Suchen

IT-Sicherheit

Dateilose Angriffe und wie man sie verhindert

| Autor/ Redakteur: Sascha Dubbel / Jürgen Schreier

Dateilose Angriffe sind keineswegs neu, jedoch treten seit 2017 vermehrt auf. Traditionelle Antivirenlösungen sind gegen solche Attacken weitgehend wirkungslos. Der Verfasser skizziert einige Strategien, mit denen sich IT-Systeme erfolgreich gegen dateilose Angriffe absichern lassen.

Firmen zum Thema

Cyberkriminelle finden im IoT immer wieder neue Angriffspunkte. Viele Verantwortliche sind sich dieser Gefahr nicht ausreichend bewusst.
Cyberkriminelle finden im IoT immer wieder neue Angriffspunkte. Viele Verantwortliche sind sich dieser Gefahr nicht ausreichend bewusst.
( Bild: Pixabay / CC0 )

Dateilose Angriffe wurden erstmals bereits 2012 beobachtet. Sie sind also nicht neu, treten allerdings seit 2017 vermehrt auf. Ihren Erfolg haben sie vor allem der Tatsache zu verdanken, dass traditionelle Antivirenlösungen gegen sie machtlos sind. Einer der bekanntesten Angriffe war sicherlich derjenige der OceanLotus Group. Primär asiatische Unternehmen waren der Kampagne mit Namen „Operation Cobalt Kitty“ zum Opfer gefallen. Annähernd ein halbes Jahr hatte es damals gedauert bis der Angriff überhaupt entdeckt wurde. Und auch die berühmt-berüchtigten Ransomware-Angriffe Petya und WannaCry benutzten in ihren Kill Chains dateilose Techniken. Dateilose Angriffe sind schwierig aufzuhalten und sie werden weiter zunehmen. Darin sind sich Sicherheitsexperten einig.

Sich von Angriffen zu verabschieden, die Dateien benutzen ist logisch und taktisch konsequent. Denn schließlich konzentrieren sich Antivirenlösungen bei ihrem signaturbasierten Ansatz allein auf Dateien. Was hat eine Sicherheitslösung, die so arbeitet, einem dateilosen Angriff entgegen zu setzen? Wie soll eine Blacklist in der Lage sein, einen Angreifer zu stoppen, wenn der nur legitime Ressourcen innerhalb des Systems nutzt?

Aber was genau ist ein dateiloser Angriff? Wie der Name schon sagt, verzichtet ein dateiloser Angriff darauf, Dateien in das Host-System zu schreiben. Vielmehr nutzen diese Attacken legitime Systemressourcen für schädliche Zwecke. Der Angriff fügt sich quasi natürlich in die betreffende Umgebung ein und ist deswegen für die überwiegende Mehrzahl existierender Detect-and-Response-Lösungen nur sehr schwer zu entdecken.

Die folgenden Merkmale sind für diese Form von Angriffen typisch:

  • Die Malware befindet sich im Arbeitsspeicher und nicht wie sonst auf der Festplatte.
  • Skript-intensive Malware verwendet Jscript/JAVAScript um die eigentliche Infektion auszulösen und dann das Fortschreiten des Angriffs zu flankieren.
  • Damit die Malware ihre Aktivitäten weiter ausdehnen kann, bedient sie sich bei Ressourcen wie PowerShell, WMI und anderen rechtmäßigen Administrationstools unter Windows.
  • Um sich möglichst dauerhaft im System einzunisten verändert die Schadsoftware schließlich noch die Betriebssystemeinträge.

Exploit Kits sind eine wichtige Komponente bei dateilosen Angriffen. Sie fassen bekannte Softwareschwachstellen zusammen, kombinieren sie mit Tools zur Systemanalyse und solchen, die in der Lage sind die eigentliche Schadsoftware an Ort und Stelle bringen. Exploit Kits wie diese bedienen sich nicht selten gefälschter Anzeigenwerbung. Klickt der Nutzer auf die betreffende Anzeige, wird er umgeleitet und das Exploit Kit erlaubt einen unbemerkt ablaufenden Scan des betreffenden Browsers. Ergibt dieser Scan dann weitere Schwachstellen im Browser wird der Nutzer auf eine Zielseite geführt von der aus weitere Systemscans durchgeführt werden. Gelingt es mit dieser Methode zusätzliche Sicherheitslücken ausfindig zu machen, deponiert der Angreifer dann die eigentliche Malware im System. Der Benutzer bekommt von diesem Vorgang in aller Regel nicht das Geringste mit.

Dateilose Malware: Kovter

Kovter ist ein Klick-Trojaner, der 2016 damit begonnen hat dateilose Angriffe zu lancieren. Die ursprüngliche Kovter-Variante ging noch anders vor. Der Trojaner hat in den aktiven Benutzerprofilen einen Ordner angelegt, in dem die eigentliche Schadsoftware, KB9162892 exe, deponiert wurde. Als nächstes wurde ein Registrierungsschlüssel erzeugt um mit seiner Hilfe die Datei bei jedem erneuten Systemstart auszuführen. Antivirenlösungen war es gelungen diese ursprüngliche Kovter-Malware aufzudecken und unschädlich zu machen. Das funktionierte über traditionelle SHA-Signaturen und Blacklisting der KB9162892 exe.

Die dateilose Kovter-Variante geht bei der Infektion der Zielsysteme einen anderen als den beschriebenen Weg. Diese Methode nutzt ein verschleiertes Jscript/JAVAScript um die ausführende Kovter-Datei herunterzuladen und zwar in den Ordner für temporäre Windows-Dateien (%TEMP%). Als nächstes werden Einträge in die Windows Registry geschrieben, sodass die Malware dort dauerhaft verbleiben kann und nicht etwa bei einem Neustart der Systeme mit verschwindet.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45337284)

Pixabay, CC0 Public Domain; gemeinfrei; Pixabay; ; Fraunhofer-IOSB; ©strichfiguren.de - stock.adobe.com; gemeinfrei - Pete Linforth/Pixabay; Moleskine; Siemens Healthineers; Palo Alto Networks