In der vernetzten Welt von heute ist die Computersicherheit von größter Bedeutung. Angesichts der zunehmenden Zahl von Cyber-Bedrohungen ist es für den Schutz unserer Daten und Systeme unerlässlich, über die neuesten Bedrohungen informiert zu bleiben.
Eine dieser neuen Bedrohungen ist dateilose Malware die drastisch zunimmt.
Die Endpunkt-Technologien von WatchGuard haben bis Ende 2021 bereits etwa 80 % der dateilosen oder vom Land lebenden Angriffe erkannt, die sie für das gesamte Jahr 2020 beobachtet haben". Quelle
Wie der Name schon sagt, handelt es sich um eine Art von Malware, die keine Dateien auf dem Zielsystem erstellt und daher schwer zu erkennen und zu entfernen ist.
In diesem Artikel werden wir uns mit dateiloser Malware befassen, wie sie funktioniert und welche Maßnahmen zum Schutz vor ihr getroffen werden können.
Was ist dateilose Malware?
Bei dateiloser Malware handelt es sich um eine Art von bösartigem Code, der ausschließlich im Speicher eines Computersystems arbeitet und keine Dateien auf der Festplatte erstellt. Herkömmliche Malware wie Viren, Trojaner und Würmer sind auf Dateien angewiesen, um ein System zu infizieren und sich zu verbreiten.
Im Gegensatz dazu befindet sich dateilose Malware im Arbeitsspeicher, in der Registrierung und in anderen flüchtigen Speicherbereichen des Systems, so dass sie mit herkömmlicher Antiviren-Software nur schwer zu erkennen ist.
Wie funktioniert die dateilose Malware?
Schadprogramme, die keine Dateien verwenden, dringen in den Arbeitsspeicher Ihres Computers ein. Daher gelangt kein schädlicher Code auf Ihre Festplatte. Sie dringt auf ganz ähnliche Weise in Ihr System ein wie andere bösartige Software.
So kann ein Hacker beispielsweise ein Opfer dazu verleiten, auf einen Link oder Anhang in einer Phishing-E-Mail. Um das Opfer dazu zu bringen, auf den Anhang oder Link zu klicken, nutzt der Angreifer möglicherweise Social Engineering, um mit den Gefühlen des Opfers zu spielen. Anschließend dringt die Malware in Ihr System ein und verbreitet sich von einem Gerät zum anderen.
Mit dateiloser Malware können Angreifer auf Daten zugreifen, die sie entweder stehlen oder ausnutzen können, um die Aktivitäten eines Unternehmens zu behindern. Dateilose Malware verbirgt sich unter Verwendung von Tools, denen Systemadministratoren in der Regel vertrauen, z. B. Windows-Skripting-Tools oder PowerShell.
Sie sind häufig in der Liste der zulässigen Anwendungen eines Unternehmens enthalten. Dateilose Malware beschädigt ein vertrauenswürdiges Programm und ist daher schwieriger zu erkennen als bösartige Software, die sich in einer separaten Datei auf Ihrer Festplatte befindet.
Dateilose Malware-Angriffskette
Quelle
Da dateilose Malware im Speicher arbeitet und vertrauenswürdige Technologien verwendet, wird sie von signaturbasierter Antivirensoftware und Systemen zur Erkennung von Eindringlingen häufig für gutartige Software gehalten.
Da er verdeckt arbeitet, sich hartnäckig hält und von den Zielorganisationen, die nicht über die notwendigen Werkzeuge verfügen, nicht bemerkt wird, sind diese im Grunde genommen nicht in der Lage, ein fortgesetztes Eindringen zu bemerken.
Das Vertrauen der Unternehmen in signaturbasierte Lösungen zum Schutz ihrer Netzwerke ist ein Schlüsselfaktor, der CTAs ermutigt, dateilose Malware-Angriffe auf Netzwerke zu starten.
Arten von dateiloser Malware
Hier erfahren Sie, wie sich dateilose Malware aufgrund verschiedener Typen verbreitet:
- Speicherbasierte dateilose Malware ist die häufigste Art von dateiloser Malware, die sich im Arbeitsspeicher des Systems und anderen flüchtigen Speicherbereichen befindet.
- Skriptbasierte dateilose Malware verwendet Skriptsprachen wie PowerShell oder JavaScript, um bösartigen Code im Speicher eines Zielsystems auszuführen.
- Makrobasierte dateilose Malware verwendet Makros, die in Dokumente eingebettet sind, z. B. Microsoft Office-Dateien oder PDFs, um bösartigen Code im Speicher eines Zielsystems auszuführen.
- Registry-basierte dateilose Malware befindet sich in der Registrierung des Systems, einer Datenbank, die Konfigurationsinformationen für das Betriebssystem und die installierte Software speichert.
