Was ist fileless Malware und wie schützen Sie sich davor?

5 Dinge, die Sie über dateifreie Malware-Angriffe wissen sollten Cybersicherheitsbedrohungen entwickeln sich schnell, und Angreifer wenden zunehmend Taktiken an, die keine Nutzlast erfordern oder jemanden dazu verleiten, etwas zu installieren. Folgendes müssen Sie über dateilose Angriffe wissen.

Wenn Sie von einer Phishing-Mail ausgetrickst werden und einen Dokumentanhang öffnen, der ein schädliches Makro oder einen Link zu einer schädlichen Website enthält, oder wenn Sie eine infizierte Anwendung herunterladen, gibt es eine Datei, die Antivirensoftware scannen kann, wenn sie auf der Festplatte gespeichert oder von dieser geöffnet wird. und es gibt eine Reihe von Dateiaktivitäten, auf die Sie zurückblicken können, wenn Sie versuchen, den verursachten Schaden zu überprüfen. Um diesen Schutz zu umgehen, verwenden Angreifer "fileless" Malware, bei der die Angriffe direkt im Speicher ausgeführt werden, oder verwenden bereits installierte Systemtools, um schädlichen Code auszuführen, ohne Dateien zu speichern, die von Antivirensoftware gescannt werden können. ( Hinweis : Dieser Artikel über fileless Malware ist als kostenloser PDF-Download verfügbar.)

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Dies kann bedeuten, dass ein Benutzer dazu verleitet wird, ein Skript auszuführen, das eine .NET-Binärdatei direkt aus dem Speicher ausführt, z. B. Sharpshooter, der die Malware-Nutzdaten über die Textdatensätze von DNS-Abfragen herunterlädt. Oder es könnte bedeuten, böswillige Netzwerkpakete zu senden, die die EternalBlue-Sicherheitsanfälligkeit ausnutzen und die DoublePulsar-Backdoor im Kernelspeicher installieren. Dies kann bedeuten, dass die schädlichen Nutzdaten in der Registrierung als Handler für eine Dateierweiterung gespeichert werden, damit sie ausgeführt werden, wenn Sie eine normale Datei mit dieser Erweiterung öffnen. Kovter hat dies beispielsweise verwendet, um Mimikatz herunterzuladen und Anmeldeinformationen zu stehlen, die Nutzdaten in eine DLL zu packen, die in eine Zeichenfolge codiert und mit einem PowerShell-Befehl ausgeführt wird, einen böswilligen PowerShell-Kommentar im WMI-Repository zu installieren und ihn so zu konfigurieren, dass er in regelmäßigen Abständen ausgeführt wird. Der Schadcode kann sich sogar in der Gerätefirmware oder einem Peripheriegerät wie BadUSB befinden. Auf diese Weise kann die Nutzlast im Speicher ausgeführt werden und auch dann immer wieder zurückkehren, wenn Sie Windows neu starten, Windows neu installieren oder die Festplatte neu formatieren.

Sonderbericht: Cyberwar und die Zukunft der Cybersicherheit (kostenloses PDF)

Dateifreie Techniken können extrem fortschrittlich sein und sind für herkömmliche Antivirensoftware schwieriger zu erkennen. Aber nicht jeder fortgeschrittene Malware-Angriff ist fileless und das Herumwerfen des Begriffs hilft Organisationen nicht, sich dagegen zu verteidigen, sagte Tanmay Ganacharya gegenüber TechRepublic. Ganacharya leitet das Microsoft Defender-Forschungsteam für Bedrohungen, das neue Bedrohungen analysiert und Modelle erstellt, um sie zu erkennen. "Fileless ist ein so überstrapazierter Begriff, und er hat sich von den wirklich fileless Bedrohungen zu den Menschen entwickelt, die fast alles, was sogar etwas fortgeschritten ist, fileless nennen wollen und es leicht zu einem Modewort machen", sagt er.

Um den Begriff zu entmystifizieren, begann das Bedrohungsforschungsteam, fileless Angriffe danach zu kategorisieren, wie sie auf einen PC gelangen und wo sie gehostet werden. Es gibt mehr als ein Dutzend Kombinationen dieser "Einstiegspunkte" und Malware-Hosts, die für dateilose Angriffe verwendet werden. Einige davon sind sehr ausgefeilt und werden nur selten für gezielte Angriffe verwendet. Einige wurden standardisiert und tauchen häufiger auf für häufige Angriffe wie den Versuch, einen Coin Miner auf Ihrem System auszuführen. Aber sie fallen in drei große Gruppen.

