Dateilose Malware: Was sie ist, wie sie funktioniert und wie man sich davor schützt

Universelles Abenteuer » Allgemein » Dateilose Malware: Was sie ist, wie sie funktioniert und wie man sich davor schützt

In den letzten Jahren die dateilose Malware Dateilose Malware hat sich zu einem der größten Probleme für IT- und Sicherheitsteams entwickelt. Gemeint ist nicht der typische Virus, den man als Anhang herunterlädt und mit einem Antivirenscan entfernen kann, sondern etwas viel Heimlicheres, das sich in den Systemprozessen selbst versteckt.

Diese Art von Bedrohung nutzt die Situation aus legitime Betriebssystem-ToolsInsbesondere unter Windows kann es Schadcode direkt im Arbeitsspeicher ausführen. Da es nahezu keine Spuren auf der Festplatte hinterlässt, kann es viele herkömmliche Antivirenprogramme umgehen und lange genug aktiv bleiben, um Informationen zu stehlen, Dateien zu verschlüsseln oder Hintertüren einzubauen, ohne entdeckt zu werden.

Was genau ist dateilose Malware?

Wenn wir von dateiloser Malware sprechen, meinen wir Schadcode, der nicht von einer klassischen ausführbaren Datei auf der Festplatte abhängt. Damit es funktioniert, muss es nicht wie jedes andere Programm installiert werden, sondern nutzt bereits im System vorhandene Komponenten (Skripte, Dienste, Befehlsinterpreter usw.), um seine Anweisungen direkt im Speicher zu laden und auszuführen.

Aus technischer Sicht ist diese Malware normalerweise in bereits laufende Prozesse einzufügen. Oder sie können mithilfe von Befehlen gestartet werden, die alles in den Arbeitsspeicher laden. Das bedeutet, dass viele Varianten nach dem Ausschalten oder Neustart des Computers verschwinden, aber in der Zwischenzeit genügend Zeit haben, ernsthaften Schaden anzurichten.

Im Vergleich zu dateibasierter Malware sind diese Bedrohungen leichter, diskreter und viel schwieriger zu verfolgenSie werden keine verdächtige .exe-Datei auf der Festplatte finden, auch nicht unbedingt einen bösartigen Installer: Das Problem liegt in dem, was innerhalb von Prozessen passiert, die als vertrauenswürdig erscheinen.

Der Aufstieg dieses Ansatzes erlebte um das Jahr 2017 einen sprunghaften Anstieg, als Kampagnen begannen, dateilose Techniken mit Clicker-Trojaner, hochentwickelte Adware und Fernzugriffstools (RATs)Heute sind sie in alle Arten von Operationen integriert: von Spionage und APTs bis hin zu Ransomware und Kryptomining.

Wie dateilose Malware im Inneren funktioniert

Um zu verstehen, wie das funktioniert, sollte man sich daran erinnern, dass die meisten normalen Anwendungen als verteilt werden. Eine Datei, die auf die Festplatte geschrieben und anschließend in den Speicher geladen wird. Wenn der Benutzer es ausführt. Dateilose Malware hingegen überspringt den ersten Schritt und materialisiert sich direkt im RAM mithilfe von Mechanismen des Betriebssystems selbst.

Viele Kampagnen basieren auf der Idee, „von der Natur zu leben“ (vom Land leben): der Angreifer missbraucht legitime Verwaltungsbefugnisse statt neue Binärdateien einzuführen. Unter Windows ist PowerShell das Paradebeispiel, aber auch WMI, mshta, rundll32, VBScript- oder JScript-Skripte und andere vertrauenswürdige Binärdateien (LoLBins) werden ausgenutzt.

Ein typisches Szenario wäre: Ein Benutzer öffnet ein Office-Dokument mit schädlichem Inhalt oder klickt auf einen Phishing-Link; von dort aus … Skript, das PowerShell aufruft oder ein anderes Tool, um den Code für die nächste Phase herunterzuladen, zu entschlüsseln oder in den Speicher einzufügen. All dies kann geschehen, ohne eine permanente Datei auf der Festplatte zu erstellen.

