von Robert Klatt •
Angriffe mit dateiloser Malware nehmen seit einigen Monaten zu. Doch was ist dateilose Malware überhaupt und wieso können Sicherheitsprogramme sie so schwer erkennen?
Dateilose Malware (engl. Fileless malware) ist eine Untergruppe von Computer-Schadsoftware, die sich ausschließlich im Arbeitsspeicher des infizierten Systems aufhält. Da dateilose Malware keinerlei Daten auf die Festplatte seines Opfers schreibt, können Infektionen mit gängigen Techniken der digitalen Forensik nur schwer nachgewiesen werden. Infektionen mit dateiloser Malware werden durch den Neustart des Systems entfernt, da der Arbeitsspeicher indem sich die Malware aufhält komplett geleert wird. Da keine ausführbare Datei für eine Infektion mit dateiloser Malware keine ausführbare Datei notwendig ist, helfen herkömmliche Sicherheitsmechanismen wie Antivirensoftware und Software-Whitelists gegen diese Form der digitalen Bedrohung in vielen Fällen nicht.
Dateilose Malware und In-Memory-Malware werden oft fälschlicherweise synonym verwendet, da beide Malware-Typen ihre Hauptfunktionen in Arbeitsspeicher der Opfer ausführen ohne dabei Dateien auf die Festplatte zu schreiben. Einige Sicherheitsexperten vertreten daher die Ansicht, dass dateilose Malware gar keine neue Entwicklung ist, sondern eine einfache Weiterentwicklung beziehungsweise Neudefinition des bereits in den 1980er Jahren von Fred Cohen mit der Entdeckung des Lehigh Virus geprägten Begriffs In-Memory-Malware.
Inzwischen geht die Sicherheitsbranche aber weitestgehend konform in der Aufteilung in dateilose Malware und In-Memory-Malware, die sich in einigen zentralen Punkten deutlich voneinander unterscheiden. Obwohl beide Malware-Typen sich nach der Infektion ausschließlich im Arbeitsspeicher aufhalten, können sie über ihren jeweiligen Infektionsweg voneinander differenziert werden.
Die meisten Malware-Infektionswege, darunter auch diese die In-Memory-Malware nutzt, haben in ihrem Angriffsvektor Berührungspunkte mit der Festplatte des Opfers bei denen Daten gespeichert werden. Anschließend werden dir dort gespeicherten Daten im Arbeitsspeicher ausgeführt. Dies führt dazu, dass auch bei gut versteckten Angriffen kleinste Spuren auf dem infizierten System verbleiben, die mit herkömmlichen Methoden der digitalen Forensik ausgewertet werden können.
Dies ist bei dateiloser Malware jedoch anders, da vom ersten Punkt der Infektion bis die Malware durch den Neustart des Systems entfernt wird, keine Daten auf die Festplatte geschrieben werden. Die Analyse von dateiloser Malware und das Auffinden von Infektionen mit den bisher gängigen Techniken der digitalen Forensik sind daher kaum anwendbar.
1. Kompromittierung des Opfers
Angreifer nutzen zur Verbreitung von dateiloser Malware typischerweise Social Engineering Techniken. Den ahnungslosen Opfern wird hierbei häufig über Soziale Netzwerke wie Facebook, Instagram und Co. oder per Spam-Mail ein Link geschickt, über den wenn das Opfer sich zum Klicken verleiten lässt die Infektion erfolgt. Die Infektion erfolgt dann üblicherweise entweder über eine Sicherheitslücke im Browser oder einer anderen Software wie beispielsweise dem Adobe Flashplayer (Drive-by Download) oder die Schadsoftware ist in einem Dokument wie zum Beispiel einer Word- oder Exceldatei versteckt. Anschließend wird die eigentliche dateilose Malware über das genutzte Exploit heruntergeladen und unauffällig im Arbeitsspeicher oder einen anderen schlecht geschützten Bereich geschrieben.
Um ihren Aufwand zu minimieren verwenden Hacker für diesen Schritt häufig fertige Umgehungs- und Verschleierungsmöglichkeiten, die beispielsweise aus der Software "Mimikatz" übernommen werden. Nachdem ein Computer im Netzwerk von außen infiziert wurde, verbreitet sich die Malware meist lateral weiter, umso weitere Systeme unter ihre Kontrolle zu bringen bis schließlich die gesamte Infrastruktur infiziert ist.
