valerybrozhinsky - stock.adobe.c
Wie Angreifer mit dateiloser Malware PowerShell ausnutzen
Angriffe mit dateiloser Malware sind schwierig zu bekämpfen. Um zu verstehen, wie man diese abwehren kann, sollten man sich mit der Vorgehensweise der Angreifer beschäftigen.
Dateilose Malware verwendet häufig die PowerShell, um Angriffe auf Systemen auszuführen, ohne Spuren zu hinterlassen. Entsprechend wird diese Art von Angriffen auch als Zero-Footprint-Angriff bezeichnet und ist besonders schwer zu erkennen, da sie nicht darauf beruht, dass externe bösartige (und erkennbare) Binärdateien in die Systeme eingeschleust werden. Vielmehr nutzen Angreifer die üblichen Werkzeuge (wie das Windows Remote Desktop Protocol oder FTP) der Nutzer gegen diese.
Dateilose Malware ist vor allem deshalb so schwierig zu bekämpfen, da sie viele der Kernprozesse umgeht, mit denen man das System sichern kann. Da keine Datei als Infektionsquelle fungiert, können Virenscanner diese Angriffe nicht erkennen, und auch signaturbasierte Erkennungssysteme scheitern hier sehr häufig.
Ist man deshalb diesen Angriffsszenarien hilflos ausgeliefert? Um zu verstehen, wie man entsprechende Angriffe verhindern beziehungsweise daraus resultierende Schäden minimieren kann, sollte man sich zunächst mit den Grundlagen, also etwa der Vorgehensweise und dem Ablauf einer Infektion, vertraut machen.
Wie läuft ein Angriff mit dateiloser Malware ab?
Ein dateiloser Malware-Angriff beginnt typischerweise (aber nicht zwingend) mit einer Phishing-Mail, die eine Payload enthält, die automatisch Kontakt mit dem entfernten Hacker aufnimmt, beispielsweise durch einen Remote Access-Trojaner (RAT). Auf diese Weise schaffen es die Angreifer mit vergleichsweise geringem Aufwand, aus dem internen Netzwerk heraus die Firewall zu umgehen und haben nun die Möglichkeit, native Anwendungen zu starten und im Dateisystem zu navigieren, um nach sensiblen Daten zu suchen.
Entscheidend ist, dass bei dateilosen Angriffen keine externe binäre ausführbare Datei auf Geräte kopiert werden muss. Stattdessen können sie vorhandene Software, insbesondere PowerShell, verwenden, um zusätzliche Skripte herunterzuladen und sie ausschließlich im Speicher auszuführen, wodurch sie extrem schwer zu erkennen sind.
Sobald ein Angreifer dann Zugang zu dem System hat, verwendet er eine Vielzahl lokal vorhandener Tools und Techniken, um sich lateral innerhalb des Systems zu bewegen und weiter nach sensiblen Daten über den ursprünglichen Eintrittspunkt hinaus zu suchen.
So wird beispielsweise das normale Windows Remote Desktop Protocol (RDP) von Angreifern genutzt, um einfach zum Insider zu werden, welcher zwischen den Servern hin- und herspringen kann. Und das ebenfalls meist vorhandene FTP (File Transfer Protocol) kann dann dazu verwendet werden, Daten zu exfiltrieren. Der wesentliche Punkt hier ist: Angreifer nutzen die lokal vorhandene Software aus und hinterlassen so keine oder nur minimale forensische Spuren.
Dazu werden vor allem vorhandene Windows-Systemwerkzeuge missbraucht, insbesondere PowerShell, aber auch andere Skriptsprachen wie VBA oder JScript. Da Systemwerkzeuge genutzt werden, um Windows-Software auszuführen, fallen diese Aktivitäten nicht auf und es werden keine Warnmeldungen auf den betroffenen Systemen angezeigt.
Wie kommt es zu einem Angriff mit dateiloser Malware?
Dateilose Angriffe beruhen normalerweise auf Social Engineering, um Benutzer dazu zu bringen, auf einen Link oder einen Anhang in einer Phishing-E-Mail zu klicken. Im Gegensatz zu einem Standard-Malware-Angriff besteht die anfängliche Payload-Datei oft aus einem kleinen eingebetteten Skript.
Seine Aufgabe ist es, in das „Allerheiligste“ einzudringen und sich dann selbst mit Hilfe eines auf der Whitelist stehenden Windows Script Hosts (wscript.exe oder script.exe) auszuführen. Um einer Entdeckung zu entgehen, werden diese Skripte meist verschleiert oder teilweise verschlüsselt, wodurch offensichtliche Schlüsselwörter oftmals von der eingesetzten Überwachungssoftware nicht erkannt werden.
Sobald die Skripte von dem ahnungslosen Mitarbeiter gestartet werden, lösen sie in der Regel eine Kette von Malware-Downloads aus, die ebenfalls schwer zu erkennen sind, weil sie im Speicher ablaufen. Folgende Szenarien sind dabei typisch für diese Angriffsart:
- Windows Management Instrumentation (WMI) und Microsoft PowerShell sind einige der leistungsstarken Tools, die Hacker verwenden, da sie es ermöglichen, fast jeden Teil eines Windows-Systems zu manipulieren.
- Phishing-E-Mails, schädliche Downloads und legitim anmutende Links sind die häufigsten Wege, auf denen dateilose Malware verbreitet wird. Im Gegensatz zu normaler Malware sind die winzigen Skripte, die zu dateilosen Angriffen führen, jedoch in der Regel verschlüsselt und werden dadurch nicht erkannt. Verschlüsselte E-Mails werden in der Praxis durch Systeme nicht geblockt, da man False Positives möglichst vermeiden möchte.
