Was ist dateilose Malware und wie kann man sich vor Angriffen schützen?

Cyberkriminalität war schon immer eine Bedrohung für Unternehmen, insbesondere für solche, die sich auf Informationstechnologie stützen. Die weltweiten Kosten beliefen sich im Jahr 2021 auf 6 Billionen Dollar – eine erschreckende Zahl. Daher ist die Sensibilisierung der Unternehmen für Malware, Phishing, Scamming usw. ein Muss.

In diesem Blogbeitrag befassen wir uns mit einer der häufigsten Arten von Malware, die in letzter Zeit auf dem Vormarsch sind: Dateilose Malware.

Bevor wir uns damit befassen: Was ist Malware? Malware ist die Abkürzung für bösartige Software, die in ein System eindringt, um wichtige Daten zu stehlen oder abzufangen.

Lesen Sie weiter, um mehr über Arten von dateiloser Malware, Beispiele und Möglichkeiten zu ihrer Erkennung und Verhinderung zu erfahren.

Was ist dateilose Malware?

Bei dateiloser Malware handelt es sich um bösartige Software, die keine Datei benötigt, um Ihr System zu infiltrieren. Dies ist untypisch für andere Malware, wie etwa Viren. Im Grunde verstecken Angreifer dateilose Malware in echten Programmen, um bösartige Aktionen durchzuführen.

Im Allgemeinen zielen Angriffe mit dateiloser Malware darauf ab, Geld zu verdienen oder den Ruf eines Unternehmens zu schädigen. Es ist relativ schwierig, dateilose Malware zu entfernen, da sie speicherbasiert ist, d. h. sie hat keine Signatur wie dateibasierte Malware, z. B. Adware.

Wie funktioniert dateilose Malware?

Schauen wir uns nun an, wie dateilose Malware funktioniert.

Dateilose Malware arbeitet im Arbeitsspeicher des Systems, ohne in einer Datei gespeichert oder auf Ihrem Gerät installiert zu werden. Die meisten Hacker verwenden Microsoft Windows PowerShell, ein Tool zur Automatisierung von Aufgaben, um bösartige Aktionen auszuführen.

Da sie nicht dateibasiert, sondern speicherbasiert ist, muss ein Cyberkrimineller bei dateiloser Malware keinen bösartigen Code auf das System des Opfers laden. Stattdessen nutzen die Täter Schwachstellen in nativen Tools aus, um Befehle, Codesequenzen usw. auszuführen, die im Speicher laufen.

Diese Art von Malware wird normalerweise über eine Phishing-E-Mail eingeschleust, in der Benutzer aufgefordert werden, auf einen bösartigen Link oder Anhang zu klicken oder ihn herunterzuladen. Sie kann auch direkt in bereits installierte Anwendungen und andere legitime Programme injiziert oder eingebettet werden. Dies bleibt von herkömmlichen Sicherheitstools unentdeckt, die in der Regel Dateien, nicht aber den Speicher auf Anomalien untersuchen, die auf Malware hinweisen.

Phasen

Im Folgenden werden die vier Phasen eines typischen Angriffs mit dateiloser Malware beschrieben.

Phase 1: Hacker verschaffen sich Fernzugriff

Genau wie bei anderen Arten von Cyberangriffen beginnt ein Bedrohungsakteur den Angriff mit dateiloser Malware, indem er sich im System des Opfers festsetzt.

Phase 2: Beschaffung von Anmeldeinformationen

Nachdem die Hacker sich Fernzugriff verschafft haben, versuchen sie verschiedene Tricks, um Anmeldeinformationen der kompromittierten Umgebung zu stehlen. So können sie sich frei im System bewegen und dateilose Malware einsetzen, um ihr Ziel zu erreichen.

Phase 3: Beharrlichkeit

Als Nächstes ändern die Cyberaktivisten die Einstellungen, um eine Hintertür zu schaffen, durch die sie in die Umgebung zurückkehren können, ohne die vorherigen Schritte zu wiederholen.

Phase 4: Datenausbeutung und Flucht

Schließlich stehlen oder fangen die Angreifer komprimierte Daten ab und bereiten die Exfiltration vor. Sie können sogar Daten verschlüsseln, um einen Ransomware-Angriff durchzuführen.

Beispiel für dateilose Malware

Operation Cobalt Kitty ist eines der bekanntesten Beispiele für dateilose Malware. In diesem Fall hatten es Hacker auf ein asiatisches Unternehmen abgesehen, um mithilfe von Phishing-E-Mails geschützte Geschäftsinformationen zu stehlen. Mit PowerShell griffen sie mehr als 40 Computer und Netzwerke an, um im System Fuß zu fassen.

