Schwer zu entdecken: Fileless Malware

Die Schadsoftware lädt Code und Scripte direkt aus dem Internet, ohne Dateien auf dem Computer zu speichern

Datum
13. März 2017
Autor

Spezialisten von Cisco Talos und Kaspersky berichten über sogenannte Fileless Malware. Die Schadsoftware nutzt auf dem Computer vorhandene Werkzeuge. Mit Powershell und NETSH würden Code und Scripte von Servern im Internet direkt in den Speicher des Systems geladen. Die Schadfunktion trägt sich in die Registy ein und nistet sich dauerhaft ein.

Die Infektion erfolgt – ganz klassisch – über ein präpariertes Word-Dokument. Stimmt der Anwender zu, wird das Makro ausgeführt, ohne Dateien auf dem Computer zu speichern. Darum ist Fileless Malware für Virenscanner schwer zu entdecken und hinterlässt kaum Spuren für eine spätere forensische Untersuchung.

Einschätzung

„Dateilose“ Malware wie Poweliks ist schon seit 2014 bekannt. Das Potenzial dieses Angriffsvektors scheint nun vermehrt genutzt zu werden. Der Vorteil für die Angreifer liegt in der erschwerten Erkennung.

Die Herangehensweise stellt für System- und Sicherheitsverantwortliche eine weitere Herausforderung dar. Eine Antivirensoftware kann E-Mails mit schädlichen Anhängen abfangen und den Zugriff verhindern. Gelingt dies nicht und der Computer ist infiziert, reicht eine Antivirensoftware als Schutz nicht mehr aus. Zusätzlichen Schutz können Firewalls und Router bieten. Sie könnten beispielsweise IP-Adressen, die als Command and Control Server bekannt sind, blockieren. Oder ein Proxy könnte den Verkehr zwischen Client und Server prüfen.

Auch die Möglichkeiten der forensischen Maßnahmen sind deutlich eingeschränkt. Spuren finden sich nur im flüchtigen Arbeitsspeicher . Im besten Fall also an einem Rechner, der noch nicht neu gestartet worden ist.

Zielgruppen

  • IS- und IT-Sicherheitsverantwortliche
  • Management
  • Interessierte Kreise