Wie kann man sich vor unauffindbarer Malware schützen?

Da solche Angriffe keine auf die Festplatte gespeicherte Dateien verwenden, können sie von Antivirenprogrammen, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdrücken aufgebaut haben, nicht erkannt werden. Die Stärke dieser Attacke liegt darin, dass sie auf Elemente abzielt, die in der Regel von Antivirensoftware nicht berücksichtigt werden, sodass eine Tür zu den Rechnern der Opfer offen bleibt

Um der dateifreien Malware entgegenzuwirken, sind neue Methoden zur Erkennung von Angriffen entstanden. Die häufigste basiert auf dem Signaturmechanismus für ausführbare Dateien in Windows. Dies erschwert es dem Angreifer, die Datei im Speicher zu ersetzen (nachdem die Signatur verifiziert wurde), deren Zielsetzung dadurch zu missbrauchen, dass das Betriebssystem die ersetzte Datei als Originaldatei einstuft, oder die Anwendung an der Quelle zu verändern. Diese Strategie ist eine recht einfache Möglichkeit, sich vor weniger fortgeschrittenen Attacken zu schützen.

Eine zweite Strategie besteht darin, den Einsatz schwarzer Listen zu perfektionieren. Blacklists müssen also noch tiefer ins Detail der zu blockierenden Elemente gehen und nun auch verwendete Muster enthalten, zum Beispiel Zeichenketten oder Befehle, die als Teil eines bösartigen Prozesses zu erkennen sind. Man spricht hierbei auch von Angriffsindikatoren (Indicators of Attack, IOA).

Eine dritte Strategie ist die Verhaltensbeobachtung. Sie wird von Endpoint-Protection-Lösungen verwendet und ermöglicht die Überwachung suspekter Aktivitäten. Beispielhaft genannt sei etwa die Verbindung zu einem Command-and-Control-Server oder zu einer IP mit schlechtem Ruf. Auch die Korrelation aufeinanderfolgender Aktionen wie die Verwendung einer Scripting-Engine aus einer verdächtigen Befehlszeile heraus und das anschliessende Lesen und Ausführen von Dateien zählt dazu. Die Entdeckung von Inkonsistenzen bei der Nutzung von Systemdienstprogrammen ist ebenfalls ein starkes Kompromittierungssignal. Solche Mechanismen zur Verhaltensanalyse ermöglichen es zu erkennen, ob ein Programm einen Pufferüberlauf (buffer overflow) oder eine Code-Injektion erleidet oder ob die Nutzung einer Anwendung durch ein Benutzerkonto erfolgt, das nicht über die entsprechenden Rechte verfügt.

Jahr für Jahr zeigen Cyberkriminelle also, dass sie in der Lage sind, Verschleierungsstrategien umzusetzen, wodurch sie unter dem Radar von Sicherheits-Tools operieren können. Und das Aufkommen von Akteuren, die sich auf die Schaffung von Erstzugängen spezialisiert haben, lässt leider vermuten, dass sich Angriffe über Fileless Malware in Zukunft weiter ausbreiten dürften. Mehr denn je müssen Unternehmen Methoden zur Erkennung von Indikatoren für Attacken einführen und sich gleichzeitig darum bemühen, alle Mitarbeiter für die digitale Hygiene zu sensibilisieren.

Stormshield