Die meisten Menschen betrachten Malware als böswillige ausführbare Dateien, die aus einer E-Mail oder aus dem Internet heruntergeladen werden, aber dateilose Malware verleiht dem Datenschutz eine neue Note. Anstatt Dateien zu verwenden, die jedes Mal geladen werden, wenn ein Benutzer sein System bootet, lädt dateilose Malware aus der Windows-Registry und bootet direkt in den Speicher oder lädt Malware mit bösartigem Code, der in einem Dokument gespeichert ist. Dateilose Malware wurde entwickelt, um Antivirensoftware zu umgehen, sodass zusätzliche Sicherheitsebenen erforderlich sind, um sie zu stoppen.
Was ist dateilose Malware?
Dateilose Malware ist eine Art von bösartiger Software, die vollständig im Speicher eines Computers funktioniert, was bedeutet, dass sie keine Dateien auf der Festplatte erstellt. Bei herkömmlicher Malware stellt der Malware-Autor eine ausführbare Datei zusammen und muss einen Weg finden, sie an ein Ziel zu liefern. Beispielsweise könnte der Malware-Autor eine E-Mail-Nachricht erstellen, um einen Mitarbeiter eines Rechenzentrums davon zu überzeugen, ein Skript zu öffnen, das dann die ausführbare Datei herunterlädt. Die ausführbare Datei lädt bösartigen Code in den Speicher. Jedes Mal, wenn der Benutzer neu startet, wird die ausführbare Datei wieder in den Speicher geladen.
Dateilose Malware ist viel leichter als dateibasierte Malware. Bei dateiloser Malware wird der Code in die Windows-Registrierung geladen oder bösartiger Code wird ohne ausführbare Datei in den Speicher geladen. Beispielsweise könnte ein PowerShell-Skript in den Serverspeicher geladen und verwendet werden, um Daten an einen vom Angreifer gesteuerten Server im Internet zu senden.
So funktioniert dateilose Malware
Die meisten Angriffe beginnen mit einer bösartigen Phishing-E-Mail, aber Angreifer können auch mit Drive-by-Downloads arbeiten, die auf ihren Webservern gehostet werden. Eine weitere gängige Möglichkeit, einen Angriff zu starten, ist Social Engineering. Ein Angreifer kann ein Ziel per Textnachricht kontaktieren und es davon überzeugen, eine Webseite mit bösartigen Skripten zu öffnen. Phishing durch böswillige Umleitungen im Internet oder Man-in-the-Middle-Angriffe auf einen böswilligen WLAN-Hotspot sind seltener, aber bei Malware-Angriffen möglich.
Dateilose Malware zielt in der Regel auf Windows-Maschinen ab, sodass PowerShell die gängige Skriptsprache ist, die bei diesen Angriffen verwendet wird. Ein Benutzer wird zunächst überzeugt, das PowerShell-Skript auszuführen, das in der Regel an eine E-Mail-Nachricht angehängt ist, und das PowerShell-Skript führt Anweisungen aus. Die Anweisungen können darin bestehen, Ransomware zu installieren, Daten vom Computer des Benutzers zu stehlen, still auf Passwörter zu achten oder Rootkits für die Fernsteuerung des lokalen Computers zu installieren. PowerShell kann aktuelle Anwendungen ausführen, die auf dem Computer des Benutzers installiert sind, sodass dateilose Malware versuchen kann, ein Dokument mit bösartigem Code zu erstellen oder bösartigen Code in ein vorhandenes Dokument einzuspeisen. Wenn der Benutzer das Dokument mit einem anderen Benutzer teilt, wird der bösartige Code ausgeführt und liefert seine Nutzlast.
Häufige Angriffsvektoren
Der häufigste Angriffsvektor für die meisten Nutzlasten ist Phishing, und er ist auch der häufigste für dateilose Angriffe. Um eine Nutzlast per E-Mail bereitzustellen, muss der Angreifer den Benutzer davon überzeugen, einen böswilligen Anhang zu öffnen oder ihn auf eine Website weiterzuleiten, auf der die Malware gehostet wird. Unternehmen sollten immer über eine E-Mail-Sicherheit verfügen, die verhindert, dass diese Nachrichten Mitarbeiter-Posteingangseingänge erreichen.
Microsoft Office-Dokumente können Makros und Code speichern, um Aktivitäten auszulösen, wenn das Dokument geöffnet wird. Operationen könnten harmlos sein, aber böswilliger Code, der in einem Office-Dokument (z. B. Word, Excel oder PowerPoint) gespeichert ist, könnte eine Reihe von Nutzlasten ausführen. Zu den Nutzlasten gehören der Diebstahl von Daten, die Installation von Rootkits oder die Bereitstellung von Ransomware an die lokale Maschine oder die Netzwerkumgebung.
