![\"Fileless](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-701279914-1-300x169.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Das erste Auftreten eines Angriffs mit Fileless Malware wird auf das Jahr 2001 datiert. Und trotz der Spitzenwerte in den Jahren 2017, 2019 und 2021 bleiben diese dateilosen Angriffe meist unverstanden und werfen Fragen \u00fcber ihre Funktionsweise auf. Doch was sind die technischen Merkmale dieser Angriffe? Sind Cybersicherheitstools wirklich in der Lage, sie zu erkennen?<\/strong><\/p>\n Im April 2020 ver\u00f6ffentlicht die ENISA einen Bericht<\/a>, in dem sie erkl\u00e4rt, dass Angriffe <\/strong>fileless malware <\/em>zehnmal wahrscheinlicher erfolgreich sind als ein herk\u00f6mmlicher Angriff<\/strong>. Entschl\u00fcsselung von Cyberangriffen durch fileless malware<\/em>.<\/p>\n <\/p>\n Der Begriff taucht erstmals 2001 mit dem Wurm Code Red<\/a> auf. Ein Programm, das eine Schwachstelle in buffer overrun<\/em> ausnutzt (\u00dcberlauf des Speicherstapels von Microsoft IIS-Webservern in diesem Fall). Dieser Wurm war das erste Schadprogramm, das als \u201cfileless malware<\/em>\u201d. kategorisiert wurde. Nicht weniger als 359.000 Server wurden Opfer eines Absturzes der Homepage mit einer Meldung \u201cWelcome to http:\/\/www.worm.com ! Hacked by Chinese!<\/em>\u201d durch einen mysteri\u00f6sen Virus, der keine Dateien und keine bleibenden Spuren auf der Festplatte hinterlie\u00df. Die Untersuchung ergab, dass der Wurm nur \u00fcber den Speicher des infizierten Rechners ausgef\u00fchrt<\/strong>\u00a0wurde.<\/p>\n In den folgenden zwei Jahrzehnten wurde dieser Mechanismus weitgehend auf Microsoft-Umgebungen verwendet. Der SQL-Wurm Slammer verwendet seit 2003 dieselbe Vorgehensweise, um Microsoft SQL-Server zu kompromittieren und einen Denial-of-Service-Angriff zu starten. 2013 nutzt der Banking-Trojaner Lurk eine Schwachstelle in der Programmiersprache Java aus und l\u00e4dt eine b\u00f6sartige DLL in den Speicher herunter. 2014 entwickelte sich die Vorgehensweise des Angriffs fileless malware<\/em> mit dem Auftauchen des Trojaners Poweliks. Dieser installiert sich in einem Windows-Registrierungsschl\u00fcssel, dessen Wert das b\u00f6sartige Skript enth\u00e4lt. Die Malware erlangt dann einen persistenten Zustand durch ein legitimes Programm, das vom Windows-Betriebssystem verwendet<\/strong> wird. Im Jahr 2015 wird der Wurm Duqu 2.0 mithilfe von Funktionen wie Seitw\u00e4rtsbewegung, Datenexfiltration oder der Erkennung des Hosts und seiner unmittelbaren Umgebung als Toolbox durch Cyberspionageaktionen eingesetzt. Im Jahr 2016, mit der Malware PowerSniff, entwickelt sich die Vorgehensweise weiter, indem das Merkmal fileless<\/em> in einen Teil der Angriffe integriert wird.<\/strong>\u00a0<\/strong>Der urspr\u00fcngliche Zugriff erfolgt hier \u00fcber einen klassischen Dropper, n\u00e4mlich eine Word-Datei, die (\u00fcberhaupt) nicht in den Rahmen eines Angriffs f\u00e4llt fileless<\/em>. Doch diese enth\u00e4lt ein Makro, das PowerShell im versteckten Modus startet, um eine entfernte Datei herunterzuladen und dann direkt im Speicher von PowerShell auszuf\u00fchren. Es ist also dieser zweite Teil des Angriffs, der als \u201eFileless\u201c gilt, in Form von Skripten und shellcode<\/em>. Aber vor allem im Jahr 2017 macht der Angriff \u00fcber fileless malware<\/em> mehr von sich reden, als \u00fcber eine Schwachstelle im Framework f\u00fcr Webanwendungen, Apache Struts, Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden.