Cyberbedrohung Fileless Malware
Oktober 6, 2017 3:27 pm
Fileless Malware, Zero-footprint-Malware, Macro Malware oder Non-Malware
Während in der jüngeren Vergangenheit besonders Cyberattacken mit Ransomware Schlagzeilen gemacht haben, gewinnt mittlerweile auch eine weitere Hackermethode immer mehr an Bedeutung für die IT-Sicherheit: Die dateilose Malware.
Was diese Angriffsart ausmacht und welche Schutzmaßnahmen es gibt, erfahren Sie in diesem Artikel.
Was ist Fileless Malware?
Bei den am häufigsten zu beobachtenden Cyberangriffen führt das Ausführen oder Installieren einer schadhaften Datei zur Infizierung des Rechners mit Malware.
Bei der dateilosen Malware erfolgt die Infizierung hingegen nicht über auszuführende Binärdateien, sondern über Codes, die durch Schwachstellen von bereits installierten Applikationen ins System gelangen. Die schadhaften Codes finden ihren Weg in den Arbeitsspeicher oder die Windows-Registrierungsdatenbank (Registry) und erhalten somit Zugriff auf verschiedene Funktionen des Rechners.
Wie funktioniert Fileless Malware?
Dateien, die auf der Festplatte abgelegt werden, erregen Aufsehen bei Anti-Virus-Programmen. Viele schadhafte Dateien werden auf diese Weise frühzeitig vom Virenschutz erkannt und können entfernt werden. Um dies zu verhindern, suchen sich die Angreifer Möglichkeiten, das Installieren oder Ablegen von Dateien zu umgehen. Ihren Weg auf den Rechner findet diese Art Malware ganz oft über Schwachstellen in Plug-ins und Add-ons des Internetbrowsers. Ebenso gerne genommene Einfallstore sind Word-Makros, Javascript und das Programm Windows PowerShell.
Einmal auf dem Computer angekommen, lädt die Malware beispielsweise ihren schadhaften Code in den Speicherbereich einer legitimen Windows-Datei, wo sie verdeckt die eigentlichen Funktionen manipulieren kann.
Eine weitere Art der dateilosen Infizierung geschieht in der untersten Softwareschicht, der Kernel-Ebene. Bei dieser Art Schadsoftware handelt es sich um ein sogenanntes Rootkit. Die Malware entgeht der Entdeckung durch Anti-Virus-Programme, indem sie Teile des Kernels durch eigenen Code ersetzt und Funktionsaufrufe von Programmen verhindert.
Ein anderer Infektionsweg führt in die Registry, wo alle systemrelevanten Informationen hinterlegt und abgerufen werden. Dieser Weg erfordert immer noch eine binäre Datei, die ausgeführt werden muss, beispielsweise durch das Öffnen eines Emailanhanges. Sobald die Malware die schadhafte Datei verschlüsselt in die Registry geschrieben hat, wird die Datei vom System entfernt, indem sie sich selbst löscht und somit ihre Spuren verwischt.
Warum ist sie so schwierig zu entdecken?
Wie bereits erwähnt, fehlt bei der Fileless Malware eine Datei, die auf der Festplatte hinterlegt wird und somit von einem Anti-Virus-Programm entdeckt werden könnte.
Dazu kommt, dass sich diese Schädlinge vorhandene Windows-Funktionen, beispielsweise durch versteckt laufende Skripte, zu Nutze machen können. So könnte zum Beispiel eine Fileless Malware unbemerkt eine Internetverbindung, über einen Proxy, in ein fremdes Netzwerk herstellen und Angreifern damit Zugriff auf Ihre Daten verschaffen.
Welche Gegenmaßnahmen gibt es?
Auch wenn diese Art Malware als „dateilos“ bezeichnet wird, ist sie nicht zwingend vollständig unauffindbar, obwohl sie die Erfolgschancen der Hacker deutlich erhöht.
Es gibt allerdings praktisch keine Malware, die absolut keine Spuren hinterlässt. Oft werden die temporären Dateien, welche die Malware auf der Festplatte ablegen muss, durch Anti-Virus-Programme entdeckt oder schädliche Links und Email-Anhänge werden erkannt, noch bevor es zur Infizierung kommt. Des Weiteren gibt es Systeme, die ungewöhnliche oder verdächtige Aktivitäten und Verhaltensweisen von Programmen erkennen können und somit ein Eingreifen ermöglichen.
Schützen Sie sich und Ihr Unternehmen!
Da viele dieser Schädlinge durch Sicherheitslücken in Browser Add-ons und Plug-ins in Ihr System gelangen können, ist es wichtig, diese immer aktuell zu halten oder bei Bedenken einfach zu deinstallieren. Besonders häufig schleicht sich dateilose Malware über infizierte Makros in Word-Dokumenten auf Ihren Rechner. Makros erleichtern durch das Automatisieren einiger Funktionen den Umgang mit Word, bieten somit aber auch eine willkommene Schwachstelle. Deaktivieren Sie im Zweifelsfall den Einsatz von Makros und seien Sie besonders vorsichtig bei fragwürdigen Emails mit möglicherweise schädlichen Anhängen und Links.
Rundumschutz vom Profi
Um rundum gegen die zahlreichen Bedrohungen aus dem Internet gewappnet zu sein, empfiehlt sich die Hilfe eines IT-Dienstleisters.
Wir vom Kastl & Rieter IT-Service bieten Ihnen die optimale Sicherheitslösung für Ihre IT. Individuell auf die Bedürfnisse Ihres Unternehmens abgestimmt.
Sie sind sich nicht sicher, ob Ihre IT angemessen geschützt ist? Laden Sie sich unsere kostenlose Checkliste herunter oder rufen Sie gleich an und vereinbaren Sie einen Termin für die kostenlose Sicherheitsanalyse Ihrer Unternehmens-IT.
Wir freuen uns darauf, Ihnen helfen zu können!
Rufen Sie an ( 0221 / 630 6151 60 ) oder nutzen Sie das Kontaktformular !
Quelle: Computerwoche, TechRepublic