Welche Arten von dateiloser Malware gibt es?

Die Bedrohungsakteure werden immer raffinierter und organisierter bei der Planung und Ausführung von Angriffen mit dateiloser Malware verschiedener Art. Hier sind einige von ihnen.

Exploit-Kits

Exploits sind Codes, Befehle oder Daten, die gemeinsam als Exploit-Kits bezeichnet werden. Hacker verwenden sie, um Schwachstellen in einem Betriebssystem oder einer Software aufzuspüren und auszunutzen.

Dies ist eine gängige Methode für Angriffe mit dateiloser Malware, da eine direkte Injektion in den RAM (Random Access Memory) möglich ist. Wie bei Computerwürmern können böswillige Akteure diesen Prozess automatisieren.

Die Täter locken ihre Opfer mit Social Engineering oder Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Anschließend nutzen sie Exploit-Kits, um Schwachstellen zu scannen und auszunutzen, wodurch sie oft die vollständige Kontrolle über das System des Opfers erlangen.

Registrierungsbasierte Malware

Registrierungsbasierte Malware installiert sich selbst in Windows, um aktiv zu bleiben und unentdeckt zu bleiben. Normalerweise greifen Bedrohungsakteure das Windows-System über ein Dropper-Programm an, das beschädigte Dateien herunterlädt. In diesem Fall jedoch schreibt der Dropper selbst bösartige Codes direkt in die Windows-Registrierung.

Diese bösartigen Codes sind in nativen Dateien versteckt; daher ist es schwierig, Malware dieser Art zu erkennen. Diese dateilose Malware kann auch bei jedem Start des Windows-Betriebssystems aktiviert werden.

Memory-Only-Malware

Memory-Only-Malware bleibt nur im Speicherbereich des Geräts. Sie bleibt auch dann bestehen, wenn ein Opfer das infizierte Gerät neu startet, da sie sich selbst erneut ausführen kann. Registrierungseinträge und BITS-Aufgaben (Background Intelligent Transfer Service) sind die üblichen Mechanismen, die für diese Übung verwendet werden. BITS ist eine Komponente, die für Downloads und Uploads zwischen Geräten und Remote-Servern verwendet wird, ohne die Netzwerkqualität zu beeinträchtigen.

Eines der bekanntesten Beispiele für dateilose Malware ist Duqu 2.0, das sich im Arbeitsspeicher befindet. Es gibt zwei Versionen: Die eine ermöglicht es einem Angreifer, sich eine Ausgangsposition zu verschaffen, und die zweite hilft bei der Aufklärung, lateralen Bewegung und Datenexfiltration.

Dateilose Ransomware

Heutzutage sind Angriffe mit hybrider Malware auf dem Vormarsch. Eine der häufigsten Kombinationen ist dateilose Malware und Ransomware, die zusammen als dateilose Ransomware bezeichnet wird. Hacker implantieren bösartige Codes in Dokumente und schleusen sie mit Hilfe von Exploit-Kits direkt in den Speicher des Systems ein.

Dann verschlüsseln sie wichtige Daten und verlangen Lösegeld für den Entschlüsselungscode. Unternehmen sollten daher wissen, wie sie Angriffe durch dateilose Malware und Ransomware verhindern können, indem sie regelmäßig Sicherungskopien wichtiger Daten erstellen.

Gestohlene Anmeldeinformationen

Manchmal verwenden Bedrohungsakteure andere Malware, wie z. B. trojanische Viren, um Anmeldeinformationen von Benutzern zu stehlen und Angriffe durchzuführen, indem sie sich als legitime Benutzer tarnen. Sobald sie eingedrungen sind, verwenden sie systemeigene Tools wie Windows Management Instrumentation für die Analyse von dateiloser Malware. Cyberkriminelle verstecken oft Codes in der Registrierung oder in erstellen Benutzerkonten, um auf das System zuzugreifen, ohne die vorherigen Schritte zu wiederholen.

Wie erkennt man dateilose Malware?

Nachdem Sie nun einigermaßen wissen, wie dateilose Malware funktioniert, ist es an der Zeit zu erfahren, wie Sie sie erkennen können. Es ist auch hilfreich zu wissen, wie man dateilose Malware aus einem infizierten System entfernt.

