Suchen

Dateilose Schadsoftware Fileless Malware eine neue Bedrohung?

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Schadsoftware ist immer besser zu managen und die jahrelangen Anstrengungen der Security-Industrie machen sich endlich bemerkbar. Doch am Horizont taucht eine neue Bedrohung auf, die alles über den Haufen werfen könnte: Fileless Malware

Firmen zum Thema

Es gibt fileless Malware, die nur im RAM liegt, solche bei der zwar der Infektionscode im RAM existiert, ein nachgeladener Exploit aber im Dateisystem vorhanden ist und weitere Varianten.
Es gibt fileless Malware, die nur im RAM liegt, solche bei der zwar der Infektionscode im RAM existiert, ein nachgeladener Exploit aber im Dateisystem vorhanden ist und weitere Varianten.
(Bild: Pixabay / CC0 )

Fileless Malware (FM) hat den Nimbus, einer wirklich fiesen IT-Attacke! Denn anders als bei klassischer Malware lässt sich FM deutlich schwerer entdecken. Normale Malware nistet sich in Dateien auf der Festplatte eines Systems ein und kann dort von einem Antivirus-Tool entdeckt und bekämpft werden. Aber bei FM, die nur Arbeitsspeicher agiert oder in anderen schwer überprüfbaren Bereichen ist die Antivirus-Software oft machtlos. Vor allem dann, wenn FM, wie heute üblich, in tausenderlei Gestalt existiert (Polymorphismus ) und bei jedem Reboot des attackierten Systems aus dem RAM gelöscht wird.

Dateilose Malware?

Die Deutschsprachige Übersetzung von Fileless zu „Dateilose“ Malware ist etwas unglücklich gewählt. Denn im Segment der FM sind diverse Varianten möglich. Es gibt Malware, deren Infektionsprogrammcode nur im RAM existiert, während ein nachgeladener Exploit dann im Dateisystem vorhanden ist. Es gibt aber auch FM die sich in der Registry sehr wohl fühlt, wobei aber die Registry letztendlich auch eine (System-)Datei ist. Auch reine RAM-FM wie Poweliks ist im Segment vertreten.

FM ist keine neue Bedrohung. Poweliks beispielsweise wurde bereits im August 2014 entdeckt. Die Malware checkt zunächst ob Windows PowerShell installiert ist (Wenn nicht, wird dies automatische nachinstalliert) und erstellt dann per API-Call “ZwSetValueKeyder“ einen NULL-Autostart-Eintrag in der Registry. Dieser Eintrag hat keinen „Namen“, und ist daher für den normalen Anwender unsichtbar, wird aber bei einem Systemstart ausgeführt.

Dabei wird ein Code aktiviert, der weitere Manipulationen vornimmt und letztendlich via DLLHOST.EXE weitere Schadsoftware ausführt.

Auch Bedep und die Kotver-Familie sind weitere Vertreter im Segment FM. Beide dienen als Türöffner, die dann die eigentliche Schadsoftware, z.B. Exploit-Kits wie Angler nachladen.

Wenig Samples

CoinVault, Crigent (aka PowerWorm), PhaseBot, PowerSniff, USB Thief, XseKit sind einige der bekannteren FM-Vertreter, deren Aufstieg 2013/2014 begann und Ende 2015 seinen vorläufigen Höhepunkt erreichte. Aktuell ist es eher ruhig geworden um FM und die Gründe dafür sind vielschichtig.

Zum einen ruhen sich Security-Unternehmen und Produkt-Hersteller nicht auf Ihren Lorbeeren aus, sondern versuchen ständig Lücken (Vulnerabilities) zu schließen und Ihre Produkte besser zu machen. Davon betroffen ist u.a. die Benutzerkontensteuerung bei Windows (UAC ), die Vergabe von Privilegien Skriptsprachen (Javascsript, PowerShell…) und auch die Funktionen von WebBrowser Controls.

