Was würden Sie sagen, wenn Cyberkriminelle Sie nicht mal mehr dazu überreden müssten, Schadcode auf das Computersystem zu installieren?
Die Malware-Bedrohungslandschaft entwickelt sich stetig weiter – von Ransomware und Cryptomining bis hin zu hochentwickelten persistenten Bedrohungen, die z.B. Zero-Day-Schwachstellen ausnutzen. Damit Cyberkriminelle erfolgreicher ihre Ziele erreichen, wird vermehrt auf unsichtbare Techniken (Tarnkappenangriffe) gesetzt. Dabei setzen sie auf dateilose Malware-Attacken, welche ursprünglich für die Kompromittierung staatlicher Infrastrukturen entwickelt wurden. Dateilose Angriffe sind nicht neu, bereits vor 15 Jahren wurden diese dateilosen Infektionen in freier Wildbahn entdeckt.
Malwarebytes-Labs berichtet z.B. von dem Lehigh-Virus, der bereits damals schon einen ungenutzten Teil der Host-Datei im Speicher belegte, ohne dabei die Größe zu verändern. Persistent im Speicher konnten so diverse Systemprozesse wie u.a. die COMMAND.COM infiziert werden, wenn beispielsweise eine entsprechende DOS-Diskette eingelegt wurde. In der heutigen Zeit sind die dateilosen Angriffe um einiges fortschrittlicher und gefährlicher geworden.
Dateilose Malware ist eine Variante von Computer-bezogener bösartiger Software, die ohne Software zu installieren ausschließlich als speicherbasiertes Artefakt, d.h. im RAM existiert.
Experten schlagen Alarm. Laut einem kürzlich veröffentlichten Bericht des Ponemon Institutes wurden bereits im Jahr 2018 für mehr als 35 Prozent der Angriffe dateilose Malware-Attacken verantwortlich gemacht. Damit sind diese 10-mal erfolgreicher als dateibasierte Angriffe.
Wir kennen herkömmliche Malware Angriffe: Häufig über Spam-Kampagnen oder kompromittierte Webseiten eingeleitet, findet der ein oder andere Schadcode den Weg auf die Festplatten unserer Systeme. Der Unterschied zum dateilosen Angriff ist der, dass dieser im Idealfall keine Spuren auf dem System oder der Festplatte hinterlässt und die Nutzlast im Ram des Systems erzeugt wird. Dabei injiziert es normalerweise Code im Arbeitsspeicher und/oder der Registrierung eines Systems. Nach der Injektion verwendet der Code cleveres Scripting (z.B. über die PowerShell) für mehrstufige Hacks, um diverse Funktionalitäten eines Systems für weitere Exploits zu nutzen. Das ganze geschieht unauffällig, da keine neuen Dateien auf die Festplatte geschrieben werden. Hinzu kommt, dass die Erkennung eines dateilosen Angriffs über installierte Sicherheitssysteme und/oder forensische Hilfsmittel somit nahezu unmöglich wird.
Die meisten Sicherheitssysteme basieren auf der Erkennung von Malware-Dateien, doch in dem Fall werden diese Systeme komplett unbrauchbar
Können wir uns vor dateiloser Malware schützen?
Mit unserem herkömmlichen Antivirenschutz kommen wir der eigentlichen Infektion über dateilose Malware nicht bei. Die Infektion bleibt jedoch nicht nach einem Neustart bestehen, da RAM als flüchtiger Speicher nur im Betrieb seine Daten behält. Ist die Infektion jedoch aktiv auf dem System, können die Angreifer möglicherweise Daten stehlen oder weiteren Schadcode auf die Systeme herunterladen. In den letzten 18 Monaten wurden viele dateilose Malware-Angriffe über Microsoft PowerShell oder Windows Management Instrumentation (WMI) ausgeführt. Einige Experten empfehlen, diese potenziellen Angriffsvektoren zu deaktivieren. Andere Experten sprechen sich jedoch gegen diese drastischen Maßnahmen aus. Zum Beispiel ist PowerShell entscheidend für die Automatisierung kritischer Geschäftsprozesse.
Weitere Maßnahmen zum Schutz Ihres Systems:
- Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac.
