Dateilose Malware-Angriffe, Schutz und Erkennung

Dateilose Malware(Fileless Malware) mag für die meisten ein neuer Begriff sein, aber die Sicherheitsbranche kennt ihn seit Jahren. Im vergangenen Jahr wurden über 140 Unternehmen weltweit von dieser dateilosen Malware betroffen –(Fileless Malware –) darunter Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Fileless Malware , wie der Name schon sagt, ist eine Art von Malware, die die Festplatte nicht berührt oder dabei Dateien verwendet. Es wird im Kontext eines legitimen Prozesses geladen. Einige Sicherheitsfirmen behaupten jedoch, dass der dateilose Angriff eine kleine Binärdatei auf dem kompromittierenden Host hinterlässt, um den Malware-Angriff zu initiieren. Solche Angriffe haben in den letzten Jahren stark zugenommen und sind riskanter als herkömmliche Malware-Angriffe.

Dateilose Malware

Dateilose Malware-Angriffe

Dateilose Malware(Fileless Malware) - Angriffe, auch bekannt als Nicht-Malware-Angriffe(Non-Malware attacks) . Sie verwenden eine Reihe typischer Techniken, um in Ihre Systeme einzudringen, ohne eine erkennbare Malware-Datei zu verwenden. In den letzten Jahren sind die Angreifer schlauer geworden und haben viele verschiedene Möglichkeiten entwickelt, um den Angriff zu starten.

Dateilose(Fileless) Malware infiziert die Computer und hinterlässt keine Datei auf der lokalen Festplatte, wodurch die traditionellen Sicherheits- und Forensik-Tools umgangen werden.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Die dateilose Malware befindet sich im Random Access Memory Ihres Computersystems, und kein Antivirenprogramm untersucht den Speicher direkt – daher ist es für Angreifer der sicherste Modus, in Ihren PC einzudringen und alle Ihre Daten zu stehlen. Selbst den besten Antivirenprogrammen entgeht manchmal die Malware, die im Speicher läuft.

Einige der jüngsten dateilosen Malware-(Fileless Malware) Infektionen, die Computersysteme weltweit infiziert haben, sind – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 usw.

Wie funktioniert dateilose Malware?

Die dateilose Malware kann, wenn sie im Speicher(Memory) landet, Ihre nativen und systemadministrativen Windows -integrierten Tools wie PowerShell , SC.exe und netsh.exe einsetzen(netsh.exe) , um den bösartigen Code auszuführen und den Administratorzugriff auf Ihr System zu erhalten, um ihn zu übertragen die Befehle aus und stehlen Sie Ihre Daten. Fileless Malware kann sich manchmal auch in Rootkits oder der Registry des Windows-Betriebssystems verstecken.

Einmal drin, verwenden die Angreifer den Windows-Thumbnail- Cache, um den Malware-Mechanismus zu verbergen. Die Malware benötigt jedoch immer noch eine statische Binärdatei, um auf den Host-PC zu gelangen, und E-Mail ist das am häufigsten verwendete Medium dafür. Wenn der Benutzer auf den schädlichen Anhang klickt, schreibt er eine verschlüsselte Payload-Datei in die Windows-Registrierung(Windows Registry) .

Dateilose Malware(Fileless Malware) ist auch dafür bekannt, Tools wie Mimikatz und Metaspoilt zu verwenden, um den Code in den Speicher Ihres PCs einzuschleusen und die dort gespeicherten Daten zu lesen. Diese Tools helfen den Angreifern, tiefer in Ihren PC einzudringen und all Ihre Daten zu stehlen.

Verhaltensanalyse und dateilose(Fileless) Malware

Da die meisten regulären Antivirenprogramme Signaturen verwenden, um eine Malware-Datei zu identifizieren, ist die dateilose Malware schwer zu erkennen. Daher verwenden Sicherheitsfirmen Verhaltensanalysen, um Malware zu erkennen. Diese neue Sicherheitslösung wurde entwickelt, um die früheren Angriffe und das Verhalten der Benutzer und Computer zu bekämpfen. Jedes abnormale Verhalten, das auf schädliche Inhalte hinweist, wird dann mit Warnungen gemeldet.

Wenn keine Endpoint-Lösung die dateilose Malware erkennen kann, erkennt die Verhaltensanalyse jedes anomale Verhalten wie verdächtige Anmeldeaktivitäten, ungewöhnliche Arbeitszeiten oder die Verwendung atypischer Ressourcen. Diese Sicherheitslösung erfasst die Ereignisdaten während der Sitzungen, in denen Benutzer eine Anwendung verwenden, eine Website durchsuchen, Spiele spielen, in sozialen Medien interagieren usw.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

So schützen und erkennen Sie dateilose Malware(Fileless Malware)

Befolgen Sie die grundlegenden Vorsichtsmaßnahmen, um Ihren Windows-Computer zu sichern(precautions to secure your Windows computer) :

  • Wenden Sie(Apply) alle aktuellen Windows-Updates an – insbesondere die Sicherheitsupdates für Ihr Betriebssystem.
  • Stellen Sie(Make) sicher, dass Ihre gesamte installierte Software gepatcht und auf die neuesten Versionen aktualisiert wurde
  • Verwenden Sie ein gutes Sicherheitsprodukt, das den Speicher Ihres Computers effizient scannen und bösartige Webseiten blockieren kann, die Exploits hosten könnten . Es sollte Verhaltensüberwachung(Behavior) , Speicherscans(Memory) und Bootsektorschutz(Boot Sector) bieten.
  • Seien Sie vorsichtig, bevor Sie E-Mail-Anhänge herunterladen(downloading any email attachments) . Dadurch soll das Herunterladen der Payload vermieden werden.
  • Verwenden Sie eine starke Firewall , mit der Sie den (Firewall)Netzwerkverkehr(Network) effektiv kontrollieren können.

Lesen Sie weiter(Read next) : Was sind Living Off The Land-Angriffe(Living Off The Land attacks) ?



Frederik Huber

About the author

Ich bin ein Computerprofi mit über 10 Jahren Erfahrung. In meiner Freizeit helfe ich gerne am Schreibtisch aus und bringe Kindern den Umgang mit dem Internet bei. Meine Fähigkeiten umfassen viele Dinge, aber das Wichtigste ist, dass ich weiß, wie man Menschen hilft, Probleme zu lösen. Wenn Sie jemanden brauchen, der Ihnen bei etwas Dringenden helfen kann, oder einfach nur ein paar grundlegende Tipps wünschen, dann wenden Sie sich bitte an mich!


Related posts