2. Ausführung der dateilosen Malware
Im nächsten Schritt wird dringt die Malware tiefer in das infizierte System vor, umso gängige Sicherheitslösungen zu umgehen. Dazu wird die dateilose Malware in vertrauenswürdige Programme injiziert. Dabei kann es sich entweder um Prozesse des Betriebssystems oder um andere Software handeln, die auf der Whitelist von Antivirensoftware vorhanden ist und daher nicht untersucht wird.
Dazu werden folgende Strategien genutzt:
Download und Ausführung im Arbeitsspeicher
Der direkte Download in den Arbeitsspeicher ohne den Zwischenschritt über die Festplatte bietet den Angreifern die Möglichkeit Code zu verwenden, der bei normaler Speicherung auf der Festplatte von Antivirensoftware erkannt werden würde. Hierfür wird oft die windowseigene Software PowerShell missbraucht auf deren Basis Malware entwickelt wird, da diese bereits einen Download und die Ausführung ausschließlich im Arbeitsspeicher anbietet. Das Sicherheitsunternehmen McAfee konnte im 3. Quartal 2017 mehr als 28.000 Malware-Varianten entdecken, die diese Möglichkeiten nutzen. Im Vergleich zum 2. Quartal 2017 ist dies mehr als eine Verdoppelung.
Nutzung von Software auf der Whitelist
Alternativ wird der Schadcode der Malware in Software injiziert, die vom Betriebssystem und Sicherheitsprogrammen als vertrauenswürdig eingestuft werden und aus diesem Grund nicht untersucht werden.
3. Persistenz trotz Neustart des Systems
Der größte Vorteil dateiloser Malware ist gleichzeitig auch eines der größten Probleme. Dadurch, dass sich die Malware ausschließlich im Arbeitsspeicher aufhält wird sie eigentlich beim Neustart des Systems vollständig gelöscht. Angreifer haben aus diesem Grund verschiedene Techniken entwickelt, um auch bei dateiloser Malware Persistenz zu erreichen. Dafür wird der Schadcode an ungewöhnlichen Speicherorten abgelegt wie zum Beispiel in Diensten des Betriebssystems, in den Aufgaben oder beispielsweise in SQL-Tabellen. Nachdem Neustart wird die Malware dann von diesen Speicherorten wieder in den Arbeitsspeicher geladen und dort ausgeführt. Alternativ wird die dateilose Malware dauerhaft in einen Systemprozess injiziert und von der auch nach einem Neustart erneut im Arbeitsspeicher ausgeführt.
4. Nutzung der eigentlichen Funktionen
Nachdem die Malware das System erfolgt infiziert hat und dort persistent vorhanden ist, werden die eigentlichen Aktivitäten ausgeführt, für die die Angreifer die Malware entwickelt haben.
Die Möglichkeiten dabei sind vielfältig und umfassen unteranderem:
Üblicherweise ist dateilose Malware bei diesen Aktivitäten sobald sie ein System einmal infiziert hat langfristig sehr erfolgreich, da sie von Antivirensoftware die meistens dateibasierte Erkennungsmethoden nutzen kaum erkannt wird. Auch Antivirensoftware die mit Heuristiken das Verhalten von Software überwacht sind aufgrund des Missbrauchs von Software auf der Whitelist gegen dateilose Malware oft nicht erfolgreich.
Trotz der technisch ausgeklügelten Angriffe und der genutzten Verschleierungsmaßnahmen gibt es auch Möglichkeiten sich wirksam gegen dateilose Schadsoftware zu schützen.
Windows Defender als "Hausmittel" für Heimanwender
Das in Windows integrierte Sicherheitsprogramm Windows Defender ATP erhielt Ende September 2018 ein Update, dass die zunehmenden Angriffe durch dateilose Malware verhindern soll.
Microsoft setzt dafür auf einen Detektions-Algorithmus der die Laufzeit-Aktivitäten auf ungewöhnliches Verhalten überwachen soll, das beispielsweise durch Malware verursacht werden kann, die in vertrauenswürdige Software oder Systemprozesse injiziert wurde. Die Erkennungsraten sind so deutlich höher als bei der ausschließlich statischen Auswertung, die zuvor genutzt wurde.
