{"id":13393,"date":"2018-10-16T11:13:10","date_gmt":"2018-10-16T09:13:10","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=13393"},"modified":"2018-10-15T10:13:30","modified_gmt":"2018-10-15T08:13:30","slug":"was-sollten-unternehmen-tun-um-sich-vor-fileless-malware-zu-schuetzen-beziehungsweise-darauf-zu-reagieren","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=13393","title":{"rendered":"Was sollten Unternehmen tun, um sich vor Fileless-Malware zu sch\u00fctzen beziehungsweise darauf zu reagieren?"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Autor\/Redakteur: Michael Gerhards, Head of CyberSecurity bei Airbus CyberSecurity<\/a>\/gg<\/p>\n

„Fileless“-Malware ist eine Form von Malware, die sich ausschlie\u00dflich in den Arbeits-Speicher einschreibt und wenige oder gar keine Spuren auf der Festplatte hinterl\u00e4sst. Ein wirklich dateiloser Angriff k\u00f6nnte ein Exploit auf einer Website sein, bei dem Java-Schwachstellen verwendet werden, um Code in den Speicher herunterzuladen und \u00fcber den eigenen Prozess des Browsers auszuf\u00fchren. Die Malware l\u00e4uft dann nach dem Schlie\u00dfen des Browsers weiter im Speicher, richtet Befehls- und Kontrollkan\u00e4le ein, l\u00e4dt weitere Schadprogramm-Teile und f\u00fchrt Operationen im Speicher aus. Diese Malware w\u00e4re verg\u00e4nglich, sie w\u00fcrde durch einen Neustart wieder aus dem Speicher gel\u00f6scht und w\u00fcrde aber dennoch lange genug bestehen, um einen L\u00f6segeldangriff zu starten. Auch auf mobilen Ger\u00e4ten, die nicht regelm\u00e4\u00dfig heruntergefahren werden, k\u00f6nnte sie weiterhin bestehen. Um die Persistenz f\u00fcr anspruchsvolle Angriffe zu erh\u00f6hen, nutzen Angreifer daher nun das sogenannte integrierte Skripting, Servicemanagement und andere Tools, um Malware nach einem Neustart direkt in den Arbeitsspeicher herunterzuladen. Dabei stellt die ausschlie\u00dfliche Verwendung legitimer Tools hierbei sicher, dass keine Beweise auf der Festplatte oder anderen Speichermedien zur\u00fcckbleiben, was die Erkennung mit herk\u00f6mmlichen Antivirus-L\u00f6sungen unm\u00f6glich macht.<\/p>\n

<\/p>\n

Vorl\u00e4ufer gibt es seit mindestens 2012, diese verwendeten allerdings einen einfachen Downloader f\u00fcr die Persistenz, um den b\u00f6sartigen Code in den Speicher herunterzuladen und auszuf\u00fchren. W\u00e4hrend es immer noch keinen b\u00f6sartigen Code auf der Festplatte zu erkennen gab, blieb zumindest der installierte Downloader sichtbar bestehen. Dies waren allerdings zur damaligen Zeit sehr ausgefeilte Angriffe. Heutzutage machen Exploit-Kits wie Angler auch weniger erfahrenen Angreifern v\u00f6llig dateifreie Angriffe m\u00f6glich.<\/p>\n

W\u00e4hrend diese Angriffe keine Spuren hinterlassen, die ein Standard-Antivirus-Programm erkennen w\u00fcrde, gibt es immer noch Ma\u00dfnahmen, sowohl auf dem Host-Computer als auch durch Netzwerk\u00fcberwachung, die zum Schutz vor dieser Form von Malware und zur Erkennung ihrer Aktivit\u00e4t ergriffen werden k\u00f6nnen. Pr\u00e4vention erweist sich dabei immer als vorteilhaft gegen\u00fcber nachtr\u00e4glichem Heilen, daher ist gutes Housekeeping wie das Patchen und auch das Blockieren b\u00f6sartiger Websites immer der erste Schritt. Der Gefahr von Quer\u00fcbertragung sollte dabei dadurch begegnet werden, dass Verbindungen durch Verwaltungswerkzeuge von nicht autorisierten Hosts blockiert werden.<\/p>\n