Ein weiterer häufiger Vektor besteht darin, Vorteile auszunutzen Sicherheitslücken zur Ausführung von Remote-CodeBeispielsweise durch Pufferüberläufe in Browsern, Plugins oder Serveranwendungen. Durch Ausnutzung dieser Schwachstelle kann der Angreifer direkt Shellcode innerhalb des betroffenen Prozesses ausführen und von dort aus die restlichen Komponenten in den Speicher laden.

Manche Varianten greifen sogar darauf zurück Windows-Registrierung oder geplante Aufgaben Um Skripte oder Befehle zu speichern, die den Angriff beim Systemstart oder der Benutzeranmeldung reaktivieren. Selbst wenn etwas in die Registry geschrieben wird, läuft die eigentliche Schadsoftware weiterhin im Arbeitsspeicher, was die Erkennung mit Tools erschwert, die sich ausschließlich auf das Dateisystem konzentrieren.

Infektionswege und Erstzugang

Die Haustür ist in der Regel recht klassisch: Phishing-E-Mails, schädliche Links und gefälschte Dokumente Sie bleiben die Könige des Erstzugriffs, obwohl im Hintergrund dateilose Techniken zum Einsatz kommen. Der Clou ist, dass in der gesamten Kette alles darangesetzt wird, den Speicherplatzbedarf auf der Festplatte zu minimieren.

In vielen Fällen werden sie verwendet Microsoft Office-Dokumente mit Makros Bei Aktivierung rufen diese Makros PowerShell oder WMI auf, um die nächste Phase des Angriffs in den Arbeitsspeicher herunterzuladen und auszuführen. Auch ohne Makros nutzen Angreifer Schwachstellen in Word, Excel usw. aus. PDF-Reader oder die Skript-Engine selbst, um die Codeausführung zu erreichen.

Ein anderer Ansatz besteht darin, direkt zu nutzen scheinbar harmlose ausführbare Dateien Die ausführbare Datei, die der Benutzer per E-Mail erhält oder aus dem Internet herunterlädt, kann ein schädliches Modul extrahieren und es mithilfe von Techniken wie Reflection in .NET in den Speicher laden, ohne es tatsächlich als separate Datei auf der Festplatte zu speichern.

Es gibt auch Kampagnen, die auf Webserver oder mit dem Internet verbundene Anwendungen abzielen, wobei die Schwachstelle für den Einsatz genutzt wird. Webshells mit dateilosen KomponentenEin aktuelles Beispiel ist der Einsatz von Godzilla und ähnlichen Tools, bei denen bösartiger Code über HTTP-Anfragen verbreitet und direkt in den Speicher des kompromittierten Servers eingeschleust wird.

Schließlich greifen Angreifer häufig auf folgende Methoden zurück: gestohlene ZugangsdatenWenn sie den Benutzernamen und das Passwort eines Administrators oder eines privilegierten Kontos erlangen, können sie sich über RDP oder andere Kanäle anmelden und manuell PowerShell-Skripte, WMI-Befehle oder administrative Tools starten, die die Malware in den Speicher laden, ohne neue ausführbare Dateien auf dem System zu hinterlassen.

Spezifische Techniken, die von dateiloser Malware verwendet werden

Einer der Schlüssel zu diesen Angriffen ist die Wiederverwendung von Native Windows-Tools als Vehikel für ihre Skripte. Dies führt dazu, dass sich schädliche Aktivitäten in normale administrative Aufgaben einfügen, was die Analyse und Reaktion erschwert.

Zu den gebräuchlichsten Techniken zählt die Verwendung von PowerShell als eingebetteter Code-Launcher direkt über die Kommandozeile. Beispielsweise wird ein verschleiertes Skript als Parameter übergeben, die Ausführungsrichtlinie deaktiviert, das Fenster ausgeblendet und eine Nutzlast direkt in den Speicher heruntergeladen, ohne dass eine .ps1-Datei oder eine verdächtige ausführbare Datei sichtbar bleibt.

Eine weitere sehr beliebte Taktik besteht darin, schädliche Skripte im Internet zu speichern. Windows Management Instrumentation (WMI)-AbonnementsIn regelmäßigen Abständen löst WMI das Skript aus, das Code aus dem Speicher ausführen, Verbindungen zu Kommando- und Kontrollservern herstellen oder neue Phasen der Infektion einleiten kann.

