Fileless Malware

Wie Hacker unbemerkt Ihre Systeme infiltrieren

28.09.2017
Von  und


Maria Korolov berichtet seit über zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

So funktioniert Fileless Malware

Wie bereits erwähnt, nutzen Angriffe mit Fileless Malware die Applikationen auf dem Rechner aus, die bereits installiert und vermeintlich sicher sind. Ganz konkret nehmen entsprechendeExploit Kits oft den Browser ins Visier (Add-Ons), nutzen Word-Makros oder auch Powershell.

"Um einen Fileless-Angriff erfolgreich durchzuführen, sind Schwachstellen in der bereits installierten Software zwingend erforderlich", so Jon Heimerl, Manager bei NTT Security. "Der wichtigste Schritt, um sich zu schützen, besteht also darin, seine Systeme auf dem neuesten Stand zu halten. Und zwar nicht nur in Sachen Betriebssystem, sondern auch was die Software angeht. Browser Plugins werden beim Patch Management allzu häufig übersehen und sind deshalb das Einfallstor Nummer Eins, wenn es um Attacken mit Fileless Malware geht."

Angriffe mit Hilfe von Office-Makros können hingegen relativ einfach verhindert werden, indem man die Nutzung von Makros schlicht nicht aktiviert. Doch kriminelle Hacker haben längst auch andere Wege entdeckt, Ihre Systeme unbemerkt zu infiltrieren: Schwachstellen in Adobes PDF Reader oder Javascript werden ebenfalls gerne für Fileless-Angriffe verwendet.

Der kürzlich bekannt gewordene Hackerangriff auf den US-Finanzdienstleister Equifax ist ebenfalls ein Beispiel für einen erfolgreichen Fileless-Malware-Angriff, wie Satya Gupta, Gründer und CTO von Virsec Systems weiß: "Bei diesem Angriff nutzten die Angreifer eine Schwachstelle in Apache Struts. Bei dieser Art von Angriff validiert eine mit Schwachstellen behaftete Applikation den Input des Users nicht ordnungsgemäß. Bei diesem Input kann es sich auch um Befehle in Zusammenhang mit dem Betriebssystem handeln.

In der Folge können diese vom Rechner des Opfers mit denselben Privilegien durchgeführt werden, über die die infizierte Applikation verfügt. Dieser Mechanismus hebelt also jede Anti-Malware-Lösung komplett aus, die kein ‚Auge‘ auf den Ausführungspfad der Applikation wirft, um feststellen zu können, ob hier alles mit rechten Dingen zugeht." Ein Patch hätte den Equifax-Hack wohl verhindern können, meint Gupta. Dieser war bereits seit März 2017 verfügbar.

Anfang des Jahres wurden bei einem Angriff mit Fileless Malware außerdem mehr als 140 Unternehmen und Institutionen infiziert - darunter Banken, Telekommunikationsanbieter und Regierungsbehörden in mehr als 40 Ländern. Bemerkt wurde die Kompromittierung erst, als Sicherheitsforscher von Kaspersky Labs maliziöse Powershell-Skripte in der Registry der Unternehmensnetzwerke entdeckte. Laut den Forschern war der Hackerangriff nur über einen Blick auf RAM, Netzwerk und Registrierungsdatenbank zu entdecken.

Ein weiterer, Schlagzeilen-trächtiger Fileless-Fall war laut Carbon Black auch der Hackerangriff auf das Democratic National Commitee. Speziell für Hacker, die möglichst lange unentdeckt bleiben wollen, sind diese Angriffe verlockend. "Wir haben eine ganze Reihe von Cyberspionen beobachtet, die diese Techniken anwenden und weiter verfeinern, um einer Entdeckung zu entgehen", sagt Security-Expertin Kittner. "Darunter befinden sich auch Hacker-Gruppen aus China und Nordkorea."

Bitcoin-Mining mit Malware

Ein relativ neues, kommerzielles Anwendungsfeld für Fileless Malware - beziehungsweise auf diesem Weg infizierte Rechner - haben kriminelle Hacker ebenfalls bereits erschlossen: Bitcoin Mining. "Cryptominer versuchen sich direkt in den Speicher zu schieben und nutzen die Eternal-Blue-Schwachstelle, um sich hunderttausendfach innerhalb eines Unternehmensnetzwerks weiterzuverbreiten", erklärt Eldon Sprickerhoff, Gründer von eSentire, die Vorgehensweise der Hacker.

Normalerweise müssen Bitcoin Miner spezielle Hardware anschaffen. Die steigenden Strompreise sorgen dafür, dass sich mit dem Schürfen der digitalen Währung kaum noch Profit machen lässt. Durch die Übernahme von Unternehmens-Rechnern und -Servern wollen kriminelle Hacker gleich beide Kostenfaktoren eliminieren. Unternehmen sollten nach ungewöhnlich hoher CPU-Auslastung Ausschau halten, empfiehlt Sprickerhoff. Das könne ein Indikator dafür sein, dass im Netzwerk unbemerkt und ungewollt Bitcoin Mining betrieben wird.

Sämtliche Angriffe mit Fileless Malware aufdecken können aber selbst verhaltensbasierte Analytics-Systeme nicht, wie Tod Beardsley, Research Director bei Rapid7 deutlich macht: "Sie sind davon abhängig, ob Sie es mitbekommen wenn ungewöhnliche Dinge passieren." Diese Angriffe festzustellen, bevor Alarm ausgelöst wird, sei ein äußerst schwieriges Unterfangen so der Experte. "Wir sehen natürlich nur die relativ plumpen Attacken. Wenn ein professioneller Angreifer mit Knowhow alles daran setzt, unentdeckt zu bleiben, schafft er das in der Regel auch."

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.