<\/p>\n Da der Fileless Malware-Angriff keine auf die Festplatte geschriebenen Dateien verwendet, kann er nicht von Antivirusprogrammen erkannt werden, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdr\u00fccken aufgebaut haben.<\/em> Die St\u00e4rke dieses Angriffs liegt darin, dass er auf Elemente abzielt, die von Antivirusprogrammen nicht ber\u00fccksichtigt wurden.<\/em><\/p>\n F\u00fcr S\u00e9bastien Viou<\/strong>, Direktor f\u00fcr Produkt-Cybersicherheit und Cyber-Evangelist bei Stormshield, belegen diese Innovationen den technologischen Vorsprung, den Cyberkriminelle gegen\u00fcber den damaligen Antivirusherstellern hatten: \u201eDa der Angriff <\/em>fileless malware keine auf die Festplatte geschriebene Datei verwendet, kann er von Antivirusprogrammen, die ihren Schutz auf Mechanismen zur Erkennung von Dateifingerabdr\u00fccken aufgebaut haben, nicht erkanntwerden.<\/em> Die St\u00e4rke dieses Angriffs liegt darin, dass er auf Elemente abzielt, die von Antivirusprogrammen nicht ber\u00fccksichtigt wurden<\/em>. Die Cyberkriminellen gingen an einer Stelle vorbei, an der das Antivirusprogramm einfach nicht hinsah, sodass eine T\u00fcr zu den Rechnern der Opfer offen blieb.<\/em>\u201c<\/p>\n <\/p>\n Memory-only malware<\/em>, non-malware attack<\/em>, zero-footprint attack<\/em> \u2026 Mehrere Namen werden ihm gegeben, aber was ist ein Angriff \u00fcber <\/strong>fileless malware<\/em><\/strong>\u00a0?<\/strong> Ein Angriff \u00fcber fileless malware<\/em> oder ein dateiloser Malware-Angriff ist also ein Mechanismus, der die Besonderheit hat, ein Schadprogramm auszuf\u00fchren, ohne irgendwelche Spuren auf der Festplatte zu hinterlassen, wie Cyril Cl\u00e9aud<\/strong>, Malware-Analyst<\/a> bei Stormshield, erkl\u00e4rt: \u201eEin Angriff fileless malware ist ein b\u00f6sartiger Angriff, bei dem der entfernte Code abgerufen und ausgef\u00fchrt wird, ohne \u00fcber eine lokale Zwischendatei zu gehen. Zum Beispiel: in Form von Zeichenketten, die von einem Webserver abgerufen und dann als Parameter an einen Skriptinterpreter wie PowerShell \u00fcbergeben werden. Der Schadcode wird dann direkt in dessen Speicher ausgef\u00fchrt. <\/em>Es handelt sich um einen Angriff, der somit keine Spuren auf der Festplatte hinterl\u00e4sst<\/em>. \u201eUnd die Techniken, die bei einem Angriff \u00fcber fileless malware<\/em> verwendet werden, um b\u00f6sartigen Code im Speicher auszuf\u00fchren, k\u00f6nnen vielf\u00e4ltig sein: Zweckentfremdung von nativen Programmen, die f\u00fcr das reibungslose Funktionieren des Betriebssystems erforderlich sind, Injektion von b\u00f6sartigem Code in bestehende Prozesse, Speicherung von Malware in Windows-Registrierungsschl\u00fcsseln\u00a0...