WAS IST Fileless Malware?

März 29, 2022

Was ist fileless malware?

Fileless malware ist eine Art von böswilliger Aktivität, bei der systemeigene legitime Tools für Cyberangriffe missbraucht werden. Im Gegensatz zu herkömmlicher Malware muss ein Angreifer bei dateiloser Malware keinen Code auf einem Zielsystem installieren. Dadurch ist es so schwierig, sie zu erkennen.

Diese dateilose Technik der Nutzung nativer Tools für böswillige Zwecke wird auch als Living off the Land bezeichnet.

Gängige Techniken für fileless malware-Angriffe

Angreifer müssen zwar keinen Code installieren, um einen dateilosen Malware-Angriff zu starten, benötigen jedoch Zugang zur Umgebung, um deren native Tools für ihre Zwecke modifizieren zu können. Der Zugriff und die Angriffe können auf verschiedene Weise erfolgen. Beispiele dafür sind:

  • Exploit-Kits
  • Manipulierte native Tools
  • Registrierungsresidente Malware
  • In-Memory-Malware
  • Dateilose Ransomware
  • Gestohlene Anmeldedaten

Exploit-Kits

Exploits sind Code-Teile, Befehlssequenzen oder Datensammlungen, während es sich bei Exploit-Kits um Exploit-Sammlungen handelt. Angreifer nutzen mit diesen Tools bekannte Schwachstellen in einem Betriebssystem oder einer installierten Anwendung aus.

Mit Exploits lassen sich fileless malware-Angriffe auf effiziente Weise starten, weil sie direkt in den Speicher injiziert werden können, ohne Daten auf einen Datenträger schreiben zu müssen. Angreifer können damit Erstkompromittierungen in großem Stil automatisieren.

Unabhängig davon, ob ein Angriff dateilos ist oder traditionelle Malware verwendet, beginnt ein Exploit immer gleich. In der Regel wird ein Opfer mit einer Phishing-E-Mail oder per Social Engineering geködert. Das Exploit-Kit enthält meist Exploits für verschiedene Schwachstellen sowie eine Verwaltungskonsole, über die der Angreifer das System steuern kann. In einigen Fällen umfasst das Exploit-Kit auch die Möglichkeit, das angegriffene System auf Schwachstellen zu scannen und dann einen spezifischen Exploit im Schnellverfahren zu programmieren.

Registrierungsresidente Malware

Registrierungsresidente Malware installiert sich selbst in der Windows-Registrierung, um persistent zu bleiben und dabei der Erkennung zu entgehen.

In der Regel werden Windows-Systeme mithilfe eines Dropper-Programms infiziert, das eine schädliche Datei herunterlädt. Diese schädliche Datei bleibt auf dem angegriffenen System aktiv und könnte daher durch Virenschutz-Software erkannt werden. fileless malware kann zwar auch ein Dropper-Programm nutzen, lädt aber keine schädliche Datei herunter. Stattdessen schreibt das Dropper-Programm selbst den schädlichen Code direkt in die Windows-Registrierung.

Der schädliche Code kann so programmiert werden, dass er immer zusammen mit dem Betriebssystem gestartet wird. Dabei gibt es jedoch keine schädliche Datei, die erkannt werden könnte. Der schädliche Code wird in nativen Dateien versteckt, die keiner Virenschutzerkennung unterliegen.

Die älteste Variante dieses Angriffstyps ist Poweliks. Inzwischen sind jedoch viele andere hinzugekommen, z. B. Kovter und GootKit. Malware, die Registrierungsschlüssel ändert, bleibt sehr wahrscheinlich längere Zeit inaktiv und daher unerkannt.