Bild: Microsoft

"Typ 1 ist wirklich fileless, wenn der Angriff im Netzwerk oder von einem Gerät aus erfolgt, die Nutzdaten im Speicher verarbeitet werden und fast nichts die Festplatte berührt", sagt Ganacharya. EternalBlue und BadUSB sind wirklich fileless Angriffe - und sie sind selten. "Dies sind wirklich die fortschrittlichsten Angriffe, aber die meisten Angriffe, die als fileless bezeichnet werden, gehören nicht zu dieser Gruppe. Diese Art von Angriff und Ausbeutung wurde immer schwieriger, daher ist es für diese schwierig, zur Ware zu werden." ""

Typ zwei ist etwas häufiger, sagt Ganacharya. Angriffe vom Typ zwei verwenden zwar Dateien, jedoch nicht direkt, sodass sie weiterhin als dateifrei gelten. "Denken Sie an Skripte, die zum Starten von Angriffen verwendet werden, egal ob JavaScript oder PowerShell. Wir sehen einige, die auf den MBR abzielen und versuchen, Maschinen vollständig unbrauchbar zu machen, damit sie nicht booten. Sie verwenden jedoch hauptsächlich die Registrierung und WMI sowie verschiedene andere Mechanismen wie PowerShell, um einige der bereits auf dem System vorhandenen Tools zu nutzen, um Setup-Aktivitäten zu sequenzieren. "

Das heißt "Leben vom Land" und ist mit Standard-Antiviren-Tools schwer zu erkennen, da diese legitimen Tools keine Warnungen auslösen und die von Malware gespeicherten Dateien verschleiert und voller Junk-Daten sind, die leicht geändert werden können, um einen neuen Angriff zu erstellen. Sie können es auch nicht bereinigen, indem Sie Dateien löschen, da Sie nicht nur wichtige Teile von Windows wie die Registrierung und das WMI-Repository löschen können.

Die häufigsten dateilosen Angriffe verwenden zwar Dateien, führen die Angriffe jedoch nicht direkt von diesen Dateien aus. "Typ drei beginnt eindeutig mit einer Datei, unabhängig davon, ob es sich um eine Dokumentdatei mit einem Makro oder einer Java- oder Flash-Datei handelt, und manchmal sogar mit EXE-Dateien, bei denen bestimmte Dateien gelöscht werden, die Persistenz jedoch ohne Dateien bleibt", sagt Ganacharya. "Sobald die Nutzlast gelöscht ist, erreicht die Nutzlast eine Persistenz, indem sie entweder nur im Speicher bleibt oder in der Registrierung bleibt und von dort aus ausgeführt wird."

Viele dieser Angriffe vom Typ drei stammen aus E-Mails, aber die Dateianhänge werden nicht als offensichtlich bösartig angezeigt, wenn ein Antivirenprogramm die Dateien scannt. "Sie hängen im Allgemeinen keine EXE-Datei an, Sie hängen ein Dokument mit einem Makro an, das mit einer anderen Datei verknüpft ist, und dann lädt diese Datei die Nutzdaten herunter", erklärt Ganacharya. VBA-Code verfügt nicht über eine Binärdatei, die von Antivirensoftware gescannt werden kann, kann jedoch PowerShell-Skripts laden, die Angriffe herunterladen und ausführen.

So erkennen Sie fileless Angriffe

Da Sie keine Dateien scannen können, um dateilose Angriffe zu erkennen, müssen Sie sich darauf verlassen, den Speicher zu scannen und böswilliges Verhalten zu erkennen. "Sie müssen in der Lage sein, injizierte Module im Speicher zu scannen, da nichts jemals die Festplatte berührt, und Sie müssen in der Lage sein zu sehen, wie Dinge in den Speicher geladen werden, ob es sich um eine Nutzlast oder einen Shell-Code handelt", sagt Ganacharya. "Sie müssen es sehen, stoppen und dann die damit verbundenen Prozesse beenden können." Die Erweiterung auf den Bootsektor schützt vor Bootsektorangriffen.