In Bezug auf aktive Erkennung, muss dateilose Malware dieselben Befehls- und Kontrollverbindungen wie andere Malware auch herstellen. Selbst ein fl\u00fcchtiger Ransomware-Angriff muss Kontakt aufnehmen, um einen Verschl\u00fcsselungsmechanismus und andere Informationen zu \u00fcbertragen. Die Netzwerk\u00fcberwachung kann daher verd\u00e4chtigen Datenverkehr dieser Art erkennen und auch Verbindungsversuche zu bekannten unsicheren Seiten k\u00f6nnen markiert oder blockiert werden.<\/p>\n

F\u00fcr Hosts ist ein signaturbasiertes Antivirus-Programm zwar unwirksam, die meisten modernen Anti-Virus-Suiten enthalten dennoch eine oder mehrere verhaltensbasierte oder heuristische Erkennungsma\u00dfnahmen. Diese k\u00f6nnen b\u00f6sartige Ereignisse und Verhaltensweisen erkennen und den Benutzer auf das Vorhandensein von Malware aufmerksam machen, selbst wenn diese speicherresident ist. Wenn die PowerShell oder Skripts als Dienst gestartet werden, kann dies auch durch die \u00dcberwachung von Diensten und das Scannen von Registrierungseintr\u00e4gen erkannt werden.<\/p>\n

Aufgrund des Mangels an Beweisen auf der Festplatte kann die Bereinigung eines Angriffs mit speicherresistenter Malware problematisch werden. Wenn dieser wirklich nur tempor\u00e4r ist, kann ein einfacher Neustart f\u00fcr den einzelnen Host funktionieren, aber trotzdem muss die \u00dcberwachung fortgesetzt werden, um sicherzustellen, dass auch wirklich keine Schadware mehr vorhanden ist. Speicheranalyse-Tools, die den meisten Incident- und Forensic-Respondern zur Verf\u00fcgung stehen, k\u00f6nnen bei der Erkennung und Analyse der Malware n\u00fctzlich sein und den Behebungsvorgang unterst\u00fctzen.<\/p>\n

Zusammenfassend l\u00e4sst sich sagen, dass die Vorbeugung gegen diese Angriffe gr\u00f6\u00dftenteils durch ein \u00fcbliches Housekeeping erfolgt. Das Erkennen der neuen Malware-Versionen ist schwierig, kann aber mit Standard-Host- und Netzwerksicherheitstools durchgef\u00fchrt werden. Das gr\u00f6\u00dfere Problem ist die Reaktion, da es keine Beweise f\u00fcr den Angriff mehr gibt, zum Beispiel was genau getan wurde oder welche Daten gekapert wurden. Die Zuordnung kann sich ebenfalls als schwierig erweisen, wenn keine Malware mehr zur Analyse verbleibt. Nichts davon ist jedoch unm\u00f6glich, aber im Nachhinein zu agieren gestaltet sich zeitaufwendig und komplex, daher ist es immer besser, diese Angriffe so fr\u00fch wie m\u00f6glich zu stoppen oder einzud\u00e4mmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Michael Gerhards, Head of CyberSecurity bei Airbus CyberSecurity\/gg „Fileless“-Malware ist eine Form von Malware, die sich ausschlie\u00dflich in den<\/p>\n","protected":false},"author":3,"featured_media":13394,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[9959,1861,11748,1458,1851,11749,4675,4662,3314],"class_list":["post-13393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-airbus-cybersecurity","tag-exploit","tag-fileless","tag-malware","tag-powershell","tag-responder","tag-signatur","tag-skript","tag-webseite"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13393"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13393\/revisions"}],"predecessor-version":[{"id":13396,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13393\/revisions\/13396"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/13394"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}