Da die Codes für Angriffe mit dateiloser Malware nie auf den Datenträgern selbst geschrieben werden, können sie nicht mit den üblichen Protokollen zur Erlaubnislistenerstellung und signaturbasierten Authentifizierung erkannt werden. Auch herkömmliche Antiviren-Software und Machine-Learning-Methoden können sie nicht aufspüren.

Verlassen Sie sich also auf Angriffsindikatoren statt auf Kompromittierungsindikatoren. Die Angriffsindikatoren (Indicators of Attack oder IOAs) sind Signale für einen laufenden Angriff mit dateiloser Malware. Ein IOA deutet vielleicht nicht auf einen Angriff hin, aber seine Kombinationen schon.

IOAs konzentrieren sich nicht auf die Schritte, die zur Kompromittierung eines Systems erforderlich sind, sondern auf die Anzeichen eines laufenden Angriffs. Bei der Analyse von dateiloser Malware wird die Beziehung der bösartigen Aktion zu anderen Aktionen und ihre Position in der vom Hacker geplanten Reihe untersucht.

IOAs können sogar bösartige Aktivitäten aufdecken und abwehren, die unter Verwendung eines echten Benutzerkontos mit gestohlenen Anmeldedaten durchgeführt werden.

Wie verhindert man dateilose Malware?

Bewusste Maßnahmen zur Verhinderung von Malware-Angriffen wie Malvertising und dateiloser Malware können Ihre Datenbank und Ihr Markenimage schützen. Im Folgenden finden Sie einige Tipps, wie Sie Angriffe mit dateiloser Malware verhindern können.

Verwaltete Dienste zur Bedrohungsjagd

Die Suche nach Bedrohungen ist sehr zeit- und arbeitsaufwändig, da Sie umfangreiche Daten sammeln und standardisieren müssen. Da es sich um eine Aufgabe handelt, die rund um die Uhr erledigt werden muss, können Sie Dienstleister mit der proaktiven Überwachung Ihrer Systeme beauftragen. Das funktioniert zusätzlich zu Ihren herkömmlichen Cybersicherheitssystemen und stellt sicher, dass keine bösartigen Aktivitäten unentdeckt bleiben.

Phishing-Prävention

Das Beste, was Sie tun können, um Angriffe mit dateiloser Malware zu verhindern, ist, ein wasserdichtes System zu unterhalten. Öffnen Sie keine Anhänge und klicken Sie nicht auf Links, wenn Sie die folgenden Anzeichen für Phishing-E-Mails bemerken.

  • Eine ungewohnte Begrüßung von einer Person, die Ihnen regelmäßig E-Mails schickt.
  • E-Mails, die mit Worten wie „sofort“ ein Gefühl der Dringlichkeit vermitteln.
  • Ungewöhnliche Anfragen wie die nach Anmeldeinformationen (auch wenn sie legitim erscheinen).

Bildungs- und Sensibilisierungsseminare für Mitarbeiter

Regelmäßige Schulungen, in denen die Mitarbeiter darüber aufgeklärt werden, wie sie dateilose Malware, Spyware, Ransomware usw. vermeiden können, können viel bewirken. Die meisten Cyberangriffe gelingen allein aufgrund des mangelnden Bewusstseins der Mitarbeiter.

Updates für Browser und Software

Sie sollten Benachrichtigungen oder Pop-ups zu Updates nicht verpassen oder ignorieren. Die upgedateten Versionen verfügen in der Regel über bessere Codes, die neue Einbruchstaktiken in ein System abwehren können. Ältere Versionen von Programmen und Betriebssystemen sind anfälliger für Malware.

Fazit

Dateilose Malware schleust in der Regel bösartigen Code in ein System ein, ohne Dateien zu verwenden. Dies geschieht normalerweise durch Phishing und Social-Engineering-Taktiken. Um solche Vorfälle zu erkennen, sollten Sie auf Anzeichen eines Angriffs statt einer Kompromittierung achten.

Bringen Sie Ihren Mitarbeitern bei, bei der Nutzung des Internets vorsichtig zu sein, insbesondere bei ihren E-Mail-Konten. Bitten Sie sie, keine verdächtigen oder unbekannten Links anzuklicken.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle, die Mailservern und ESPs nachweisen,...

Read More
Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Der Austausch von E-Mails ist ein unverzichtbarer Bestandteil eines jeden modernen Unternehmens. Sie werden...

Read More
Sieben Beispiele für Spear-Phishing-Angriffe

Sieben Beispiele für Spear-Phishing-Angriffe

Das Jahr 2022 ist noch nicht vorbei, aber es wurden bereits über 255 Millionen...

Read More