6 minute read
Dateilose Schadsoftware: Eine unsichtbare Gefahr
In den letzten Jahren hat sich eine Art von Schadsoftware einen Namen gemacht, die schwer zu entdecken ist, weil sie kaum Spuren hinterlässt: „Dateilose Angriffe“. Dateilose Malware manipuliert interne IT- und Rechnerprozesse, sodass diese selbst die Angriffe ausführen. Traditionelle Antivirenlösungen sind gegen solche Attacken zum größten Teil wirkungslos. Ein Angriff kann trotz bestehender Sicherheitslösungen verheerenden Schaden im Unternehmen anrichten.
Von Nikolas Dobiasch | Matthias Holzgethan
Da verschiedenste Sicherheitslösungen
Angriffe immer besser erkennen können, verwenden Angreifer immer öfter versteckte Methoden, um eine Entdeckung zu erschweren. Dabei ist in den letzten
Jahren ein deutlicher Anstieg sowohl in der Vielfalt als auch in der Komplexität von Schadsoftware zu verzeichnen. 1 Verstärkt wird dieser Trend durch die
breite Verfügbarkeit automatisierter Programme zur Erstellung von Malware sowie die geringen Qualifi kationsanforderungen, um diese Anwendungen
einzusetzen. In diesem Zusammenhang spielen sogenannte „Exploit Kits“ eine entscheidende Rolle, um einen Angriff erfolgreich abzuwickeln. Exploit Kits sind Programme, die einerseits bekannte Softwareschwachstellen zusammenfassen und anderseits durch Systemanalysen in der Lage sind, auf ein bestimmtes Ziel maßgeschneiderte Schadsoftware möglichst versteckt zu transportieren und schadhaft einzusetzen. Um eine Erkennung zu vermeiden und den aktuellen Sicherheitslösungen einen Schritt voraus zu sein, greifen Malware-Autoren auch zunehmend auf Software zurück, die auf den Zielsystemen bereits vorhanden ist. 2 Insbesondere der digitalen Forensik bereitet dateilose Schadsoftware Grund zur Sorge, da ein Angreifer nur wenig Spuren hinterlässt, die im Zuge einer Untersuchung analysiert werden können. 3
Auch wenn im vergangenen Jahr vorwiegend die Malware-Familie „Ransomware“ in den Schlagzeilen erwähnt wurde, erreichten dateilose Angriffe ein Allzeithoch. Diese Beobachtung spiegelt sich auch in den Umfragen und Berichten diverser Anbieter von Sicherheitslö
sungen und Instituten wider. 4 Dem End - point Security-Bericht des Ponemon Insitute ist zu entnehmen, dass 29 Prozent aller Angriffe im Jahr 2017 dateilos
erfolgten. 5 Darüber hinaus wird in dem Bericht angenommen, dass der Anteil im Jahr 2018 auf 35 Prozent steigt. Das Institut führt diesen Anstieg auf dateilose
Angriffe zurück, die fast zehnmal erfolgreicher sind als dateibasierte Attacken.
Das Konzept eines dateilosen Schadprogramms ist jedenfalls nicht neu, wurde aber insbesondere in jüngster Vergangenheit verstärkt aufgegriffen, um einen erfolgreichen Angriff auf eine technische Infrastruktur zu starten. Ihren Erfolg haben solche Schadprogramme vor allem der Tatsache zu verdanken, dass traditionelle Antivirenlösungen gegen sie machtlos sind. Eine dateilose Schadsoftware verzichtet auf das Ablegen von herkömmlichen Dateien, die von Sicherheitslösungen untersucht und blockiert werden können. Vielmehr missbrauchen dateilose Angriffe legitime Software und Systemressourcen für schädliche Zwecke. Dieses Vorgehen bleibt oft unbemerkt, da sich die Aktivität eines Angriffs oft mit Routinetätigkeiten eines Systemadministrators vermischt und für Antivirenlösungen, beziehungsweise Sicherheitsspezialisten, nur schwer zu entdecken ist.
PowerShell als potenzielle Bedrohungsquelle
Ein typisches Beispiel für ein nützliches Tool, das häufi g manipuliert wird, ist die Windows PowerShell, eine Software zur Automatisierung von Aufgaben der
Systemadministration und zur Konfi - guration von Systemen. 6 PowerShell ist standardmäßig auf jedem WindowsComputersystem installiert und bietet
auch ohne Administrator-Berechtigungen weitreichende Möglichkeiten, um auf verschiedene Windows-Komponenten zuzugreifen. Ein Angreifer ist mit PowerShell beispielsweise in der Lage, sensible Daten wie Passwörter auszulesen, oder sogar gesamte Systeme über Fernzugriff zu steuern. In vielen Fällen wird PowerShell-Code in herkömmlichen Malware-Angriffen eingesetzt, um diesen dateilose Komponenten zu verleihen, damit der Angriff länger unentdeckt bleibt.
Malware-Autoren versuchen, den Endanwender durch gezielte E-Mail-Phishing-Kampagnen oder kompromittierte Webseiten zu verleiten, Schadcode auszuführen. Im Unterschied zu traditioneller Malware wird versucht, möglichst wenige Dateien auf dem Zielsystem abzulegen und damit das Risiko auf Entdeckung zu reduzieren. Der Schadcode wird stattdessen oft durch ein Skript von einem externen Server geladen und direkt im Arbeitsspeicher des Systems ausgeführt – ein Ort, zu dem herkömmliche Antivirenlösungen keinen Zugriff haben. Die Injektion des Codes erfolgt dabei zum Beispiel durch PowerShell über mehrere Stufen, um den Prozess zusätzlich zu verschleiern. Um sensible Daten aus dem Unternehmen zu schleusen, zählt weiterhin das einfache Kopieren von Dateien über legitime Internetprotokolle und das Anwenden von Kodierung beziehungsweise Verschlüsselung zu den beliebtesten Vorgehensweisen.