Kommerzielle Antiviruslösungen nutzen ähnliche Erkennungstechniken. Einen hundertprozentigen Schutz gegen Malware bietet jedoch keine Sicherheitslösung.
Weitere Schutzmöglichkeiten
Erfahrene Anwender und Unternehmen können außerdem die folgenden Maßnahmen treffen, um sich möglichst gut vor Infektionen mit dateiloser und herkömmlicher Schadsoftware zu schützen.
Betriebssystem und Software immer aktuell halten
Laut einer Studie der US-Regierung erfolgen 85 Prozent aller Infektionen nur, weil die jeweiligen Systeme nicht über aktuelle Software verfügen. Auch bei dateiloser Malware werden im ersten Infektionsschritt häufig Exploits (Sicherheitslücken) genutzt, die durch die Aktualisierung der Software und des Betriebssystems geschlossen werden könnten. Neben Microsoft Windows sind hier vor allem weit verbreitete Programme wie der Flash-Player und der Adobe-Reader häufig betroffen.
PowerShell vollständig deaktivieren
Die in Windows integrierte PowerShell wird eingesetzt um Aufgaben und die Konfiguration von Systems zu automatisieren. Anwender die die PowerShell nicht verwenden sollten sie deaktivieren, da sie aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der weitreichenden Rechte im System oft von Malware missbraucht wird. Dies funktioniert wie folgt:
Netzwerkverkehr auf ungewöhnliche Aktivitäten überprüfen
Selbst dateilose Malware die von der verwendeten Sicherheitssoftware nicht erkannt wurde, kann in den Protokollen des Datenverkehrs gefunden werden. Bereits die interne Windows Firewall reicht aus, um den Traffic, der durch Malware erzeugt wird, zu finden. Die Malware kann so zwar nicht entfernt werden, es eröffnet aber weitere Möglichkeiten eine Infektion festzustellen und dann geeignete Gegenmaßnahmen zu ergreifen.
Rechte so gering wie möglich halten
Besonders Privatnutzer nutzen oft im Alltag Benutzerprofile mit vollen Adminrechten, obwohl dies nicht nötig ist und die Sicherheit des Systems kompromittieren kann. Eine Einschränkung der Nutzerrechte eröffnet auch einer eventuellen Malware weniger Möglichkeiten sich im System einzunisten und dort Schaden anzurichten. In der Vergangenheit gab es jedoch bereits einige Malware-Varianten die auch bei eingeschränkten Rechten die Windows-Nutzerkontrolle UAC umgehen konnte, um so Adminrechte zum missbrauchen.
Aufgrund der großen Verbreitung dateiloser Malware und der Vielzahl umfangreicher Angriffe können im Folgenden nur einige Beispiele gezeigt werden, bei denen Hacker erfolgreich waren.
"Emotet" – der Banking-Trojaner
Die Malware Emotet der Hackergruppe Mealybug wurde anfangs als Banking-Trojaner entwickelt. Er wurde 2014 genutzt, um zahlreiche Nutzer in Deutschland, Österreich, der Schweiz und den USA zu infizieren und an deren Online-Banking-Daten zu gelangen. Inzwischen wird die Malware von den Entwicklern laut einem Artikel des Sicherheitsunternehmens Symantec eingesetzt um Schadsoftware von Drittentwicklern zu verbreiten. Emotet nutzt zur Infektion die Windows PowerShell. Die Verbreitung erfolgt hauptsächlich über Spam-Mails die ein infiziertes Word-Dokument enthalten.
Group behind #Emotet Trojan becomes global packing, delivery service for other threat actors https://t.co/JoF0mEtUXh pic.twitter.com/oGJkcJ6zQk
— Security Response (@threatintel) August 11, 2018
Golden Dragon – Angriff auf die Winterolympiade 2018
Auch die sogenannte Golden Dragon Malware nutzt die Windows PowerShell. Anstatt wahllos Systeme zu infizieren wurde diese Malware-Variante im Vorfeld der Winterolympiade 2018 eingesetzt, um gezielte Computersysteme der Veranstalter zu infizieren. Nach der ursprünglichen Infektion über die PowerShell, die Informationen über die Konfiguration des Computers sammelte, wurde weiterer Schadcode von den Kontrollservern der Hintermänner heruntergeladen. Um sich langfristig im System zu verankern deaktivierte Golden Dragon Malware-Schutz-Software.