Ähnlich verwenden viele Gruppen das Windows-Registrierung und Aufgabenplanung als Zufluchtsort für ihre Skripte und Befehle. Anstatt eine ausführbare Datei im Autostart-Ordner abzulegen, definieren sie Startschlüssel oder geplante Aufgaben, die PowerShell-, mshta- oder rundll32-Skripte mit eingebettetem oder dynamisch generiertem Code ausführen.

Techniken sind auch zu sehen in Reflexion in .NETDabei handelt es sich um eine leichtgewichtige ausführbare Datei, die verschlüsselte oder komprimierte Assemblies enthält, die mithilfe von Reflection.Load direkt in den Speicher geladen werden, ohne jemals als .dll-Dateien auf die Festplatte geschrieben zu werden. Dies ermöglicht die Auslösung hochkomplexer Trojaner innerhalb eines einzigen, scheinbar normalen Prozesses.

Was kann ein dateiloser Angriff anrichten?

Trotz ihres Namens ist die Wirkung eines dateilosen Angriffs nicht begrenzt. Tatsächlich kann er Folgendes bewirken: die gleichen Funktionen wie herkömmliche Malware: Informationsdiebstahl, Datenverschlüsselung, laterale Bewegung, Spionage, Kryptowährungs-Mining oder Installation permanenter Hintertüren.

Viele dateilose Kampagnen verhalten sich wie ZugangsdatendiebDabei werden Passwörter, Sitzungstoken oder Authentifizierungs-Hashes aus dem Speicher sensibler Prozesse abgefangen. Dies erleichtert die Ausweitung von Berechtigungen, die Kompromittierung weiterer Systeme und die Aufrechterhaltung eines längerfristigen Zugriffs, ohne dass zusätzliche Binärdateien benötigt werden.

Andere konzentrieren sich auf dateilose RansomwareDabei wird ein Teil der Verschlüsselungs- und Kommunikationslogik direkt im Arbeitsspeicher ausgeführt. Obwohl gelegentlich eine Festplattenkomponente zur Bearbeitung einer großen Anzahl von Dateien benötigt wird, erfolgen das initiale Laden und die Steuerung des Angriffs dateilos, um eine frühzeitige Erkennung zu vermeiden.

Angreifer können auch installieren Rootkits oder fortgeschrittene RATs Sobald diese Tools eingerichtet sind, nutzen sie dateilose Kanäle, um Befehle zu empfangen, sich im Netzwerk zu bewegen und Module zu aktualisieren. Da sie in Systemprozesse oder kritische Dienste integriert sind, lassen sie sich besonders schwer entfernen.

Auf wirtschaftlicher Ebene bedeutet dies Folgendes: Datenverlust, Serviceunterbrechungen, behördliche Bußgelder und ReputationsschädenDa diese Angriffe oft monatelang unentdeckt bleiben, kann das Ausmaß der entwendeten Informationen und der Umfang des Datenlecks enorm sein.

Phasen eines dateilosen Malware-Angriffs

Obwohl die technischen Aspekte unterschiedlich sind, ähnelt der Lebenszyklus eines dateilosen Angriffs dem eines fortgeschrittenen Einbruchs. Welche Änderungen gibt es? In jeder Phase verwendete Mechanismen und die Art und Weise, wie sie sich tarnen.

Im Stadium der ErstzugriffDer Angreifer benötigt zunächst einen Zugang zum System: einen Klick auf einen Phishing-Link, das Öffnen eines Dokuments mit Makros, die Ausnutzung einer Sicherheitslücke auf einem Server oder die Wiederverwendung kompromittierter Zugangsdaten. Ziel ist es dann, Code im Zielsystem auszuführen.

Sobald dieser Schritt erreicht ist, beginnt die nächste Phase. Ausführung im SpeicherHier kommen PowerShell, WMI, mshta, rundll32, VBScript, JScript oder andere Interpreter zum Einsatz, um die Nutzdaten zu laden und zu aktivieren, ohne permanente ausführbare Dateien auf der Festplatte zu erzeugen. Der Code wird typischerweise verschleiert oder verschlüsselt und erst im Arbeitsspeicher entschlüsselt.

Dann beginnt die Verfolgungsjagd. AusdauerObwohl viele dateilose Payloads beim Neustart des Computers verschwinden, kombinieren raffinierte Angreifer im RAM residente Skripte mit Registry-Schlüsseln, geplanten Aufgaben oder WMI-Abonnements, die den Code jedes Mal neu starten, wenn eine bestimmte Bedingung erfüllt ist, wie z. B. Systemstart oder Benutzeranmeldung.