Stadien eines dateilosen Angriffs
Im Folgenden werden die Schritte beschrieben, die ein Angreifer bei einem dateilosen Angriff durchführen kann:
Erster Zugang
Der Angreifer verschafft sich den ersten Zugang zum Zielnetzwerk durch Phishing oder andere Social Engineering Techniken.
Ausführung
Der Angreifer sendet den bösartigen Code mit verschiedenen Techniken (z. B. über einen E-Mail-Anhang) an einen oder mehrere Computer im Zielnetz. Der bösartige Code wird im Speicher ausgeführt, ohne die Festplatte zu berühren. Dadurch ist es für Antiviren-Software schwierig, den Angriff zu erkennen und zu verhindern, dass er erfolgreich ist.
Persistenz
Die Angreifer installieren Tools (z. B. PowerShell-Skripte), die es ihnen ermöglichen, den Zugriff auf das Netzwerk aufrechtzuerhalten, auch nachdem sie ihren ursprünglichen Einstiegspunkt verlassen haben oder nachdem ihre ursprüngliche Malware von allen infizierten Geräten entfernt wurde.
Diese Tools können dazu verwendet werden, Angriffe auf dasselbe Netzwerk auszuführen, während sie von Antiviren-Software unentdeckt bleiben, da sie keine Spuren auf der Festplatte oder im Speicher hinterlassen, sobald sie ihre Aufgabe, neue Malware-Komponenten zu installieren oder andere Aufgaben auszuführen, die administrative Rechte auf den Zielsystemen erfordern, abgeschlossen haben.
Ziele
Sobald sich ein Angreifer auf dem Rechner eines Opfers festgesetzt hat, kann er auf sein eigentliches Ziel hinarbeiten: den Diebstahl von Daten oder Geld von den Bankkonten der Opfer, das Exfiltrieren sensibler Daten oder andere schändliche Aktivitäten.
Die Ziele eines dateilosen Angriffs sind denen herkömmlicher Angriffe oft sehr ähnlich: Passwörter stehlen, Anmeldeinformationen stehlen oder auf andere Weise Zugang zu Systemen in einem Netzwerk erlangen, Daten aus einem Netzwerk exfiltrieren, Ransomware oder andere Malware auf Systemen installieren, Befehle aus der Ferne ausführen usw.
Wie schützt man sich vor dateiloser Malware?
Jetzt machen Sie sich bestimmt Gedanken darüber, wie Sie sich vor dieser ernsten Bedrohung schützen können. Hier ist, wie Sie auf der sicheren Seite sein können:
Halten Sie Ihre Software auf dem neuesten Stand: Dateilose Malware beruht auf der Ausnutzung von Schwachstellen in legitimen Softwareanwendungen. Wenn Sie Ihre Software mit den neuesten Sicherheits-Patches und Updates auf dem neuesten Stand halten, können Sie Angreifer daran hindern, bekannte Schwachstellen auszunutzen.
Verwenden Sie Antiviren-Software: Während herkömmliche Antivirensoftware gegen dateilose Malware möglicherweise nicht wirksam ist, können spezialisierte Endpunktschutzlösungen wie verhaltensbasierte Erkennung oder Anwendungskontrolle helfen, dateilose Malware-Angriffe zu erkennen und zu verhindern.
Least Privilege verwenden: Dateilose Malware erfordert häufig Administratorrechte, um Angriffe auszuführen. Die Anwendung des Prinzips der geringsten Rechte, das den Benutzerzugriff auf das für die Ausführung seiner Aufgabe erforderliche Minimum beschränkt, kann dazu beitragen, die Auswirkungen von Angriffen mit dateiloser Malware zu verringern.
Netzwerksegmentierung implementieren: Bei der Netzwerksegmentierung wird ein Netzwerk in kleinere, isolierte Segmente unterteilt, die jeweils über eigene Sicherheitsrichtlinien und Zugriffskontrollen verfügen. Die Implementierung der Netzwerksegmentierung kann dazu beitragen, die Ausbreitung von Angriffen mit dateiloser Malware einzudämmen und ihre Auswirkungen auf das Unternehmen zu begrenzen.
Das Urteil
Dateilose Malware ist ein hochentwickelter Cyberangriff, der eine erhebliche Bedrohung für Computersysteme und Netzwerke darstellt. Im Gegensatz zu herkömmlicher Malware arbeitet dateilose Malware vollständig im Speicher des Zielsystems, so dass sie mit herkömmlicher Antivirensoftware nur schwer erkannt und entfernt werden kann.
Um sich vor dateiloser Malware zu schützen, ist es unerlässlich, die Software auf dem neuesten Stand zu halten, spezielle Lösungen für den Endpunktschutz zu verwenden, das Prinzip der geringsten Privilegien anzuwenden und eine Netzwerksegmentierung vorzunehmen. Da sich die Cyber-Bedrohungen weiterentwickeln, ist es wichtig, über die neuesten Angriffstechniken informiert zu bleiben und proaktive Maßnahmen zum Schutz unserer Daten und Systeme zu ergreifen.