Die Verhaltensüberwachung erkennt Malware, die böswillige Aktionen ausführt, einschließlich aller drei Arten von fileless Malware. Ganacharya: "Die Verhaltensüberwachung gilt wirklich auf ganzer Linie, richtig, weil alles, was ohne Dateien ist - ob es von Ende zu Ende fileless ist oder ob es eine fileless Persistenz erreicht hat - ein Verhalten aufweist, das auf böswillige Aktivitäten hinweist. Wenn es sich um Ransomware handelt, muss dies der Fall sein." Dateien verschlüsseln, sonst ist es keine echte Ransomware. Wenn es sich um einen Info-Stealer handelt, muss er einige Dateien oder Informationen stehlen. Es wird also immer Verhaltensweisen geben zu erkennen. "

Um dateifreie Angriffe zu erkennen, die auf Skripten beruhen, suchen Sie nach Produkten wie Microsoft Defender, die das Windows 10 Antimalware Scan Interface (AMSI) verwenden, um das Skriptverhalten zur Laufzeit zu überprüfen.

How AMSI intercepts scripts that try to drop fileless malware on systems.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Wie AMSI Skripte abfängt, die versuchen, fileless Malware auf Systemen zu löschen.

Bild: Microsoft

"Als Skript- und PowerShell-Angriffe sowie VBScript-basierte Angriffe zunahmen, wurde es für Sicherheitsprodukte äußerst schwierig, mit den vielen, vielen Millionen und Milliarden und Billionen Möglichkeiten umzugehen, wie Sie etwas wie JavaScript verschleiern können", betont Ganacharya . "Es ist so einfach, JavaScript zu verschleiern und Varianten derselben Bedrohung zu erstellen, die überhaupt nicht ähnlich aussehen. Damit JavaScript jedoch ausgeführt werden kann, muss die Skript-Engine den Code verschleiern und die Reihenfolge der Anweisungen erstellen, die sie dann ausführt."

Jede Antivirensoftware kann sich in AMSI einbinden und diese Reihenfolge anzeigen - und ab September 2018 auch Office-Makros.

"Anstatt sich mit einer JavaScript-Datei oder einer PowerShell-Skriptdatei oder einem Office-Makrocode befassen zu müssen und zu versuchen, auf verschleierten Inhalten zu argumentieren, kann die Skript-Engine beim Ausführen dieser Inhalte inline mit dem installierten Antivirenprogramm prüfen, ob die Die Abfolge der Ereignisse stellt böswilliges Verhalten dar ", erklärt Ganacharya. "Dies hat Erkennungen gegen JavaScript-Malware, PowerShell-Malware und jede skriptbasierte Malware extrem langlebig gemacht, da wir jetzt nicht mehr mit Katz und Maus versuchen, mit den verschiedenen Möglichkeiten umzugehen, wie JavaScript verschleiert werden kann. Wir haben es nicht getan." Es müssen keine hartnäckigen Parser für alle Skriptsprachen erstellt werden, die Endbenutzer-Computer verlangsamen: Wir haben nur die Skript-Engine auf dem Computer genutzt, die ohnehin ausgeführt werden muss - und wir können sehen, was passiert, und sie stoppen der richtige Punkt, damit die eigentliche Malware nie aufsteht. "

Microsoft Defender hat Benutzer bereits über AMSI vor vielen fileless Malware geschützt. Das JavaScript von Sharpshooter ist so stark verschleiert, dass Sie anhand des Codes nicht erkennen können, was es tut. Wenn das Skript gestartet wird, ist klar, dass es Funktionen aufruft und Parameter übergibt, die eine Anwendung starten.

