![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sogenannte Fileless Malware ist f\u00fcr Cyberkriminelle ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren, ohne Spuren auf dem System zu hinterlassen. \u00dcber Schwachstellen nistet sich die Malware im Arbeitsspeicher des Systems ein und verrichtet dort ihr Werk. Christoph M. Kumpa, Director DACH & EE bei Digital Guardian, erl\u00e4utert im nachfolgenden Beitrag, wie Unternehmen sich gegen Fileless Malware sch\u00fctzen k\u00f6nnen.<\/p>\n
<\/p>\n
Fileless Malware ist auch als Non-Malware, Zero-Footprint oder Macro-Angriff bekannt. Diese Art Schadsoftware, unterscheidet sich von herk\u00f6mmlicher Malware dadurch, dass sie nichts installieren muss, um den Computer eines Opfers zu infizieren. Stattdessen nutzt die Malware vorhandenen Schwachstellen auf dem Ger\u00e4t aus, um sich im im RAM des Computers einzunisten. Die Fileless Malware verwendet f\u00fcr ihre Angriffe g\u00e4ngige Systemwerkzeuge, um b\u00f6sartigen Code in normalerweise sichere, vertrauensw\u00fcrdige Prozesse zu injizieren, zum Beispiel javaw.exe oder iexplore.exe.<\/p>\n
Es gibt viele Techniken, mit denen Cyberkriminelle einen Fileless-Malware-Angriff starten k\u00f6nnen. Beispielsweise durch b\u00f6sartige Bannerwerbung, sogenanntes \u201eMalvertising\". Klicken Nutzer auf die Ad, werden sie auf eine b\u00f6sartige Website umgeleitet, die legitim erscheint und Flash l\u00e4dt, das leider mit Schwachstellen behaftet ist. Flash verwendet das Windows PowerShell-Tool, um Befehle \u00fcber die Command Line auszuf\u00fchren, w\u00e4hrend es im RAM ausgef\u00fchrt wird. PowerShell l\u00e4dt daraufhin b\u00f6sartigen Code von einem Botnet oder einem anderen gef\u00e4hrdeten Server herunter und f\u00fchrt ihn aus, woraufhin der Code nach Daten sucht, die an den Angreifer gesendet werden sollen.<\/p>\n
\nDa Adobe Flash Ende 2020 aus dem Support f\u00e4llt und in den aktuellen Browsern bereits blockiert wird, halte ich diesen Angriffsvektor nicht mehr f\u00fcr sonderlich bedeutend.<\/p>\n<\/blockquote>\n
Da Fileless Malware keinen Datei-Download erfordert, ist ihre Erkennung, Blockierung und Entfernung recht schwierig. Sie hat keinen identifizierbaren Code oder eine Signatur, die es traditionellen Antivirenprogrammen erm\u00f6glicht, sie zu erkennen. Auch besitzt sie kein bestimmtes Verhalten, daher k\u00f6nnen heuristische Scanner sie nicht entdecken. Da die Malware die Schwachstellen genehmigter Anwendungen ausnutzt, die sich bereits auf dem System befinden, kann sie zudem auch den Schutz durch Anwendungs-Whitelisting aushebeln \u2013 ein Prozess, der daf\u00fcr sorgt, dass nur genehmigte Applikationen auf einem Computer installiert werden. <\/p>\n
Durch einen Neustart des Computers kann ein Sicherheitsversto\u00df durch Fileless Malware jedoch gestoppt werden. Denn der Arbeitsspeichre (RAM) verliert beim Ausschalten des Computers seinen Inhalt. Sobald das System heruntergefahren wird, ist die Infektion nicht mehr aktiv. Bedeutet aber auch, dass alle Spuren beseitigt sind.<\/p>\n
Zudem k\u00f6nnen Angreifer diese Schwachstelle weiterhin nutzen, um Daten vom Computer zu stehlen oder andere Formen von Malware zu installieren, um der Sicherheitsl\u00fccke Persistenz zu verleihen. Beispielsweise kann ein Hacker Skripte einrichten, die beim Neustart des Systems ausgef\u00fchrt werden, um den Angriff fortzusetzen.<\/p>\n
Anzeichen von Fileless Malware<\/h2>\n