Social Engineering könnte eine Komponente eines Angriffs sein. Bei einem ausgeklügelteren Phishing-Angriff arbeiten beispielsweise in der Regel mehrere Angreifer daran, hochprivilegierte Mitarbeiter wie Buchhalter oder Personalmitarbeiter zu verleiten. Diese Ziele haben Zugang zu sensiblen Daten, sodass Bedrohungsautoren viel mehr aus ihren Bemühungen herausholen können. Ein Bedrohungsautor könnte sich mit einem Social Engineer zusammenschließen und ein Ziel anrufen, um ihn davon zu überzeugen, sich mit einer Phishing-E-Mail zu befassen.
Die Auswirkungen von dateiloser Malware
Dateilose Angriffe führen in der Regel zum Datenverlust oder zu langfristigen Hintertüren, in denen Malware auch nach der Löschung bestehen bleibt. Für die meisten organisierten Cyberkriminellen arbeiten sie zusammen, um Daten zu stehlen. Ransomware ist eine gängige Nutzlast und kann Unternehmen zwingen, Millionen zu zahlen, um ihre Daten zurückzugewinnen, wenn sie über keine praktikablen Datenbackups verfügen.
Dauerhafte Bedrohungen laufen oft Monate vor der Erkennung. Diese Bedrohungen können zum stillen Exfiltrieren von Daten verwendet werden. Während persistente Bedrohungen ausgeführt werden, schaffen sie in der Regel Hintertüren, sodass das Sicherheitspersonal sie nicht vollständig entfernen oder eindämmen kann. Nach der Erkennung und Beseitigung haben Netzwerkadministratoren möglicherweise ein falsches Gefühl der Sicherheit, während die Hintertüren der persistenten Bedrohung es Angreifern ermöglichen, die Umgebung erneut zu durchbrechen.
Die meisten Datenschutzverletzungen führen zu Umsatzeinbußen durch Rechtsstreitigkeiten und Compliance-Bußgelder. Markenschäden müssen eingedämmt werden, und ein Verlust des Kundenvertrauens könnte auch den Umsatz senken. Dateilose Malware wurde entwickelt, um die Erkennung zu umgehen, sodass sie besonders gefährlich für die Geschäftskontinuität und den zukünftigen Umsatz sein kann.
Erkennungs- und Präventionsstrategien
Um die Folgen eines dateilosen Malware-Angriffs zu vermeiden, ist eine frühzeitige Erkennung von entscheidender Bedeutung. Früherkennung vermeidet viele der Disaster Recovery-Anforderungen, die nach einer Datenschutzverletzung behoben werden müssen. Monitoring-Tools, die auf der Netzwerkinfrastruktur und auf Endpunkten (z. B. mobilen Benutzergeräten) installiert sind, können dateilose Malware erkennen, bevor sie in den Speicher geladen wird. Netzwerküberwachungslösungen erkennen jedes anomale Verhalten, wenn bösartiger Code versucht, auf sensible Dateien und Daten zuzugreifen.
Die Verhinderung von Eindringlingen enthält automatisch eine Bedrohung. Die Überwachung erkennt Malware und alarmiert Administratoren, aber die Verhinderung von Eindringlingen macht die Cybersicherheit einen Schritt weiter und verhindert automatisch, dass sie Daten stehlen. Netzwerkadministratoren müssen weiterhin Maßnahmen ergreifen, aber der Schaden wird durch die Verhinderung und Eindämmung von Eindringlingen gemindert.
Die Überwachung und Prävention von heute verwendet Analysen und Verhaltensmuster, um böswillige Aktivitäten zu erkennen. Beispielsweise erhält eine Datei mit sensiblen Daten das ganze Jahr über möglicherweise nur eine Handvoll Zugriffsanfragen. Wenn Malware versucht, in kurzer Zeit mehrmals auf Dateien zuzugreifen, sehen Erkennungslösungen dies als verdächtige Aktivität an und alarmieren Administratoren. Zero-Day-Bedrohungen können auch mit anomalen Benchmarks und Entdeckungen erkannt werden.
Fazit
Dateilose Malware ist nur eines der vielen Cybersicherheitsrisiken, mit denen Administratoren umgehen müssen. Sie können Risiken mit den richtigen Überwachungstools, Eindringungserkennungs- und Präventionslösungen minimieren und mindern. Installieren Sie den EDR-Schutz (Endpoint Detection and Response) auf allen Benutzergeräten, insbesondere solchen, die eine Verbindung zu WLAN-Hotspots von Drittanbietern herstellen. Und schließlich können Sie sich mit einem vertrauenswürdigen Technologiepartner zusammenschließen, der Lösungen anbietet, die Ihre Daten schützen und den Datenschutz priorisieren.
