Das erste Auftreten eines Angriffs mit Fileless Malware wird auf das Jahr 2001 datiert. Und trotz der Spitzenwerte in den Jahren 2017, 2019 und 2021 bleiben diese dateilosen Angriffe meist unverstanden und werfen Fragen über ihre Funktionsweise auf. Doch was sind die technischen Merkmale dieser Angriffe? Sind Cybersicherheitstools wirklich in der Lage, sie zu erkennen?
Im April 2020 veröffentlicht die ENISA einen Bericht, in dem sie erklärt, dass Angriffe fileless malware zehnmal wahrscheinlicher erfolgreich sind als ein herkömmlicher Angriff. Entschlüsselung von Cyberangriffen durch fileless malware.
Die ersten Vorkommen von Angriffen mit Fileless Malware
Der Begriff taucht erstmals 2001 mit dem Wurm Code Red auf. Ein Programm, das eine Schwachstelle in buffer overrun ausnutzt (Überlauf des Speicherstapels von Microsoft IIS-Webservern in diesem Fall). Dieser Wurm war das erste Schadprogramm, das als “fileless malware”. kategorisiert wurde. Nicht weniger als 359.000 Server wurden Opfer eines Absturzes der Homepage mit einer Meldung “Welcome to http://www.worm.com ! Hacked by Chinese!” durch einen mysteriösen Virus, der keine Dateien und keine bleibenden Spuren auf der Festplatte hinterließ. Die Untersuchung ergab, dass der Wurm nur über den Speicher des infizierten Rechners ausgeführt wurde.
In den folgenden zwei Jahrzehnten wurde dieser Mechanismus weitgehend auf Microsoft-Umgebungen verwendet. Der SQL-Wurm Slammer verwendet seit 2003 dieselbe Vorgehensweise, um Microsoft SQL-Server zu kompromittieren und einen Denial-of-Service-Angriff zu starten. 2013 nutzt der Banking-Trojaner Lurk eine Schwachstelle in der Programmiersprache Java aus und lädt eine bösartige DLL in den Speicher herunter. 2014 entwickelte sich die Vorgehensweise des Angriffs fileless malware mit dem Auftauchen des Trojaners Poweliks. Dieser installiert sich in einem Windows-Registrierungsschlüssel, dessen Wert das bösartige Skript enthält. Die Malware erlangt dann einen persistenten Zustand durch ein legitimes Programm, das vom Windows-Betriebssystem verwendet wird. Im Jahr 2015 wird der Wurm Duqu 2.0 mithilfe von Funktionen wie Seitwärtsbewegung, Datenexfiltration oder der Erkennung des Hosts und seiner unmittelbaren Umgebung als Toolbox durch Cyberspionageaktionen eingesetzt. Im Jahr 2016, mit der Malware PowerSniff, entwickelt sich die Vorgehensweise weiter, indem das Merkmal fileless in einen Teil der Angriffe integriert wird. Der ursprüngliche Zugriff erfolgt hier über einen klassischen Dropper, nämlich eine Word-Datei, die (überhaupt) nicht in den Rahmen eines Angriffs fällt fileless. Doch diese enthält ein Makro, das PowerShell im versteckten Modus startet, um eine entfernte Datei herunterzuladen und dann direkt im Speicher von PowerShell auszuführen. Es ist also dieser zweite Teil des Angriffs, der als „Fileless“ gilt, in Form von Skripten und shellcode. Aber vor allem im Jahr 2017 macht der Angriff über fileless malware mehr von sich reden, als über eine Schwachstelle im Framework für Webanwendungen, Apache Struts, Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden.
Da der Fileless Malware-Angriff keine auf die Festplatte geschriebenen Dateien verwendet, kann er nicht von Antivirusprogrammen erkannt werden, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdrücken aufgebaut haben. Die Stärke dieses Angriffs liegt darin, dass er auf Elemente abzielt, die von Antivirusprogrammen nicht berücksichtigt wurden.