In-Memory-Malware

In-Memory-Malware befindet sich ausschließlich im Speicher. Ein Beispiel für In-Memory-Malware ist der Wurm Duqu, der mit dieser Methode unerkannt bleiben kann. Von Duqu 2.0 gibt es zwei Versionen. Bei der ersten handelt es sich um eine Backdoor, über die sich ein Angreifer Zugang zu einem Unternehmen verschaffen kann. Im weiteren Verlauf kann der Angreifer die erweiterte Version Duqu 2.0 mit zusätzlichen Funktionen wie Reconnaissance, lateralen Bewegungen und Datenexfiltration nutzen. Duqu 2.0 kam erfolgreich bei der Kompromittierung von Unternehmen im Telekomsektor und mindestens eines sehr bekannten Sicherheitssoftware-Anbieters zum Einsatz.

Dateilose Ransomware

Angreifer beschränken sich nicht auf eine Angriffsart. Sie nutzen jede Technologie, die sich in irgendeiner Form für ihre Payload eignet. Heute setzen Ransomware-Angreifer dateilose Techniken ein, um schädlichen Code mithilfe nativer Skriptsprachen (z. B. mit Makros) in Dokumente einzubetten oder mithilfe eines Exploits direkt in den Speicher zu schreiben. Anschließend manipuliert die Ransomware native Tools wie PowerShell, um Dateien zu verschlüsseln, ohne auch nur eine einzige Zeile auf einen Datenträger zu schreiben.

Gestohlene Anmeldedaten

Angreifer können dateilose Angriffe mithilfe gestohlener Anmeldedaten beginnen, um als legitimer Benutzer getarnt auf ihr Ziel zuzugreifen. Sobald der Angreifer im System ist, kann er seinen Angriff mit nativen Tools wie Windows Management Instrumentation (WMI) oder PowerShell vorantreiben. Er kann Persistenz erreichen, indem er Code in der Registrierung oder im Kernel versteckt oder Benutzerkonten erstellt, die ihm den Zugriff auf jedes System seiner Wahl erlauben.

See Crowdstrike Falcon In Action

Laden Sie dieses Whitepaper herunter, um die detaillierte Anatomie eines dateilosen Angriffs kennenzulernen, einschließlich Erstkompromittierung, Command-and-Control-Übernahme, Rechteausweitung und Persistenzimplementierung.

Jetzt herunterladen

Eigenschaften dateiloser Malware

  • Nutzt genehmigte Anwendungen, die sich bereits auf dem angegriffenen System befinden
  • Kein Code oder keine erkennbare Signatur, die von herkömmlichen Virenschutzlösungen erkannt werden könnten
  • Kein spezielles Verhalten, das von heuristischen Scannern erkannt werden könnte
  • Speicherbasiert, d. h. befindet sich im Systemspeicher
  • Nutzt Prozesse, die im Betriebssystem integriert sind
  • Kann mit anderen Malware-Typen kombiniert werden
  • Kann in der Umgebung verbleiben – trotz Whitelisting und Sandbox-Analysen

Phasen eines dateilosen Angriffs

Die folgende Infografik veranschaulicht den Ablauf eines dateilosen Angriffs anhand eines realen Zwischenfalls, den das CrowdStrike-Team für Incident Response Services aufdecken konnte.

Stufe 1: Zugriff erlangen

Technik: Remote-Ausnutzung einer Schwachstelle und Einsatz von Webskripten für Remote-Zugriff (z. B. China Chopper)

Der Angreifer verschafft sich Remote-Zugriff auf das System eines Opfers, um einen Brückenkopf für seinen Angriff zu errichten.

Stufe 2: Anmeldedaten stehlen

Technik: Remote-Ausnutzung einer Schwachstelle und Einsatz von Webskripten für Remote-Zugriff (z. B. Mimikatz)

Mit dem im ersten Schritt erlangten Zugriff versucht der Angreifer nun, sich Anmeldedaten für die kompromittierte Umgebung zu beschaffen, um problemlos weitere Systeme in dieser Umgebung zu erreichen.

Stufe 3: Persistenz implementieren

Technik: Änderung der Registrierung, um eine Backdoor einzurichten (z. B. Sticky Keys Bypass)

Jetzt richtet der Angreifer eine Backdoor ein, durch die er nach Belieben in die Umgebung zurückkehren kann, ohne die ersten Schritte des Angriffs wiederholen zu müssen.

