Erfahren Sie alles über fileless Malware und wie Sie sich schützen können

In der Cyberwelt gibt es viele Sicherheitsvorfälle. Während die meisten Cyberangriffe eine Art Köder benötigen, um Ihr System zu infiltrieren, lebt die unerschrockene fileless Malware vom Netz und infiziert sich, indem sie Ihre legitime Software gegen sich selbst wendet.

Aber wie greift die fileless Malware an, wenn sie keine Dateien verwendet? Was sind die gängigsten Techniken? Und können Sie Ihre Geräte vor fileless Malware schützen?

Wie greift fileless Malware an?

Fileless Malware greift an, indem Sie die bereits vorhandenen Sicherheitslücken in Ihrer installierten Software ausnutzen.

Zu den gängigen Beispielen gehören Exploit-Kits, die auf Sicherheitslücken im Browser abzielen, um dem Browser zu befehlen, schädlichen Code auszuführen, das Powershell-Dienstprogramm von Microsoft zu verwenden oder auf Makros und Skripte abzuzielen.

Da der Code für diese Angriffe nicht in einer Datei gespeichert oder auf dem Computer des Opfers installiert ist, wird Malware direkt in den Speicher geladen, wenn das System Befehle erteilt und sofort ausgeführt wird.

Das Fehlen ausführbarer Dateien erschwert es herkömmlichen Antivirenlösungen, diese zu erkennen. Dies macht natürlich fileless Malware umso gefährlicher.

Allgemeine Techniken, die von fileless Malware verwendet werden

Dateifreie Malware benötigt zum Starten keinen Code oder keine Dateien, erfordert jedoch Änderungen an der nativen Umgebung und den Tools, die angegriffen werden sollen.

Hier sind einige gängige Techniken, mit denen fileless Malware auf Geräte abzielt.

Exploit Kits

Exploits sind Teile von "ausgenutztem" Code oder Sequenzen, und ein Exploit-Kit ist eine Sammlung von Exploits. Exploits sind der beste Weg, um einen dateilosen Angriff zu starten, da sie direkt in den Speicher eingefügt werden können, ohne dass etwas auf die Festplatte geschrieben werden muss.

Ein Exploit-Kit-Angriff wird auf die gleiche Weise wie ein typischer Angriff gestartet, bei dem das Opfer durch Phishing-E-Mails oder Social-Engineering-Taktiken angelockt wird. Die meisten Kits enthalten Exploits für eine Reihe bereits vorhandener Sicherheitslücken im System des Opfers und eine Verwaltungskonsole, über die der Angreifer es steuern kann.

Malware, die sich im Speicher befindet

Eine Art von Malware, die als registrierungsresidente Malware bezeichnet wird, wird häufig von dateilosen Angriffen verwendet. Dieser Schadcode wird so programmiert, dass er jedes Mal gestartet wird, wenn Sie das Betriebssystem öffnen. Er bleibt in den nativen Dateien der Registrierung verborgen.

Sobald fileless Malware in Ihrer Windows-Registrierung installiert ist, kann sie dauerhaft dort verbleiben, um eine Erkennung zu vermeiden.

Nur-Speicher-Malware

Diese Art von Malware befindet sich nur im Speicher.

Angreifer verwenden meistens weit verbreitete Systemverwaltungs- und Sicherheitstools – einschließlich PowerShell, Metasploit und Mimikatz -, um ihren Schadcode in den Speicher Ihres Computers einzufügen.

Gestohlene Anmeldeinformationen

Das Stehlen von Anmeldeinformationen für einen dateifreien Angriff ist weit verbreitet. Gestohlene Anmeldeinformationen können leicht verwendet werden, um ein Gerät unter dem Vorwand des tatsächlichen Benutzers anzuvisieren.

Sobald Angreifer über einen gestohlenen Berechtigungsnachweis auf ein Gerät zugreifen, können sie die nativen Tools wie Windows Management Instrumentation (WMI) oder PowerShell verwenden, um den Angriff auszuführen. Die meisten Cyberkriminellen erstellen auch Benutzerkonten, um Zugriff auf jedes System zu erhalten.

Verwandte Themen: Das Risiko gefährdeter Anmeldeinformationen und Insider-Bedrohungen am Arbeitsplatz

Beispiele für dateifreie Angriffe

Fileless Malware gibt es schon seit einiger Zeit, sie wurde jedoch erst 2017 zum Mainstream-Angriff, als Kits von Bedrohungsakteuren erstellt wurden, die Aufrufe von PowerShell integrieren.

Hier sind einige interessante Beispiele für fileless Malware, von denen Sie zweifellos einige gehört haben.

Der dunkle Rächer

Dies ist ein Vorläufer für dateifreie Malware-Angriffe. Es wurde im September 1989 entdeckt und benötigte eine Datei als ersten Übergabepunkt, die jedoch später im Speicher betrieben wurde.

Das Hauptziel dieses Angriffs war es, ausführbare Dateien jedes Mal zu infizieren, wenn sie auf einem infizierten Computer ausgeführt wurden. Sogar die kopierten Dateien würden infiziert. Der Schöpfer dieses Angriffs ist bekannt als der "Dunkle Rächer".

Frodo

Frodo ist im eigentlichen Sinne kein fileless Angriff, aber es war der erste Virus, der in den Bootsektor eines Computers geladen wurde, wodurch er teilweise fileless wurde.

Es wurde im Oktober 1989 als harmloser Streich mit dem Ziel entdeckt, eine Meldung "Frodo Lives" auf den Bildschirmen infizierter Computer zu flashen. Aufgrund des schlecht geschriebenen Codes wurde es jedoch tatsächlich zu einem destruktiven Angriff für seine Hosts.