Defender stoppte auch einen neueren und hochentwickelten Angriff mit dem Asteroth-Info-Stealer in diesem Sommer, der auf Südamerika abzielte und versuchte, Anmeldeinformationen, Tastenanschläge und andere vertrauliche Informationen nur mit vorhandenen Tools in Windows in einer Reihenfolge zu stehlen, die selbst schwer zu verfolgen ist ein Diagramm.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Die komplexen Stadien des feilenlosen Astaroth-Angriffs.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bild: Microsoft

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hier ist Ganacharyas Gliederung: "Es wird versucht, vorhandene Komponenten, die im Rahmen von Windows ausgeliefert wurden, zu nutzen, um Windows zu verwalten und nacheinander zu verwenden, ohne eine ganze Reihe neuer Inhalte auf dem Endbenutzercomputer ablegen zu müssen. Es handelt sich also um eine E-Mail mit einer ZIP-Datei Das hat verknüpfte Dateien in, die eine BAT-Datei erhalten, die WMIC ausführt, die eine Excel-Datei herunterlädt, die super stark verschleiertes JavaScript enthält, die WMIC erneut ausführt, die eine andere Excel-Datei herunterlädt, verwendet dann Bitsadmin Laden Sie eine Nutzlast herunter, verwenden Sie Certutil, um diese Nutzlast zu dekodieren, bei der es sich schließlich um eine DLL handelt, laden Sie sie, injizieren Sie sie und versuchen Sie schließlich, die schlechten Dinge zu tun, die sie tut. "

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Der Verteidiger verfügt über Verhaltenserkennungen für alle bei diesem Angriff verwendeten Techniken. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Wir haben diese Angriffe bereits in der ersten Phase blockiert. Um jedoch zu zeigen, dass wir nicht nur die erste Phase erkennen, sondern alle Phasen erkennen, den AV-Modus in den Überwachungsmodus versetzen und laufen lassen, haben wir festgestellt, dass jede einzelne Phase eine hat." Verhaltenserkennung ", sagt Ganacharya. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Am Ende haben wir jeden einzelnen Computer gespeichert, auf den dieser Angriff mit Windows Defender abzielte, beginnend mit Patient Null."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Endpunkterkennungs- und Reaktionstools wie Defender stoppen dateilose Angriffe, und Sie können sehen, wie Angriffe mit Microsoft Defender Advanced Threat Protection erkannt werden. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sie sollten jedoch auch Regeln zur Reduzierung der Angriffsfläche einrichten, um nicht verwendete Funktionen zu deaktivieren. So können Office-Apps Code in andere Prozesse einfügen, was bei vielen Ransomware-Exploits häufig der Fall ist.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Es ist nicht üblich, dass Office-Apps untergeordnete Prozesse erstellen. Es gibt eine kleine Handvoll Unternehmen, die wirklich komplexen Makrocode schreiben der dies benötigt - und sie sollten damit aufhören!" The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Ganacharya warnt. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"In den meisten Unternehmen muss diese Funktionalität jedoch nicht aktiviert sein, insbesondere nicht in Abteilungen wie Vertrieb, Personal und Marketing, in denen nicht viele Ingenieure beschäftigt sind."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Die Locky-Ransomware verwendete eine E-Mail-Nachricht mit einem Office-Anhang mit einer versteckten Formel, mit der PowerShell ausgeführt wurde, um Systeme zu infizieren. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Wenn Sie gerade die Regel zur Reduzierung der Angriffsfläche aktiviert haben, nach der Office-Apps daran gehindert werden, untergeordnete Prozesse zu erstellen, müssen Sie sich keine Sorgen machen, dass Ihre Lösung in der Lage sein muss, alle Ereignisse in den letzten drei Phasen zu bewältigen." - Sie werden den Angriff nur sehr früh stoppen und so den Schaden in Ihrem Netzwerk minimieren ", sagt Ganacharya.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Nur die Aktivierung der Regeln zur Reduzierung der Angriffsfläche stoppt die meisten der Nulltage, die im letzten Jahr oder so identifiziert wurden."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersecurity Insider Newsletter

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Lieferung dienstags und donnerstags

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Heute anmelden

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Siehe auch

  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">So verhindern Sie zerstörerische Malware-Angriffe auf Ihr Unternehmen: 7 Tipps (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">10 gefährliche Sicherheitslücken in der App, auf die Sie achten sollten (TechRepublic-Download)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Windows 10-Sicherheit: Ein Leitfaden für Führungskräfte (TechRepublic Premium)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Online-Sicherheit 101: Tipps zum Schutz Ihrer Privatsphäre vor Hackern und Spionen (ZDNet)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Die besten Passwortmanager von 2019 (CNET)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersicherheit und Cyberkrieg: Mehr Muss-Berichterstattung (TechRepublic on Flipboard)

© Copyright 2020 | mobilegn.com