Speicherbasierte Malware-Angriffe
Wie kann man sich vor Fileless Malware schützen?
Downloads
Speicherbasierte- oder „living off the land“-Angriffe
Vielleicht haben Sie schon mal das Szenario erlebt, bei dem ihr Netzwerk durch eine Client-seitige Malware infiziert wurde, Sie aber keinerlei Schadsoftware aufspüren konnten?
Dann haben Sie es wahrscheinlich mit einem sog. Fileless Malware- (oder auch Speicherbasierten-, Non-Malware, oder „living off the land“) Angriff zu tun. Diese Angriffsvariante kommt ursprünglich aus der Ecke staatlich geförderter Angriffe und wird heute zunehmend bei gewinnorientierten Angriffskampagnen verwendet. Die sog. dateilose Malware, wobei die Namensgebung dafür nicht ganz richtig ist, wurde dazu entworfen, um traditionelle Anti-Virus- und Endpoint-Security Lösungen geschickt umgehen zu können.
Funktionsweise
Die Angreifer versuchen zunächst auf legitime Admin-, Fernzugriffs- und Penetrationstools, die auf dem Client-OS des Opfers als vertrauenswürdig gelten, einen Zugriff zu bekommen. Über diese Tools, wie beispielsweise PowerShell oder Metasploit, wird dann ein kleiner schadhafter Script-Code im Speicher des Opferrechners abgelegt, der nie auf der Festplatte ausgeführt werden muss und daher auch keine aufspürbaren Dateien auf dem infizierten Rechner hinterlässt. Schlechte Aussichten für die Erkennung und forensische Überprüfung von traditionellen Sicherheitslösungen.
Carbon Black hat dazu bereits Ende 2016 ein sehr interessantes White Paper (siehe downloads) veröffentlicht: Non-Malware and Ransomware .
Auch Candid Wueest von Symantec hat das Thema wieder aufgegriffen und eine entsprechende Analyse in seinem Blog veröffentlicht. Zudem wird in dem neuesten Symantec Threat Report Juli 2017 (siehe downloads) über diese „living off the land“ Angriffstaktiken näher eingegangen.
Eines vorweg: Eine einfache Lösung gegen diese Angriffstaktik gibt es nicht. Es erfordert auf jeden Fall einen mehrstufigen Ansatz, der bei der Benutzersensibilisierung anfängt und sich weiter über die Bedrohungserkennung mit 24/7 Monitoring und Alarmierung, Remote Incident-Untersuchungen, sowie einer proaktiven Bedrohungsanalyse ziehen muss.
Trustwave hatte im April bereits auf die Weiterentwicklung der Carbanak-Kampagnen hingewiesen, die durch die permanente Modifizierung der Script-Codes, mit dieser Angriffsvariante atemberaubende Erfolge erzielen konnte.
Dazu hat Trustwave einige Empfehlungen herausgegeben, mit denen man sich auch gegen ähnlich schwer zu erkennende Malware-Angriffe wappnen kann.
- Regelmäßige Sensibilisierung der Mitarbeiter, mit Schwerpunkt auf Speer Phishing.
- Durchführung von Mock Spear Phishing-Übungen, bei der Mitarbeiter von den Admins eine „Lock E-Mail“ bekommen, die auf eine, von der IT-Abteilung kontrollierte Website, verweist.
- Verwenden Sie einen E-Mail-Server oder eine Appliance, die mit der Malware-Erkennung behilflich sein kann, z. B. das Scannen eingehender E-Mail-Anhänge für Base64-encoded PowerShell Scripts, in der sich die Malware „versteckt“
- Deaktivieren Sie Makros standardmäßig auf allen Office-Anwendungen (auch wenn der Benutzer sie wieder aktivieren kann).
- Bereitstellen einer SIEM-Lösung oder eines anderen Log-and-Event-Aggregationssystems, mit denen der Netzwerkverkehr während und nach einem Angriff untersucht werden kann.
- Stellen Sie sicher, dass Intrusion Detection Regeln Metasploit Module erkennen können.
- Verlassen Sie sich auf Bedrohungsintelligenz-gestützte Software-Beschränkungsrichtlinien, wie z. B. die Verhinderung der Programmausführung aus C:\Windows\ Temp.
- Genehmigen Sie nur die PowerShell und VBS Script Whitelists des eigenen Unternehmens.
- Führen Sie eine kontinuierliche DNS-Überwachung mit Schwellenwerten für das System durch, die übermäßige DNS-Abfragen während einer ausgewählten Zeit ausgeben.
- Beschränken Sie den DNS-Verkehr, damit interne Systeme nur Ihre DNS-Server abfragen können.
Falls für diese Empfehlungen das interne Fachwissen oder die Ressourcen in der Organisation fehlen, sollte man sich ernsthaft über eine Partnerschaft mit einem Managed Security Service Provider (MSSP) Gedanken machen, der Ihnen bei der Verbesserung ihrer Sicherheitsstrategie helfen kann.