<\/strong> Es gibt sogar fertige Exploit-Kits, wie die PowerShell-Tools Empire, PowerSploit und Cobalt Strike. Mithilfe dieser Tools k\u00f6nnen Angreifer die Fernsteuerung des Opferrechners \u00fcbernehmen und anschlie\u00dfend versuchen, bei einem Neustart auf einen Persistenz status des Rechners zuzugreifen. Meistens basieren diese Angriffe \u00fcber fileless malware<\/em> jedoch auf einer bekannten Schwachstelle, um sich einen privilegierten Zugriff auf das Betriebssystem zu verschaffen. Und wenn man einmal vor Ort ist, ist die technische Umsetzung relativ einfach, wie Cyril Cl\u00e9aud betont: \u201eInformationen \u00fcber diese Art von Angriffen sind im Internet leicht zug\u00e4nglich. Und meistens sind die Befehlszeilen sehr kurz. F\u00fcr einen Angreifer, der wei\u00df, wie er die Sicherheitsl\u00fccke ausnutzen kann, besteht der erste \u2013 vorbereitende \u2013 Schritt darin, eine sch\u00e4dliche Payload auf einem Webserver in seiner Hand auszusetzen, der \u00fcber eine URL seiner Wahl erreichbar ist. Der zweite Schritt erfolgt bei der Ausnutzung der Sicherheitsl\u00fccke: Sie m\u00fcssen lediglich einen Skript-Interpreter anweisen, diese Payload herunterzuladen und dann auszuf\u00fchren.<\/em>\u201c<\/p>\n Wie ist ein Angriff aufgebaut <\/strong>fileless malware<\/em><\/strong> ?<\/strong> Das gemeinhin beobachtete Szenario besteht aus drei Schritten. In der ersten Phase m\u00fcssen Cyberkriminelle einen Erstzugriff erwerben, meist durch Kampagnen von phishing<\/em> und spear phishing<\/em>. Wenn diese erste Phase des Angriffs nur im Arbeitsspeicher ausgef\u00fchrt wird, besteht der zweite Schritt darin, den Zugriff bei einem Neustart persistent zu machen. In dieser Phase sind Registrierungsschl\u00fcssel f\u00fcr Cyberkriminelle von Vorteil. Cyril Cl\u00e9aud erkl\u00e4rt daher: \u201eEinige Registrierungsschl\u00fcssel werden gelesen, um beim Anmelden Programme auszuf\u00fchren. Indem er in diese Schl\u00fcssel einen Code zum Herunterladen und Ausf\u00fchren von Payload als Parameter von PowerShell schreibt oder, hat der Cyberkriminelle einen persistenten Eintrag, um eine weitere Virenlast auf die Maschine herunterzuladen. F\u00fcr den Angreifer ist es am praktischsten, dass die Malware nicht auf dem Rechner des Opfers gespeichert wird: Es gibt also erstens keine Dateien und zweitens kann der Angreifer seine Malware in Echtzeit aktualisieren. Andererseits hinterl\u00e4sst es auch ohne Datei eine Spur: die URL der Payload.Das ganze Spiel besteht nun darin, diese URL zu verschleiern, damit sie nicht als Signal f\u00fcr eine Kompromittierung erkannt wird.<\/em>\u201c Der dritte und letzte Schritt besteht dann in den urspr\u00fcnglichen Zielen des Angriffs: Diebstahl von Anmeldeinformationen, Exfiltration von Daten oder Schaffung einer Backdoor.<\/p>\n Ein weiterer starker Trend, der beobachtet wurde, ist die Umleitung oder das Ersetzen eines legitimen Programms. Ein Begriff, der auf der DerbyCon 3<\/a> 2013 auftauchte, Living Off the Land<\/em> (LotL oder LOLBins \u2013 f\u00fcr Living Off The Land Binaries<\/em>) ist eine Praxis, mit der man sich als Dienstprogramm ausgibt, das auf Betriebssystemen eingesetzt<\/strong> wird und somit von diesen als legitim anerkannt wird. H\u00e4ufig verwendete LOLBins auf Windows-Betriebssystemen sind z. B. die Dienstprogramme certutil.exe, mavinject.exe, cmdl.exe, msixec oder auch WMI (Windows Management Interface) sowie die Interpreter PowerShell und bash. Diese verschiedenen legitimen Programme k\u00f6nnen die Effizienz des Angriffs vervielfachen, da einige von ihnen Funktionen wie das Herunterladen von Dateien