Schließlich Endziele Zu den Aktionen des Angreifers gehören Datendiebstahl und -exfiltration, Informationsverschlüsselung, die Verbreitung weiterer Schadsoftware, kontinuierliche Spionage und die Sabotage kritischer Systeme. All dies geschieht unter dem Versuch, möglichst unauffällig vorzugehen, um frühzeitige Warnmeldungen und forensische Analysen zu vermeiden.

Warum ist es so schwer zu erkennen?

Das große Problem bei dateiloser Malware ist, dass Es durchbricht das klassische Verteidigungsmodell, das auf Dateien und Signaturen basiert.Wenn keine verdächtige ausführbare Datei zur Analyse vorhanden ist, bleiben viele Antivirenprogramme blind für das, was im Speicher und in legitimen Prozessen geschieht.

Das Fehlen von Dateien auf der Festplatte bedeutet, dass Es gibt keine Objekte, die regelmäßig gescannt werden müssen. auf der Suche nach bekannten Mustern. Darüber hinaus wird durch die Nutzung von Binärdateien, die vom Betriebssystem selbst signiert sind, wie beispielsweise PowerShell.exe, wscript.exe oder rundll32.exe, schädliche Aktivität hinter Namen verschleiert, denen der Administrator normalerweise vertraut.

Darüber hinaus weisen viele geerbte Produkte eine Eingeschränkte Transparenz laufender ProzesseSie konzentrieren sich auf das Dateisystem und den Netzwerkverkehr, untersuchen aber kaum interne API-Aufrufe, Befehlszeilenparameter, Skriptverhalten oder Registry-Ereignisse, die einen dateilosen Angriff verraten könnten.

Die Angreifer, die sich dieser Einschränkungen bewusst sind, greifen auf folgende Methoden zurück: Verschleierungs-, Verschlüsselungs- und CodefragmentierungstechnikenZum Beispiel zerlegen sie ein bösartiges Skript in mehrere Fragmente, die in Echtzeit zusammengesetzt werden, oder sie verstecken Anweisungen in Bildern, eingebetteten Ressourcen oder scheinbar harmlosen Zeichenketten.

In Umgebungen, in denen Systeme selten neu gestartet werden (kritische Server, Produktionsterminals usw.), kann speicherresidente Malware über Wochen oder Monate aktiv bleiben ohne entdeckt zu werden, insbesondere wenn man sich vorsichtig bewegt und das Verkehrsaufkommen oder auffällige Handlungen minimiert.

Grenzen traditioneller Verteidigungsmethoden

Die erste Reaktion vieler Anbieter auf diese Bedrohung bestand darin, zu versuchen Tools wie PowerShell oder Office-Makros einschränken oder direkt blockierenObwohl dadurch einige Risikofaktoren reduziert werden können, stellt dies in den meisten Organisationen keine realistische oder vollständige Lösung dar.

PowerShell ist zu einem Schlüsselkomponente für die Windows-SystemadministrationAufgabenautomatisierung, Softwarebereitstellung und Serververwaltung. Eine vollständige Blockierung würde die IT-Workflows lahmlegen und die Überarbeitung zahlreicher interner Prozesse erzwingen.

Darüber hinaus gibt es aus Sicht des Angreifers mehrere Möglichkeiten, Umgehung einer einfachen BlockierungsrichtlinieEs gibt Techniken, um die PowerShell-Engine aus Bibliotheken (DLLs) mit rundll32 zu laden, Skripte mit Tools wie PS2EXE in ausführbare Dateien umzuwandeln, modifizierte Kopien von PowerShell.exe zu verwenden oder sogar PowerShell-Skripte in PNG-Bilder einzubetten und sie mit verschleierten Befehlszeilen auszuführen.

Etwas Ähnliches geschieht mit Office-Makros: Viele Unternehmen sind von ihnen abhängig. Um Berichte, Berechnungen und Geschäftsprozesse zu automatisieren. Die globale Deaktivierung dieser Funktionen kann interne Anwendungen beeinträchtigen, während die alleinige statische Analyse von VBA-Code häufig zu einer schwer zu kontrollierenden Rate an falsch positiven und falsch negativen Ergebnissen führt.

