valerybrozhinsky - stock.adobe.c
Wie lassen sich Angriffe mit dateiloser Malware erkennen?
Dateilose Angriffsformen agieren bislang oftmals im Verborgenen. Unternehmen müssen dies bei der Absicherung der Endpunkte berücksichtigen und entsprechende Tools einsetzen.
So wie sich die Bedrohungslandschaft verändert, muss sich auch die Sicherheitsstrategie für die Endpunkte im Unternehmen anpassen. So muss es möglich sein, alle bösartigen Aktivitäten zu erkennen, die die Sicherheit eines Endpunkts beeinträchtigen können – und zwar auch unabhängig vom Betriebssystem.
Auf Anwendersystemen in Unternehmen kommt häufig eine Windows-Antivirenlösung zum Einsatz. Diese Produkte sind in der Regel dafür entwickelt worden, eine Vielzahl von Bedrohungen zu erkennen, als da wären: Malware, Adware, Trojaner und viele Formen der dateibasierten Angriffe.
Die Überwachung des System- beziehungsweise Arbeitsspeichers kann eine erhebliche Menge an Daten produzieren. Aber dieses Monitoring ist ein Sicherheitswerkzeug, dass Unternehmen im Hinblick auf die Bedrohung durch dateilose Schadsoftware in jedem Fall in ihre Sicherheitsstrategie aufnehmen sollten.
Durch die Überwachung des Arbeitsspeichers kann eine entsprechende Sicherheitslösung feststellen, welche Befehle auf einem System ausgeführt werden. Dies ermöglicht auch die Erkennung von dateilosen Malware-Angriffen, die sich die PowerShell zunutze machen. Wird der Arbeitsspeicher auf bestimmte Aktionen hin überwacht, unabhängig davon, welches Programm mit der Ausführung des schädlichen Codes begonnen hat, lassen sich entsprechende bösartige Aktionen leichter identifizieren.
Ausführung bestimmter Skripte oder Eingriffe in die Konfiguration eines Programms lassen sich so besser erkennen. So kann man per Überwachung des Speichers besser identifizieren, wenn in einem Zusammenhang mit einem Word-Makro ein komplexer PowerShell-Downloader ausgeführt wird.
Wie erwähnt, können bei der Überwachung des Arbeitsspeichers aller Systeme enorme Datenmengen anfallen. Dies können Sicherheitsteams über die Definition von bestimmten verdächtigen Aktionen und Regeln hinsichtlich Auffälligkeiten bei Speicherzugriffen deutlich reduzieren. So können dann auch gezielte Warnmeldungen definiert werden, die ein Analyst dann im Falle eines Falles näher betrachten kann.
Keine Frage, Malware-Entwickler werden auch Wege finden, diese Verteidigungslinien zu umgehen. So wird es ihnen vermutlich gelingen, die APIs für den Speicherzugriff so zu manipulieren, dass sie weiterhin im Verborgenen agieren. Die entsprechenden Sicherheitslösungen müssen den Schutz vor Manipulationen daher ständig anpassen, auch um zu verhindern, dass derartige Angriffe andere Sicherheitsprogramme auf dem System deaktivieren oder umgehen.