Anderseits wird heutzutage der Datenstrom besser kontrolliert und so lässt sich FM abfangen, bevor sie den Endpoint attackieren kann. Wobei Anwender, die (unbewusst) Security-Kontrollen umgehen, indem Sie z.B. einen USB-Speicherstick von einer Veranstaltung oder aus dem heimischen Umfeld mitbringen, wieder eine Schwachstelle im Kontrollsystem schaffen.

Letztendlich ist es aber auch technisch anspruchsvoller, dateilose Schadsoftware zu erstellen, der es gelingt sich an allen verbesserten Kontrollinstanzen vorbei zu schmuggeln. Doch dank unvorsichtiger Anwender, ungesicherter Systeme, überalterter Konzepte und anderer Schwachstellen, gibt es einfacher Wege mit Malware erfolgreich zu agieren. Weshalb sollten sich Cyberkriminelle also die Mehrarbeit machen?

Keine Zukunft für FM

Ist Fileless Malware tot? Nein, definitiv nicht. Der „Proof Of Concept “ wurde erbracht und FM hat gezeigt, dass sich immer wieder neue, andere Infiltrationswege in ein System ergeben. Malware und Cyberkriminelle agieren dynamisch – feste Regeln und Normen sind nicht üblich.

Mal wird dies Verfahren genutzt, mal ein anders. Derzeit genießen Makro-Viren wieder mehr Aufmerksamkeit, nachdem dieses alte Infektionsverfahren eine länger „Pause“ hatte.

Für die Praxis bedeute dies, dass Sicherheitsverantwortliche trotzdem dateilose Malware im Auge und Maßnahmenkatalog behalten sollten. Dazu zählt z.B.:

  • 1. Security-Updates für das Betriebssystem und die Applikationen einsetzen
  • 2. Web-Blocking für WebSeiten die Exploit Kit‘s hosten oder bekannte C&C-Server sind
  • 3. Unterbinden von C&C-Kommunikation und Download der Malware-Payload
  • 4. Security-Settings für Skriptsprachen & Office-Anwendungen verschärfen
  • 5. Verifizieren der Virenscanner-Optionen und aktivieren Anti-FM-Funktionen
  • 6. Stichprobenartige Überprüfung von Einzelsystemen und einzelnen User-Kennungen (Rechte)

Eine Umsetzung dieser Empfehlungen ist ratsam, denn FM hat auch einige unangenehme Seiteneffekte.

Beweissicherung

Cyber-Versicherungen sind derzeit ein Thema, welches über Unternehmen zunehmend auch im privaten Umfeld Fuß fassen wird. Ein Aspekt, der spätestens bei größeren Schadenssummen wichtig wird, ist die Beweissicherung.

IT-Forensiker und Schadensgutachter werden bei dateiloser Malware auf Probleme stoßen, diese verwertbar zu sichern. Technisch kann man den Arbeitsspeicher eines Systems als Speicherdump erstellen! Aber was passiert, wenn die dateilose Malware der nächsten Generation sich dagegen wehrt?

Der Verteidigungsgedanke ist nicht neu – manche Malware wird beispielsweise nur dann aktiv, wenn sie NICHT in einem virtuellen Umfeld läuft. Denn ein VM-System, so die Annahme, könnte das Test-System eines Analysten sein, also bleibt die Malware inaktiv und tut so als wäre sie „guter Code“.

Der Schritt für dateilose Schadsoftware, sich auch gegen das Auslesen von Speicherbereichen zu wehren ist technisch nicht weit entfernt – denn Schadsoftware geht immer öfter dazu über, sich selbst zu verteidigen! Aber ohne aussagekräftige Beweissicherung wird die Cyber-Versicherung problematisch.

Fazit

Derzeit ist es ruhig um fileless Malware, aber die Bedrohung kann schnell wieder am Horizont sichtbar werden, besser ausgerüstet und technisch versierter als in den ersten Proof-Of-Concept-Versionen. Dann, könnte sich die dateilose Malware wirklich zu einer massiven Security-Bedrohung entwickeln.

Sprechen Sie mit den Herstellern Ihrer Security-Software und fragen Sie nach Features gegen FM, denn der beste Schutz ist derjenige, der verhindert, dass Malware das eigentliche Ziel-System erreicht.

(ID:44445424)