Operation Cobalt Kitty

Dieser berühmte Angriff wurde im Mai 2017 entdeckt und auf dem System eines asiatischen Unternehmens ausgeführt.

Die für diesen Angriff verwendeten PowerShell-Skripts wurden mit einem externen Befehls- und Steuerungsserver verknüpft, der es ihm ermöglichte, eine Reihe von Angriffen zu starten, einschließlich des Cobalt Strike Beacon-Virus.

Misfox

Dieser Angriff wurde bereits im April 2016 vom Microsoft Incident Response-Team identifiziert. Es verwendet die dateifreien Methoden zum Ausführen von Befehlen über PowerShell sowie zum Erzielen von Beständigkeit durch Infiltration der Registrierung.

Da dieser Angriff vom Microsoft-Sicherheitsteam entdeckt wurde, wurde in Windows Defender eine Bündelungslösung zum Schutz vor dieser Malware hinzugefügt.

WannaMine

Dieser Angriff wird ausgeführt, indem die Kryptowährung auf dem Hostcomputer abgebaut wird.

Der Angriff wurde erstmals Mitte 2017 entdeckt, als er im Speicher ohne Spuren eines dateibasierten Programms ausgeführt wurde.

Lila Fuchs

Purple Fox wurde ursprünglich im Jahr 2018 als fileless Downloader-Trojaner entwickelt, für den ein Exploit-Kit erforderlich war, um Geräte zu infizieren. Es tauchte in einer neu konfigurierten Form mit einem zusätzlichen Wurmmodul wieder auf.

Verwandte: Was ist Purple Fox Malware und wie kann sie sich auf Windows ausbreiten?

Der Angriff wird durch eine Phishing-E-Mail ausgelöst, die die Wurmnutzlast liefert, die automatisch nach Windows-basierten Systemen sucht und diese infiziert.

Purple Fox kann auch Brute-Force-Angriffe verwenden, indem nach anfälligen Ports gesucht wird. Sobald der Zielport gefunden wurde, wird er infiltriert, um die Infektion zu verbreiten.

So verhindern Sie fileless Malware

Wir haben festgestellt, wie gefährlich fileless Malware sein kann, insbesondere weil einige Sicherheitssuiten sie nicht erkennen können. Die folgenden fünf Tipps können dazu beitragen, das Genre der dateifreien Angriffe zu verringern.

1. Öffnen Sie keine verdächtigen Links und Anhänge

E-Mail ist der größte Einstiegspunkt für dateilose Angriffe, da naive E-Mail-Benutzer dazu verleitet werden können, böswillige E-Mail-Links zu öffnen.

Klicken Sie nicht auf Links, bei denen Sie sich nicht hundertprozentig sicher sind. Sie können überprüfen, wo die URL zuerst landet, oder feststellen, ob Sie ihr aus Ihrer Beziehung zum Absender und dem Inhalt der E-Mail anderweitig vertrauen können.

Außerdem sollten keine Anhänge geöffnet werden, die von unbekannten Quellen gesendet wurden, insbesondere solche, die herunterladbare Dateien wie PDFs und Microsoft Word-Dokumente enthalten.

2. Töte kein JavaScript

JavaScript kann ein großer Einflussfaktor für fileless Malware sein, aber eine vollständige Deaktivierung hilft nicht weiter.

Neben der Tatsache, dass die meisten von Ihnen besuchten Seiten entweder leer sind oder Elemente fehlen, gibt es in Windows auch einen integrierten JavaScript-Interpreter, der von einer Webseite aus aufgerufen werden kann, ohne dass JavaScript erforderlich ist.

Der größte Nachteil ist, dass Sie dadurch ein falsches Sicherheitsgefühl gegen fileless Malware erhalten.

3. Deaktivieren Sie Flash

Flash verwendet das Windows PowerShell-Tool, um Befehle über die Befehlszeile auszuführen, während es im Speicher ausgeführt wird.

Um ordnungsgemäß vor fileless Malware zu schützen, ist es wichtig, Flash zu deaktivieren, sofern dies nicht wirklich erforderlich ist.

4. Setzen Sie den Browserschutz ein

Der Schutz Ihres Heim- und Arbeitsbrowsers ist der Schlüssel, um zu verhindern, dass sich dateifreie Angriffe ausbreiten.

Erstellen Sie für Arbeitsumgebungen eine Office-Richtlinie, mit der nur ein Browsertyp für alle Desktops verwendet werden kann.

Die Installation eines Browserschutzes wie Windows Defender Application Guard ist sehr hilfreich. Als Teil von Office 365 wurde diese Software mit spezifischen Verfahren zum Schutz vor dateifreien Angriffen geschrieben.

5. Implementieren Sie eine robuste Authentifizierung

Der Hauptverursacher der Verbreitung von fileless Malware ist nicht die PowerShell, sondern ein schwaches Authentifizierungssystem.

Durch die Implementierung zuverlässiger Authentifizierungsrichtlinien und die Einschränkung des privilegierten Zugriffs durch Implementierung des Prinzips der geringsten Berechtigungen (POLP) kann das Risiko von fileless Malware erheblich verringert werden.

Besiege fileless Malware

Fileless Malware hinterlässt keine Spuren und nutzt die in Ihrem Computer integrierten "sicheren" Tools, um die Angriffe auszuführen.

Der beste Weg, um dateifreie oder Malware zu bekämpfen, besteht darin, sich der verschiedenen Techniken bewusst zu werden und diese zu verstehen, die bei der Durchführung dieser Angriffe verwendet werden.