Darüber hinaus basieren einige Ansätze auf Cloudbasierte Erkennung als Dienstleistung Sie benötigen eine ständige Verbindung und arbeiten mitunter zu verzögert, um die Ausführung der Schadsoftware zu verhindern. Erfolgt die Blockierungsentscheidung erst Sekunden oder Minuten später, kann der Schaden bereits entstanden sein.

Fokusverlagerung: von Dateien zu Verhalten

Da die Datei nicht mehr das Hauptelement ist, konzentrieren sich moderne Verteidigungslösungen auf das Verhalten der Prozesse überwachen Anstatt nur den Inhalt der Dateien zu untersuchen, geht es darum, die Muster schädlicher Aktivitäten zu analysieren, obwohl es Tausende von Malware-Varianten gibt.

Dieser Ansatz stützt sich auf Motoren von Verhaltensanalyse und maschinelles Lernen die kontinuierlich überwachen, was jeder Prozess tut: welche Befehle er ausführt, welche Systemressourcen er berührt, wie er mit der Außenwelt kommuniziert und welche Änderungen er in die Umgebung einzuführen versucht.

Ein Office-Prozess kann beispielsweise als verdächtig gekennzeichnet werden, wenn führt einen verschleierten PowerShell-Befehl aus mit Parametern zum Deaktivieren von Sicherheitsrichtlinien und zum Herunterladen von Code von einer verdächtigen Domain. Oder ein Prozess, der ohne ersichtlichen Grund plötzlich auf Hunderte von sensiblen Dateien zugreift oder kritische Registrierungsschlüssel ändert.

Die neueste Generation von EDR-Systemen und XDR-Plattformen sammelt Detaillierte Telemetrie von Endpunkten, Servern und Netzwerkund sind in der Lage, vollständige Abläufe (manchmal auch StoryLines genannt) zu rekonstruieren, die aufzeigen, wie ein Vorfall entstanden ist, welche Prozesse daran beteiligt waren und welche Veränderungen die betroffene Maschine erlitten hat.

Eine gute Verhaltensanalyse-Engine erkennt nicht nur die Bedrohung, sondern kann auch böswillige Aktionen abschwächen oder automatisch rückgängig machen: Beteiligte Prozesse beenden, Computer isolieren, verschlüsselte Dateien wiederherstellen, Änderungen an der Registrierung rückgängig machen und die Kommunikation mit Kommando- und Kontrolldomänen unterbrechen.

Technologien und Quellen wichtiger Ereignisse in Windows

Zur Analyse dateiloser Bedrohungen in Windows ist es besonders hilfreich, folgende Vorteile zu nutzen: native Betriebssystem-Telemetriemechanismen, die bereits vorhanden sind und viele Informationen darüber liefern, was hinter den Kulissen passiert.

Einerseits ist Ereignisablaufverfolgung für Windows (ETW)ETW ist ein Framework, das die Aufzeichnung hochdetaillierter Ereignisse im Zusammenhang mit Prozessausführung, API-Aufrufen, Speicherzugriffen und anderen internen Systemaspekten ermöglicht. Viele EDR-Lösungen nutzen ETW, um atypisches Verhalten in Echtzeit zu erkennen.

Ein weiteres wichtiges Element ist Anti-Malware-Scan-Schnittstelle (AMSI)AMSI ist eine von Microsoft entwickelte API, die es Sicherheits-Engines ermöglicht, Skripte und dynamische Inhalte unmittelbar vor ihrer Ausführung zu untersuchen, selbst wenn diese verschleiert sind. AMSI ist besonders nützlich für PowerShell, VBScript, JScript und andere Skriptsprachen.

Darüber hinaus werden moderne Motoren regelmäßig analysiert. sensible Bereiche wie die Registrierung, die Aufgabenplanung, WMI-Abonnements oder SkriptausführungsrichtlinienVerdächtige Änderungen in diesen Bereichen sind oft ein Zeichen dafür, dass ein dateiloser Angriff sich festgesetzt hat.

All dies wird durch Heuristiken ergänzt, die nicht nur den aktuellen Prozess, sondern auch die zukünftigen Entwicklungen berücksichtigen. Ausführungskontext: woher der übergeordnete Prozess stammt, welche Netzwerkaktivität davor und danach beobachtet wurde, ob es ungewöhnliche Ausfälle, anomale Blockierungen oder andere Signale gab, die zusammengenommen den Verdacht erhärten.