Stufe 4: Daten exfiltrieren

Technik: Nutzung des Dateisystems und des integrierten Komprimierungsdienstprogramms, um Daten zu sammeln, dann Upload der Daten per FTP

Im letzten Schritt sammelt der Angreifer die gewünschten Daten und bereitet sie für die Exfiltration vor. Dazu kopiert er sie an einen gemeinsamen Ort, um sie anschließend mit frei verfügbaren System-Tools wie Compact zu komprimieren. Anschließend entfernt der Angreifer die Daten aus der Umgebung des Opfers, indem er sie über FTP hochlädt.

So erkennen Sie fileless malware

Wenn Legacy-Virenschutz, Whitelisting, Sandbox-Analysen und selbst Machine Learning-Methoden keinen Schutz vor dateilosen Angriffen bieten, was hilft dann noch? Unternehmen können sich mit einem integrierten Ansatz schützen, der mehrere Methoden kombiniert.

Verwendung von Angriffsindikatoren statt nur Kompromittierungsindikatoren

Mit Angriffsindikatoren (IOAs) können Sie sich proaktiv vor dateilosen Angriffen schützen. IOAs konzentrieren sich nicht auf die Schritte, mit denen ein Angriff ausgeführt wird – stattdessen suchen sie nach Anzeichen für einen laufenden Angriff.

Zu den IOAs gehören Anzeichen wie die Ausführung von Code, laterale Bewegungen und Aktionen, die scheinbar auf die Verschleierung der wahren Absichten zielen.

Sie konzentrieren sich nicht darauf, wie die Schritte gestartet oder ausgeführt werden. Es spielt auch keine Rolle, ob die Aktion von einer Datei auf dem Festplattenlaufwerk oder einer dateilosen Technik ausging. Relevant sind nur die ausgeführte Aktion, ihre Beziehung zu anderen Aktionen, ihre Position innerhalb einer Sequenz von Aktionen und davon abhängige Aktionen. Die Indikatoren verraten die wahren Absichten und Ziele hinter dem Verhalten und den Begleiterscheinungen.

Weil dateilose Angriffe legitime Skriptsprachen wie PowerShell nutzen und nie auf Datenträger selbst geschrieben werden, bleiben sie bei signaturbasierten Methoden, Whitelisting und Sandbox-Analysen unerkannt. Selbst Machine Learning-Methoden scheitern bei der Analyse dateiloser Malware. IOAs suchen hingegen nach Sequenzen von Ereignissen, die selbst fileless malware ausführen muss, um ihr Ziel zu erreichen.

Und da IOAs die Absichten, Kontext und Sequenzen untersuchen, können sie auch schädliche Aktivitäten eines legitimen Kontos erkennen und blockieren. Dies ist häufig der Fall, wenn ein Angreifer gestohlene Anmeldedaten verwendet.

Nutzen von verwalteter Bedrohungssuche

Die Bedrohungssuche nach dateiloser Malware ist eine zeitaufwändige und mühsame Arbeit, weil dafür Daten in riesigen Mengen erfasst und normalisiert werden müssen. Dennoch ist sie für die Abwehr dateiloser Angriffe unerlässlich, sodass der pragmatischste Ansatz für die meisten Unternehmen darin besteht, ihre Bedrohungssuche den Experten zu überlassen.

Services für verwaltete Bedrohungssuche sind rund um die Uhr aktiv. Sie suchen proaktiv nach Angriffen, überwachen die Umgebung und erkennen verborgene Aktivitäten, die von standardmäßigen Sicherheitstechnologien nicht erkannt werden.

So kann CrowdStrike dateilose Angriffe in Ihrem Unternehmen verhindern

In diesem Video zeigen wir, wie die Falcon-Plattform einen dateilosen Angriff erkennt, der WebShell verwendet: