IT-Sicherheit 01.10.2020

Fileless Malware – eine alte (neue) Bedrohung?

Für Angreifer ist Fileless Malware ein wirksames Mittel, um unbemerkt Systeme zu infiltrieren. Diese Angriffsform unterscheidet sich von herkömmlicher Malware dadurch, dass sie keine bösartige Software installieren muss, um den Computer eines Betroffenen zu infizieren. Es wird nicht einmal eine Datei auf die Festplatte geschrieben. Das klingt zwar schwer realisierbar, kommt aber gar nicht so selten vor.

Artikel teilen

Christian Linder
Consultant IT-Security

Der Virenscanner nimmt keine Kenntnis und schlägt nicht Alarm, da kein Schreibvorgang auf die Festplatte vorgenommen wird. Der Schadcode verbleibt im RAM des Computers und verwendet für den Angriff gängige Systemwerkzeuge, um zusätzlichen bösartigen Code in die Prozesse einzuschleusen. Hierfür eignen sich Flash, javaw.exe oder auch iexplore.exe.

Es gibt einige Techniken, mit denen ein Fileless-Malware-Angriff gestartet werden kann, beispielsweise durch bösartige Bannerwerbung, sogenanntes „Malvertising“. Klickt ein Nutzer auf die Bannerwerbung, wird er auf eine bösartige Website umgeleitet, die ihm auf den ersten Blick legitim erscheint. Eine Malvertising-Infektion einzelner Webseiten ist im Übrigen ebenso denkbar wie das Kapern eines ganzen Werbenetzwerks und somit eine flächendeckende Verbreitung des Schadcodes.

Als nächstes kommt Flash zum Einsatz, das mit etlichen Schwachstellen behaftet ist, um den Angriff fortzusetzen. Flash verwendet Windows PowerShell, um beispielsweise Befehle über die Command Line auszuführen, während es lediglich im RAM ausgeführt wird. Über die PowerShell wiederum wird dann der bösartige Code (beispielsweise ein Botnet etc.) geladen und direkt ausgeführt.

Die Ausführung von PS1-Skripten wird vom System reglementiert. Gibt der Schadcode-Programmierer jedoch den Befehl „set-executionpolicy Unrestricted“ ein und beantwortet die Frage skriptgesteuert mit „A“ für „alle“, kann nun jedes Skript ausgeführt werden.

Normalerweise wird beim Neustart des Computers auch der RAM gelöscht, so dass die Fileless Malware gestoppt werden kann. Microsoft hat jedoch mit Windows 10 den Schnellstart-Modus eingeführt, der den Ladevorgang erheblich beschleunigen soll. Ist dieser Schnellstart-Modus aktiviert, wird der PC nicht komplett runter- und wieder hochgefahren. Wird der PC nun gestartet, liest das System statt eines kompletten Neustarts den Status von Kernel und Treiber vom zuvor geschriebenen Zustand (Hiberfile). Der letzte Systemstand wird also mit diesem Image in den Hauptspeicher geladen. Somit ist es zumindest nicht unmöglich, dass über den Mechanismus Teile des Schadcodes wieder geladen werden. Es sollte daher sichergestellt werden, dass das System jedes Mal komplett neu gestartet wird. Hierfür gibt es mehrere Optionen:

Öffnen Sie eine Eingabeaufforderung mit der Option „Als Administrator ausführen“. Geben Sie in dem Fenster

„powercfg -hibernate off“

ein und starten Sie den PC neu. Sie können auch eine Batch-Datei mit dem Inhalt

„shutdown -s -t 0“

anlegen. Oder Sie geben nach Aufruf von „Windows-Taste + R“ den zuvor genannten Befehl ein.

Maßnahmen nach einem Angriff.

  • Unnötige oder unsichere Funktionen deaktivieren
  • Deaktivierung lokaler Admin-Rechte für Anwender
  • Nur so viele Berechtigungen im Netzwerk vergeben, wie zwingend notwendig
  • Regelmäßige Software-Updates
  • Netzwerkverkehr und Aktivitätsprotokolle auf Anomalien überprüfen
  • Best Practices für die Verwendung von PowerShell beachten
  • Passwörter nach Beseitigung der Angriffsschäden ändern
  • Mitarbeiterschulungen