Praktische Erkennungs- und Präventionsstrategien

In der Praxis beinhaltet der Schutz vor diesen Bedrohungen die Kombination verschiedener Maßnahmen. Technologie, Prozesse und SchulungEs reicht nicht aus, ein Antivirenprogramm zu installieren und es dann zu vergessen; es bedarf einer mehrschichtigen Strategie, die auf das tatsächliche Verhalten dateiloser Malware abgestimmt ist.

Auf technischer Ebene ist der Einsatz unerlässlich. EDR- oder XDR-Lösungen Diese Tools müssen Verhaltensanalysefunktionen und Transparenz auf Prozessebene bieten. Sie müssen Aktivitäten in Echtzeit aufzeichnen und korrelieren, anomales Verhalten blockieren und dem Sicherheitsteam klare forensische Informationen liefern können.

Es ist auch bequem Einschränkung der Verwendung von PowerShell, WMI und anderen Interpretern auf das unbedingt Notwendige, durch Anwendung von Zugriffskontrolllisten, Skriptsignatur (Codesignatur) und Ausführungsrichtlinien, die einschränken, welcher Code mit welchen Berechtigungen ausgeführt werden kann.

Auf Anwenderseite bleibt die Schulung entscheidend: Es ist notwendig, die Bewusstsein für Phishing, verdächtige Links und unerwartete DokumenteDies ist besonders wichtig für Mitarbeiter mit Zugriff auf sensible Informationen oder weitreichenden Berechtigungen. Durch die Verringerung unbedachter Klicks wird die Angriffsfläche deutlich reduziert.

Schließlich darf man die Patch- und Software-Update-ZyklusViele dateilose Angriffsketten nutzen bekannte Sicherheitslücken aus, für die bereits Patches existieren. Durch die Aktualisierung von Browsern, Plugins, Unternehmensanwendungen und Betriebssystemen werden Angreifern wertvolle Einfallstore verschlossen.

Managed Services und Bedrohungsanalyse

In mittelständischen und großen Unternehmen, in denen die Anzahl der Ereignisse enorm ist, ist es für das interne Team schwierig, alles im Blick zu behalten. Deshalb gewinnen sie immer mehr an Beliebtheit. Überwachungs- und Managed-Response-Dienste (MDR/EMDR) und externen Security Operations Centern (SOCs).

Diese Dienstleistungen kombinieren fortschrittliche Technologie mit Analystenteams überwachen rund um die Uhr. Die Umgebungen ihrer Kunden werden analysiert, um schwache Signale zu korrelieren, die sonst unbemerkt blieben. Ziel ist es, typische Verhaltensweisen dateiloser Malware zu erkennen, bevor Schaden entsteht.

Viele SOCs stützen sich auf Frameworks wie beispielsweise MITRE ATT & CK um die Taktiken, Techniken und Vorgehensweisen (TTPs) der Angreifer zu katalogisieren und spezifische Regeln zu erstellen, die auf die Ausführung im Arbeitsspeicher, den Missbrauch von LoLBins, bösartige WMI oder heimliche Datenexfiltrationsmuster ausgerichtet sind.

Neben der kontinuierlichen Überwachung umfassen diese Dienstleistungen typischerweise Folgendes: forensische Analyse, Reaktion auf Sicherheitsvorfälle und Beratung um die Sicherheitsarchitektur zu verbessern, wiederkehrende Sicherheitslücken zu schließen und die Kontrollen auf Endpunkten und Servern zu verstärken.

Für viele Unternehmen ist das Outsourcing eines Teils dieser Funktion der praktikabelste Weg, um mit solch komplexen Bedrohungen Schritt zu halten, da sich nicht jeder ein internes Team leisten kann, das sich auf die Jagd nach hochentwickelter Malware spezialisiert hat.

Die Realität ist, dass dateilose Malware unser Verständnis von Endpunktsicherheit für immer verändert hat: Dateien sind nicht mehr der einzige wichtige IndikatorNur eine Kombination aus umfassender Transparenz, Verhaltensanalyse, guten Managementpraktiken und einer ausgeprägten Cybersicherheitskultur kann dies im Alltag in Schach halten.