Sébastien Viou, Direktor für Produkt-Cybersicherheit und Cyber-Evangelist Stormshield
Für Sébastien Viou, Direktor für Produkt-Cybersicherheit und Cyber-Evangelist bei Stormshield, belegen diese Innovationen den technologischen Vorsprung, den Cyberkriminelle gegenüber den damaligen Antivirusherstellern hatten: „Da der Angriff fileless malware keine auf die Festplatte geschriebene Datei verwendet, kann er von Antivirusprogrammen, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdrücken aufgebaut haben, nicht erkanntwerden. Die Stärke dieses Angriffs liegt darin, dass er auf Elemente abzielt, die von Antivirusprogrammen nicht berücksichtigt wurden. Die Cyberkriminellen gingen an einer Stelle vorbei, an der das Antivirusprogramm einfach nicht hinsah, sodass eine Tür zu den Rechnern der Opfer offen blieb.“
Fileless malware : Eine Definition und Techniken, die sich weiterentwickeln
Memory-only malware, non-malware attack, zero-footprint attack … Mehrere Namen werden ihm gegeben, aber was ist ein Angriff über fileless malware ? Ein Angriff über fileless malware oder ein dateiloser Malware-Angriff ist also ein Mechanismus, der die Besonderheit hat, ein Schadprogramm auszuführen, ohne irgendwelche Spuren auf der Festplatte zu hinterlassen, wie Cyril Cléaud, Malware-Analyst bei Stormshield, erklärt: „Ein Angriff fileless malware ist ein bösartiger Angriff, bei dem der entfernte Code abgerufen und ausgeführt wird, ohne über eine lokale Zwischendatei zu gehen. Zum Beispiel: in Form von Zeichenketten, die von einem Webserver abgerufen und dann als Parameter an einen Skriptinterpreter wie PowerShell übergeben werden. Der Schadcode wird dann direkt in dessen Speicher ausgeführt. Es handelt sich um einen Angriff, der somit keine Spuren auf der Festplatte hinterlässt. „Und die Techniken, die bei einem Angriff über fileless malware verwendet werden, um bösartigen Code im Speicher auszuführen, können vielfältig sein: Zweckentfremdung von nativen Programmen, die für das reibungslose Funktionieren des Betriebssystems erforderlich sind, Injektion von bösartigem Code in bestehende Prozesse, Speicherung von Malware in Windows-Registrierungsschlüsseln ... Es gibt sogar fertige Exploit-Kits, wie die PowerShell-Tools Empire, PowerSploit und Cobalt Strike. Mithilfe dieser Tools können Angreifer die Fernsteuerung des Opferrechners übernehmen und anschließend versuchen, bei einem Neustart auf einen Persistenz status des Rechners zuzugreifen. Meistens basieren diese Angriffe über fileless malware jedoch auf einer bekannten Schwachstelle, um sich einen privilegierten Zugriff auf das Betriebssystem zu verschaffen. Und wenn man einmal vor Ort ist, ist die technische Umsetzung relativ einfach, wie Cyril Cléaud betont: „Informationen über diese Art von Angriffen sind im Internet leicht zugänglich. Und meistens sind die Befehlszeilen sehr kurz. Für einen Angreifer, der weiß, wie er die Sicherheitslücke ausnutzen kann, besteht der erste – vorbereitende – Schritt darin, eine schädliche Payload auf einem Webserver in seiner Hand auszusetzen, der über eine URL seiner Wahl erreichbar ist. Der zweite Schritt erfolgt bei der Ausnutzung der Sicherheitslücke: Sie müssen lediglich einen Skript-Interpreter anweisen, diese Payload herunterzuladen und dann auszuführen.“
Wie ist ein Angriff aufgebaut fileless malware ? Das gemeinhin beobachtete Szenario besteht aus drei Schritten. In der ersten Phase müssen Cyberkriminelle einen Erstzugriff erwerben, meist durch Kampagnen von phishing und spear phishing. Wenn diese erste Phase des Angriffs nur im Arbeitsspeicher ausgeführt wird, besteht der zweite Schritt darin, den Zugriff bei einem Neustart persistent zu machen. In dieser Phase sind Registrierungsschlüssel für Cyberkriminelle von Vorteil. Cyril Cléaud erklärt daher: „Einige Registrierungsschlüssel werden gelesen, um beim Anmelden Programme auszuführen. Indem er in diese Schlüssel einen Code zum Herunterladen und Ausführen von Payload als Parameter von PowerShell schreibt oder, hat der Cyberkriminelle einen persistenten Eintrag, um eine weitere Virenlast auf die Maschine herunterzuladen. Für den Angreifer ist es am praktischsten, dass die Malware nicht auf dem Rechner des Opfers gespeichert wird: Es gibt also erstens keine Dateien und zweitens kann der Angreifer seine Malware in Echtzeit aktualisieren. Andererseits hinterlässt es auch ohne Datei eine Spur: die URL der Payload.Das ganze Spiel besteht nun darin, diese URL zu verschleiern, damit sie nicht als Signal für eine Kompromittierung erkannt wird.“ Der dritte und letzte Schritt besteht dann in den ursprünglichen Zielen des Angriffs: Diebstahl von Anmeldeinformationen, Exfiltration von Daten oder Schaffung einer Backdoor.