oder das Herstellen einer Verbindung zu einem entfernten Rechner von Haus aus mitbringen. Die Verwendung eines LOLBins in einem Cyberangriff kann daher problematisch sein, da es sehr schwer zu erkennen ist, ob es sich um eine legitime oder b\u00f6swillige Verwendung handelt. In einigen F\u00e4llen sind diese Dienstprogramme sogar auf den wei\u00dfen Listen von Sicherheitsl\u00f6sungen zu finden\u00a0... Daher wird h\u00e4ufig die Verwendung von LOLBAS (LOL Binaries And Scripts<\/em>), Drittanbieter-Skripten beobachtet, die mithilfe von LOLBins und LOLLibs ausgef\u00fchrt werden, eigens daf\u00fcr entwickelten Bibliotheken, die der entf\u00fchrten ausf\u00fchrbaren Datei zus\u00e4tzliche Funktionen verleihen k\u00f6nnen.<\/p>\n 2018 nahm die Ransomware-as-a-Service-Plattform<\/em> Grand Crab den Angriff fileless malware<\/em> in ihre Vorgehensweise auf und infizierte damals weltweit mehr als 50.000 Rechner. Welche Ma\u00dfnahmen sollten angesichts solcher Innovationen ergriffen werden, um eine unentdeckbare Bedrohung zu erkennen?<\/strong><\/p>\n <\/p>\n Angesichts einer dateifreien Malware sind innovative Schutztechniken erforderlich, um die herk\u00f6mmlichen Erkennungswerkzeuge zu erg\u00e4nzen. Um dem entgegenzuwirken, sind neue Methoden zur Erkennung von Angriffen entstanden. Die h\u00e4ufigste basiert auf dem Signaturmechanismus f\u00fcr ausf\u00fchrbare Dateien in Windows, wie S\u00e9bastien Viou zusammenfasst: \u201eStandardm\u00e4\u00dfig signiert Windows seine ausf\u00fchrbaren Dateien. Dies erschwert es dem Angreifer, entweder die Datei im Speicher zu ersetzen, nachdem die Signatur verifiziert wurde, oder das Ziel der Datei zu missbrauchen, indem er das Betriebssystem glauben macht, dass die ersetzte Datei die Originaldatei ist, oder die Anwendung an der Quelle zu ver\u00e4ndern.Diese Strategie ist eine recht einfache M\u00f6glichkeit, sich vor weniger fortgeschrittenen Angriffen zu sch\u00fctzen.<\/em>\u201c<\/p>\n Eine zweite Strategie besteht darin, die Verwendung von schwarzen Listen zu perfektionieren. Blacklists, die noch weiter ins Detail gehen m\u00fcssen, was sie blockieren, und die nun auch verwendete Muster enthalten, z.\u00a0B. Zeichenketten oder Befehle, die als Teil eines b\u00f6sartigen Prozesses erkannt wurden. Man spricht dann von Angriffsindikatoren (Indicators of Attack<\/em>, IOA). Ein Open-Source-Projekt mit dem Titel LOLBAS<\/a> (Living Off The Land Binaries and Scripts<\/em>) entstand zudem 2018 auf der Plattform Github und z\u00e4hlt heute mehr als 4.500 missbr\u00e4uchliche Verwendungen von LOLBins. Das Projekt richtet sich an die Purple- und Blue-Teams von Cybersicherheitsdienstleistern. Es wird heute von \u00fcber 60 freiwilligen Ingenieuren betreut und kategorisiert \u00fcber 150 Bin\u00e4rdateien, die missbraucht werden k\u00f6nnen. F\u00fcr jedes Dienstprogramm werden Indikatoren zur Verf\u00fcgung gestellt.<\/p>\nDie ersten Vorkommen von Angriffen mit Fileless Malware<\/em><\/h2>\n
S\u00e9bastien Viou<\/strong>, Direktor f\u00fcr Produkt-Cybersicherheit und Cyber-Evangelist Stormshield<\/pre>\n<\/blockquote>\n
Fileless malware<\/em>\u00a0: Eine Definition und Techniken, die sich weiterentwickeln<\/h2>\n
Fileless Malware<\/em>: Wie kann man sich vor unauffindbarer Malware sch\u00fctzen?<\/h2>\n