aktivitäten untersuchen.
Schwieriger zu erkennen ist jedoch nicht dasselbe wie nicht erkennbar. Zu den Möglichkeiten, mit denen sich ein Unternehmen vor dateilosen Malware-Angriffen schützen kann, gehören:
- Sperrfunktion: Dateilose Malware „lebt oft vom Land“ und nutzt integrierte Funktionen, um ihre Ziele zu erreichen. Das Deaktivieren oder Überwachen hochriskanter Anwendungen – wie PowerShell – kann dabei helfen, dateilose Malware-Angriffe zu verhindern und zu erkennen.
- Makros verwalten: Microsoft Office-Makros sind eine gängige Methode für dateilose Malware, um den ersten Zugriff und die Ausführung zu ermöglichen. Das Deaktivieren von Makros kann helfen, diesen Infektionsvektor zu blockieren.
- Patch-Schwachstelle: Angreifer können Schwachstellen wie Pufferüberläufe ausnutzen, um Code innerhalb einer anfälligen Anwendung auszuführen. Durch die Anwendung von Patches und die Implementierung virtueller Patches mit einem Intrusion Prevention System (IPS) wird das Risiko der Ausnutzung von Schwachstellen begrenzt.
- Sichere Authentifizierung: Cyberkriminelle nutzen zunehmend kompromittierte Anmeldeinformationen und Fernzugriffslösungen wie RDP, um Malware bereitzustellen und auszuführen. Durch die Implementierung einer mehrstufigen Authentifizierung (MFA) und einer Zero-Trust-Sicherheitsrichtlinie können die potenziellen Auswirkungen eines kompromittierten Kontos begrenzt werden.
Die Harmony Suite und die XDR-Plattform von Check Point
Dateilose Malware ist eine von mehreren Bedrohungen, denen Unternehmen ausgesetzt sind. Um mehr über die aktuelle Cyber-Bedrohungslandschaft zu erfahren, schauen Sie sich Check Points Mid-Year Cyber-Angriff Trends Report 2022 an.
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.