Hürden in der forensischen Untersuchung
Als Reaktion auf einen Sicherheitsvorfall folgt ein Team aus Sicherheitsspezialisten aus dem Bereich der digitalen Forensik allen potenziellen Spuren, die ein Angreifer im Netzwerk bzw auf den Computersystemen hinterlassen hat. Die Hürde bei einer dateilosen Schadsoftware ergibt sich aus dem Umstand, dass Malware-Autoren bewusst darauf achten, keine Dateien auf Festplatten abzuspeichern, welche Hinweise auf den Angriff geben könnten. Der ausgeführte Schadcode bzw viele nützliche Informationen, die sich im Arbeitsspeicher befi nden, verschwinden jedoch nach einem Neustart der Computersysteme aufgrund des fl üchtigen Speichers, der sich nach dem Hochfahren eines Systems neu befüllt. Die forensische Untersuchung eines dateilosen Angriffs wird oft dadurch erschwert, dass der Vorfall erst einige Zeit später bemerkt wird und viele der nützlichen Artefakte nicht mehr vorhanden sind oder überschrieben wurden.
Es gibt nun verschiedene Ansätze aus Sicht der digitalen Forensik, wie dennoch Spuren einer dateilosen Schadsoftware abgeleitet werden können. Eine vielversprechende Maßnahme, um einen dateilosen Angriff zu erkennen, ist es, jegliche Änderung an einem System mit einem zuvor defi nierten Normalzustand kontinuierlich abzugleichen. Im Zuge einer forensischen Untersuchung können somit schädliche Prozesse aufgedeckt und das Ausmaß eines Angriffs eingegrenzt werden. Falls eine Analyse des Arbeitsspeichers nicht möglich ist, kann auch die Protokollierung von PowerShell, sofern aktiviert, herangezogen werden, um eine Attacke zu enttarnen. Wichtig dabei ist ein gesteigertes Sicherheitsbewusstsein unter Administratoren, da PowerShell standardmäßig nur eingeschränkt Aktivitäten protokolliert und eine entsprechende Konfi guration bereits vor einem Sicherheitsvorfall notwendig ist.
Mitarbeiterschulungen: Nach wie vor wichtig
Generell gilt, dass in einem Unternehmen eine übergreifende Protokollierung von Änderungen an Systemen sowie des Datenverkehrs notwendig ist, um solche Angriffe entdecken zu können. Programme wie Splunk oder Elastic ermöglichen eine automatisierte Auswertung von Protokolldaten, um relativ zeitnah auf einen Vorfall reagieren zu können. Spezialisierte Unternehmen können dabei im Rahmen einer forensischen Untersuchung auf diese Protokolldaten zurückgreifen und Rückschlüsse auf ausgenutzte Schwachstellen im System ziehen. In einem weiteren Schritt können diese Sicherheitslücken gezielt adressiert und geschlossen werden.
Andererseits bauen Maßnahmen gegen komplexe Malware wie dateilose Angriffe auf einem präventiven Grundschutz auf, wie zB dem Anwenden von aktuellen Patches, Implementierung von Multi-Faktor-Authentifi zierung bzw dem Zuweisen von angepassten Benutzerrech
© AdobeStock
ten. Da Angreifer nach wie vor auf User Execution setzen, sprich den Benutzer dazu verleiten wollen, schadhafte Inhalte zB aus dem Anhang einer E-Mail auf Computersystemen auszuführen, ist weiterhin eine kontinuierliche Schulung der Mitarbeiter notwendig, um diesen Angriffsvektor zu reduzieren.
1) Vgl Malware Trends, US Cert https://www.uscert.gov/sites/default/fi les/documents/NCCIC_ ICS-CERT_AAL_Malware_Trends_Paper_S508C. pdf (16. 7. 2019). 2) Vgl The Fileless, Non-Malware Menace https:// blog.trendmicro.com/the-fi leless-non-malwaremenace/ (15. 7. 2019). 3) Vgl Mansfi eld-Devine, S., Fileless attacks: compromising targets without malware. Network
Security, 2017(4), S 7–11. 4) Vgl Verizon Data Breach Investigations Report 2019, https://enterprise.verizon.com/resources/ reports/2019-data-breach-investigations-report. pdf (16. 7. 2019); McAfee labs threats report: December 2018, Computer Fraud Security, 2019(1):4; Carbon Black Threat Report 2016, https://www.carbonblack.com/wp-content/uploads/2016/12/16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf. 5) Vgl State of Endpoint Security Risk, Ponemon Institute, https://cdn2.hubspot.net/hubfs/468115/ whitepapers/state-of-endpoint-security-2018. pdf (18. 7. 2019). 6) Vgl PowerShell, fi leless malware’s great attack vector, https://www.pandasecurity.com/mediacenter/malware/powershell-fi leless-malwareattack-vector/ (18. 7. 2019); Security 101: The Rise of Fileless Threats that Abuse PowerShell, https://www.trendmicro.com/vinfo/pl/security/ news/security-technology/security-101-the-riseof-fi leless-threats-that-abuse-powershell (18. 7. 2019).
© privat
Die Autoren Nikolas Dobiasch, MSc (links im Bild) ist im Deloitte Digital Forensic Team als Analyst tätig.
DI Matthias Holzgethan (rechts im Bild) ist im Bereich Digital Forensic für computerforensische Untersuchungen verantwortlich und berät Unternehmen mit dem Umgang und der Aufarbeitung von Sicherheitsvorfällen.
© Deloitte Österreich