- Gebräuchliche Anwendungen wie Microsoft Word oder Excel sind ein wichtiger Übertragungsweg für dateilose Malware. In aller Regel wird hierzu die Skriptsprache VBA genutzt (wenngleich auch JScript in gewöhnliche Dateien eingebettet werden kann). Die bösartigen Dateien werden etwa durch eine doc-Endung so getarnt, dass sie wie eine Word-Datei aussehen. Beim Anklicken der Datei wird dann das Skript gestartet. Benutzer sind oft so konditioniert, dass sie selbst bei Warnhinweisen etwa auf Skripte den Zugriff erlauben. So führt die Angst, Inhalte eventuell nicht richtig dargestellt zu bekommen zu diesem (nicht böswilligen) Fehlverhalten.
- Das Hauptziel dateiloser Malware-Angriffe ist eine laterale Ausbreitung. Die Hacker sind also nicht nur am Zugriff auf PowerShell oder Word interessiert, sondern kompromittieren sie vor allem als Mittel zum Zweck, um dann Zugang zu anderen Zielen zu erlangen und aus dem internen Netzwerk des Unternehmens zu agieren.
- Legitim wirkende Websites und Wasserlöcher (also Websites, von denen der Angreifer weiß, dass die Mitglieder der Zielgruppe diese immer wieder aufsuchen) verbreiten ebenfalls dateilose Malware durch bösartigen, eingebetteten JavaScript-Code. Gerade dieser Angriffsvektor wird zunehmend bedeutsamer, da es einerseits dem Nutzer nicht möglich ist, die Gefahr zu erkennen und andererseits die eingesetzten Tools keine Möglichkeit bieten, eine Erkennung in Echtzeit zu gewährleisten, da dies die Nutzer möglicherweise in ihrer Tätigkeit zu stark einschränken würde.
Warum nutzen Angreifer dateilose Malware?
Der offensichtliche Hauptgrund liegt in der dargestellten, schwierigen Erkennung dieser Angriffe. Die Chancen eines erfolgreichen Angriffs sind entsprechend deutlich höher, zumal die Skripte darauf ausgelegt sind, Virenscannern und ähnlichen Sicherheitslösungen auszuweichen.
Darüber hinaus kann ein Angreifer, sobald er auf vertrauenswürdige, auf der Whitelist stehende Programme wie PowerShell und andere lokale Tools zugreifen kann, Befehle ausführen, ohne dass interne Überwachungssysteme Alarme generieren.
„Eine zukunftsorientierte Sicherheitsstrategie orientiert sich also weniger an den verwendeten Tools oder Angriffsvektoren, sondern schützt Daten vor unerlaubten oder unbekannten Zugriffen, egal auf welche Weise sie bedroht sind.“
Michael Scheffler, Varonis Systems
Tatsächlich ist die PowerShell nach wie vor das Hauptziel der meisten dateilosen Malware, was dazu geführt hat, diesen Angriffstyp teilweise auch als PowerShell-Malware zu bezeichnen. PowerShell eröffnet den Angreifern enorme Möglichkeiten und hat zudem eine Art native Verschlüsselung implementiert, die ebenfalls von der Malware genutzt werden kann, um einer Entdeckung zu entgehen.
Wie kann man sich trotzdem vor dateiloser Malware schützen?
Auch wenn Angreifer durch die Verwendung vorhandener Software und System-Tools kaum forensische Spuren hinterlassen und auch Virenscanner und ähnliche Lösungen dateilose Malware nicht aufspüren können, ist man dieser Angriffsart dennoch nicht hilflos ausgeliefert.
Durch Zwei-Faktor-Authentifizierung, eingeschränkten Netzwerkzugriff für durchschnittliche Nutzer und die Durchsetzung von Passwortrichtlinien können zumindest schon mal einige zusätzliche Barrieren aufgebaut werden. Auch eine Sensibilisierung und kontinuierliche Schulung der Mitarbeiter trägt zu einem besseren Schutz auch vor dieser Bedrohung bei. Als besonders effektiv hat sich die intelligente Analyse des Nutzer- und Entitätsverhaltens (UEBA) erwiesen.
Man blickt also in erster Linie nicht auf die Malware selbst, sondern rückt stattdessen das Verhalten des Benutzers und der Endgeräte ins Zentrum der Aufmerksamkeit. Wenn also die Aktivitäten eines (gehackten) Nutzerkontos von dessen normalen Verhalten abweicht, sollte eine entsprechende Warnung erfolgen, etwa eine Remote-Desktop-Verbindung zu einer für diesen Benutzer ungewöhnlichen Zeit oder das Öffnen und Kopieren von Dateien, die der Mitarbeiter normalerweise nicht nutzt.
Je mehr Kontextinformationen dabei einfließen, desto präziser ist die Bewertung, ob es sich um einen zwar unüblichen, aber durchaus noch im Rahmen bewegenden Vorgang oder um deutliche Anzeichen eines Angriffs handelt. Eine zukunftsorientierte Sicherheitsstrategie orientiert sich also weniger an den verwendeten Tools oder Angriffsvektoren, sondern schützt Daten vor unerlaubten oder unbekannten Zugriffen, egal auf welche Weise sie bedroht sind.
Über den Autor:
Michael Scheffler ist Country Manager DACH von Varonis Systems.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.