Obwohl keine neuen Programme installiert oder Dateien abgelegt werden, oder ein typisches, verr\u00e4terisches Verhalten vorliegt, das einen Fileless-Malware-Angriff offensichtlich machen w\u00fcrde, gibt es einige Warnzeichen, auf die man achten sollte. Eine davon sind ungew\u00f6hnliche Netzwerkmuster und -spuren, wie beispielsweise die Verbindung des Computers mit Botnet-Servern. Es sollte auf Anzeichen von Sicherheitsverst\u00f6\u00dfen im Systemspeicher sowie auf andere Artefakte geachtet werden, die m\u00f6glicherweise durch b\u00f6sartigen Code zur\u00fcckgelassen wurden. <\/p>\n
Best Practices zum Schutz vor Fileless Malware<\/h2>\n
Im Folgenden einige Ma\u00dfnahmen f\u00fcr Unternehmen, um eine Infektion mit Fileless Malware zu vermeiden oder den Schaden im Fall einer Infektion zu begrenzen:<\/p>\n
\n
- Keine unn\u00f6tigen Funktionen und Anwendungen:<\/strong> Dienste und Programmfunktionen, die nicht verwendet werden, sollten deaktiviert werden. Weiterhin sollten Unternehmen Anwendungen, die nicht genutzt werden oder f\u00fcr die f\u00fcr die Arbeit nicht notwendig sind, deinstallieren.<\/li>\n
- Sparsame Privilegien-Vergabe:<\/strong> Unternehmen sollten Privilegien f\u00fcr Admin-Benutzer beschr\u00e4nken und Nutzern nur so viele Berechtigungen wie n\u00f6tig gew\u00e4hren, damit sie ihre Aufgaben erledigen k\u00f6nnen.<\/li>\n
- Regelm\u00e4\u00dfige Software-Updates:<\/strong> Alle Software sollte stets auf dem neuesten Stand sein und regelm\u00e4\u00dfig aktualisiert werden.<\/li>\n
- Netzwerkverkehr-\u00dcberwachung:<\/strong> Der Netzwerkverkehr sollte \u00fcberwacht und die Aktivit\u00e4tsprotokolle nach Auff\u00e4lligkeiten \u00fcberpr\u00fcft werden.<\/li>\n
- Endger\u00e4teschutz:<\/strong> Unternehmen sollten sicherstellen, dass sie \u00fcber einen Schutz f\u00fcr Endger\u00e4te verf\u00fcgen und jedes dieser Ger\u00e4te sichern, einschlie\u00dflich Remote- und Mobilger\u00e4te, um ihr Netzwerk zu sch\u00fctzen.<\/li>\n
- PowerShell:<\/strong> Zudem sollten die Best Practices f\u00fcr die Verwendung und Sicherung von PowerShell beachtet werden.<\/li>\n
- Passwort-Hygiene:<\/strong> Passw\u00f6rter sollten nach Bekanntwerden einer Fileless-Malware-Infektion und nach erfolgreicher Bereinigung ge\u00e4ndert werden.<\/li>\n
- Mitarbeiterschulungen:<\/strong> Ausf\u00fchrliche Sicherheitsschulungen f\u00fcr Endbenutzer k\u00f6nnen zudem einen gro\u00dfen Beitrag zur Vermeidung von Fileless-Malware-Infektionen leisten. <\/li>\n<\/ul>\n
Fileless Malware ist f\u00fcr Kriminelle leicht verf\u00fcgbar, da sie h\u00e4ufig bereits in Exploit-Kits enthalten ist. Dar\u00fcber hinaus bieten einige Hacker Fileless-Malware-Angriffe auch as-a-Service an. Die Schadware setzt auf Tarnung und nicht auf Hartn\u00e4ckigkeit, obwohl ihre Flexibilit\u00e4t, sich mit anderer Malware zu paaren, ihr beides erlaubt. Unternehmen sollten deshalb eine Sicherheitsstrategie implementieren, die einen mehrschichtigen Ansatz aus Best Practices, Sicherheitsl\u00f6sungen und Mitarbeiterschulungen umfasst, um diese Bedrohungen effektiv zu bek\u00e4mpfen.<\/p>\n
\nDer Text wurde mir als Presseinformation von Digital Guardian<\/a> zur Verf\u00fcgung gestellt, ist also kein sponsored Post. Digital Guardian bietet eine aus der Cloud bereitgestellte Data Protection Platform. Diese wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann f\u00fcr das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"
Sogenannte Fileless Malware ist f\u00fcr Cyberkriminelle ein beliebtes Mittel, um unbemerkt Systeme zu infiltrieren, ohne Spuren auf dem System zu hinterlassen. \u00dcber Schwachstellen nistet sich die Malware im Arbeitsspeicher des Systems ein und verrichtet dort ihr Werk. Christoph M. Kumpa, … Weiterlesen