Im Brennpunkt: Cybercrime
Dateilose Schadsoftware: Eine unsichtbare Gefahr In den letzten Jahren hat sich eine Art von Schadsoftware einen Namen gemacht, die schwer zu entdecken ist, weil sie kaum Spuren hinterlässt: „Dateilose Angriffe“. Dateilose Malware manipuliert interne IT- und Rechnerprozesse, sodass diese selbst die Angriffe ausführen. Traditionelle Antivirenlösungen sind gegen solche Attacken zum größten Teil wirkungslos. Ein Angriff kann trotz bestehender Sicherheitslösungen verheerenden Schaden im Unternehmen anrichten.
Von Nikolas Dobiasch | Matthias Holzgethan
Da verschiedenste Sicherheitslösungen Angriffe immer besser erkennen können, verwenden Angreifer immer öfter versteckte Methoden, um eine Entdeckung zu erschweren. Dabei ist in den letzten Jahren ein deutlicher Anstieg sowohl in der Vielfalt als auch in der Komplexität von Schadsoftware zu verzeichnen.1 Verstärkt wird dieser Trend durch die breite Verfügbarkeit automatisierter Programme zur Erstellung von Malware sowie die geringen Qualifikationsanforderungen, um diese Anwendungen einzusetzen. In diesem Zusammenhang spielen sogenannte „Exploit Kits“ eine entscheidende Rolle, um einen Angriff erfolgreich abzuwickeln. Exploit Kits sind Programme, die einerseits bekannte Softwareschwachstellen zusammenfassen und anderseits durch Systemanalysen in der Lage sind, auf ein bestimmtes Ziel maßgeschneiderte Schadsoftware möglichst versteckt zu transportieren und schadhaft einzusetzen. Um eine Erkennung zu vermeiden und den aktuellen Sicherheitslösungen einen Schritt voraus zu sein, greifen Malware-Autoren auch zunehmend auf Software zurück, die auf den Zielsystemen bereits vorhanden ist.2 Insbesondere der digitalen Forensik bereitet dateilose Schadsoftware Grund zur Sorge, da ein Angreifer nur wenig Spuren hinterlässt, die im Zuge einer Untersuchung analysiert werden können.3 Auch wenn im vergangenen Jahr vorwiegend die Malware-Familie „Ransomware“ in den Schlagzeilen erwähnt wurde, erreichten dateilose Angriffe ein Allzeithoch. Diese Beobachtung spiegelt sich auch in den Umfragen und Berich-
14
3/2019
Compliance_Praxis_03_2019_(2015)_v5.indd 14
ten diverser Anbieter von Sicherheitslösungen und Instituten wider.4 Dem Endpoint Security-Bericht des Ponemon Insitute ist zu entnehmen, dass 29 Prozent aller Angriffe im Jahr 2017 dateilos erfolgten.5 Darüber hinaus wird in dem Bericht angenommen, dass der Anteil im Jahr 2018 auf 35 Prozent steigt. Das Institut führt diesen Anstieg auf dateilose Angriffe zurück, die fast zehnmal erfolgreicher sind als dateibasierte Attacken. Das Konzept eines dateilosen Schadprogramms ist jedenfalls nicht neu, wurde aber insbesondere in jüngster Vergangenheit verstärkt aufgegriffen, um einen erfolgreichen Angriff auf eine technische Infrastruktur zu starten. Ihren Erfolg haben solche Schadprogramme vor allem der Tatsache zu verdanken, dass traditionelle Antivirenlösungen gegen sie machtlos sind. Eine dateilose Schadsoftware verzichtet auf das Ablegen von herkömmlichen Dateien, die von Sicherheitslösungen untersucht und blockiert werden können. Vielmehr missbrauchen dateilose Angriffe legitime Software und Systemressourcen für schädliche Zwecke. Dieses Vorgehen bleibt oft unbemerkt, da sich die Aktivität eines Angriffs oft mit Routinetätigkeiten eines Systemadministrators vermischt und für Antivirenlösungen, beziehungsweise Sicherheitsspezialisten, nur schwer zu entdecken ist.
PowerShell als potenzielle Bedrohungsquelle Ein typisches Beispiel für ein nützliches Tool, das häufig manipuliert wird, ist die Windows PowerShell, eine Software
zur Automatisierung von Aufgaben der Systemadministration und zur Konfiguration von Systemen.6 PowerShell ist standardmäßig auf jedem WindowsComputersystem installiert und bietet auch ohne Administrator-Berechtigungen weitreichende Möglichkeiten, um auf verschiedene Windows-Komponenten zuzugreifen. Ein Angreifer ist mit PowerShell beispielsweise in der Lage, sensible Daten wie Passwörter auszulesen, oder sogar gesamte Systeme über Fernzugriff zu steuern. In vielen Fällen wird PowerShell-Code in herkömmlichen Malware-Angriffen eingesetzt, um diesen dateilose Komponenten zu verleihen, damit der Angriff länger unentdeckt bleibt. Malware-Autoren versuchen, den Endanwender durch gezielte E-Mail-Phishing-Kampagnen oder kompromittierte Webseiten zu verleiten, Schadcode auszuführen. Im Unterschied zu traditioneller Malware wird versucht, möglichst wenige Dateien auf dem Zielsystem abzulegen und damit das Risiko auf Entdeckung zu reduzieren. Der Schadcode wird stattdessen oft durch ein Skript von einem externen Server geladen und direkt im Arbeitsspeicher des Systems ausgeführt – ein Ort, zu dem herkömmliche Antivirenlösungen keinen Zugriff haben. Die Injektion des Codes erfolgt dabei zum Beispiel durch PowerShell über mehrere Stufen, um den Prozess zusätzlich zu verschleiern. Um sensible Daten aus dem Unternehmen zu schleusen, zählt weiterhin das einfache Kopieren von Dateien über legitime Internetprotokolle und das Anwenden von Kodierung beziehungsweise Verschlüsselung zu den beliebtesten Vorgehensweisen.
www.compliance-praxis.at
8/26/2019 6:37:06 PM