Ein weiterer starker Trend, der beobachtet wurde, ist die Umleitung oder das Ersetzen eines legitimen Programms. Ein Begriff, der auf der DerbyCon 3 2013 auftauchte, Living Off the Land (LotL oder LOLBins – für Living Off The Land Binaries) ist eine Praxis, mit der man sich als Dienstprogramm ausgibt, das auf Betriebssystemen eingesetzt wird und somit von diesen als legitim anerkannt wird. Häufig verwendete LOLBins auf Windows-Betriebssystemen sind z. B. die Dienstprogramme certutil.exe, mavinject.exe, cmdl.exe, msixec oder auch WMI (Windows Management Interface) sowie die Interpreter PowerShell und bash. Diese verschiedenen legitimen Programme können die Effizienz des Angriffs vervielfachen, da einige von ihnen Funktionen wie das Herunterladen von Dateien oder das Herstellen einer Verbindung zu einem entfernten Rechner von Haus aus mitbringen. Die Verwendung eines LOLBins in einem Cyberangriff kann daher problematisch sein, da es sehr schwer zu erkennen ist, ob es sich um eine legitime oder böswillige Verwendung handelt. In einigen Fällen sind diese Dienstprogramme sogar auf den weißen Listen von Sicherheitslösungen zu finden ... Daher wird häufig die Verwendung von LOLBAS (LOL Binaries And Scripts), Drittanbieter-Skripten beobachtet, die mithilfe von LOLBins und LOLLibs ausgeführt werden, eigens dafür entwickelten Bibliotheken, die der entführten ausführbaren Datei zusätzliche Funktionen verleihen können.
2018 nahm die Ransomware-as-a-Service-Plattform Grand Crab den Angriff fileless malware in ihre Vorgehensweise auf und infizierte damals weltweit mehr als 50.000 Rechner. Welche Maßnahmen sollten angesichts solcher Innovationen ergriffen werden, um eine unentdeckbare Bedrohung zu erkennen?
Fileless Malware: Wie kann man sich vor unauffindbarer Malware schützen?
Angesichts einer dateifreien Malware sind innovative Schutztechniken erforderlich, um die herkömmlichen Erkennungswerkzeuge zu ergänzen. Um dem entgegenzuwirken, sind neue Methoden zur Erkennung von Angriffen entstanden. Die häufigste basiert auf dem Signaturmechanismus für ausführbare Dateien in Windows, wie Sébastien Viou zusammenfasst: „Standardmäßig signiert Windows seine ausführbaren Dateien. Dies erschwert es dem Angreifer, entweder die Datei im Speicher zu ersetzen, nachdem die Signatur verifiziert wurde, oder das Ziel der Datei zu missbrauchen, indem er das Betriebssystem glauben macht, dass die ersetzte Datei die Originaldatei ist, oder die Anwendung an der Quelle zu verändern.Diese Strategie ist eine recht einfache Möglichkeit, sich vor weniger fortgeschrittenen Angriffen zu schützen.“
Eine zweite Strategie besteht darin, die Verwendung von schwarzen Listen zu perfektionieren. Blacklists, die noch weiter ins Detail gehen müssen, was sie blockieren, und die nun auch verwendete Muster enthalten, z. B. Zeichenketten oder Befehle, die als Teil eines bösartigen Prozesses erkannt wurden. Man spricht dann von Angriffsindikatoren (Indicators of Attack, IOA). Ein Open-Source-Projekt mit dem Titel LOLBAS (Living Off The Land Binaries and Scripts) entstand zudem 2018 auf der Plattform Github und zählt heute mehr als 4.500 missbräuchliche Verwendungen von LOLBins. Das Projekt richtet sich an die Purple- und Blue-Teams von Cybersicherheitsdienstleistern. Es wird heute von über 60 freiwilligen Ingenieuren betreut und kategorisiert über 150 Binärdateien, die missbraucht werden können. Für jedes Dienstprogramm werden Indikatoren zur Verfügung gestellt.
Eine dritte Strategie ist die Verhaltensbeobachtung. Wird von Endpoint-Protection-Lösungen verwendet und ermöglicht die Überwachung möglicher Aktionen wie die Verbindung zu einem Command-and-Control-Server, die Verbindung zu einer IP mit schlechtem Ruf oder die Korrelation aufeinander folgender Aktionen wie die Verwendung einer Scripting-Engine aus einer verdächtigen Befehlszeile heraus und das anschließende Lesen und Ausführen von Dateien. Die Entdeckung von Inkonsistenzen bei der Verwendung von Systemdienstprogrammen ist ebenfalls ein starkes Signal, wie Cyril Cléaud analysiert: „Über die Signatur der ausführbaren Datei hinaus gibt es Mechanismen zur Verhaltensüberwachung.Es ist möglich, zu erkennen, ob ein Programm einen Pufferüberlauf (buffer overrun) oder eine Codeinjektion erleidet oder, einfacher ausgedrückt, ob die Nutzung eines Verwaltungsprogramms durch ein Benutzerkonto erfolgt, das nicht über die entsprechenden Rechte verfügt.“
Jahr für Jahr zeigen Cyberkriminelle also, dass sie in der Lage sind, Verschleierungsstrategien umzusetzen, mit denen sie unter dem Radar von Sicherheitstools operieren können. Und das Aufkommen von Akteuren, die sich auf die Schaffung von Erstzugängen spezialisiert haben, wie z. B. initial access brokers, lässt leider vermuten, dass sich Angriffe über fileless malware in Zukunft weiter ausbreiten dürften. Mehr denn je müssen Unternehmen Methoden zur Erkennung von Indikatoren für Angriffe einführen und sich gleichzeitig darum bemühen, alle Mitarbeiter für digitale Hygiene zu sensibilisieren.
