Fileless Malware

Wie Hacker unbemerkt Ihre Systeme infiltrieren

24.10.2017 von Maria Korolov und Florian Maier
Um in Ihr Unternehmensnetzwerk zu gelangen, brauchen kriminelle Hacker heutzutage keine klassische Malware mehr. Das Zauberwort heißt Fileless.

"Wir beobachten das jeden Tag", sagt Steven Lentz, CSO bei Samsung Research America. "Irgendetwas kommt durch, ein Exploit, unbekannte Ransomware. Wir haben solche Angriffe bereits mehrfach abgewehrt - entweder auf Netzwerk- oder Endpunkt-Ebene." Bei den Attacken, von denen der Samsung-CSO so sorgenvoll spricht, handelt es sich um Angriffe mit "Fileless Malware" - auch bekannt unter der Bezeichnung "Zero-footprint Malware", "Macro Malware" oder "Non-Malware".

Mit Hilfe von Fileless-Malware-Attacken versuchen kriminelle Hacker unbemerkt Unternehmensnetzwerke zu infiltrieren.
Foto: Ethan Daniels - shutterstock.com

Das Besondere an dieser Art des Angriffs auf die IT-Sicherheit: Während der Attacke wird keine neue Software installiert. Klassische Antivirus-Tools haben es mit Fileless Malware also besonders schwer.

"Hierin liegt die echte Bedrohung"

Auch Whitelisting umschiffen solche Angriffe geschickt. Das soll eigentlich dafür sorgen, dass nur geprüfte Applikationen installiert werden können. Fileless Malware nutzt genau diese Apps, die bereits installiert und damit autorisiert sind.

Dabei sind die Begriffe "Fileless", "Zero-Footprint" und "Non-Malware" technisch eigentlich unzureichend, wie Cristiana Brafman Kittner, Senior Analyst beim Security Provider FireEye, erklärt: "Malware, die keinerlei Spuren hinterlässt, gibt es nicht. Es gibt immer Wege, sie zu entdecken, sogar, wenn sie sich nicht auf der Festplatte installiert." Zudem, fügt die Expertin hinzu, könne Fileless Malware auch Antivirus-Lösungen nicht komplett umgehen. Schließlich sei die Software in der Lage, unter Umständen auch infizierte Anhänge oder Links erkennen - auch wenn kein .exe-File vorhanden ist.

Dennoch: Mit Fileless Malware steigen die Erfolgschancen krimineller Hacker. "Hierin liegt die echte Bedrohung", analysiert Lentz. Um dieser Bedrohung Herr zu werden, setzt man bei Samsung Research auf verhaltensbasierte Systeme. So konnte man bereits einige maliziöse Machenschaften aufdecken, wie Lentz erzählt: "Bei Besuchern, die sich in unser Unternehmensnetzwerk eingeloggt haben, haben wir bereits Keylogger und andere Schädlinge entdeckt, die von der installierten Antivirus-Software nicht erkannt wurden."

Hacker-Trend Fileless Malware

Laut Mike Viscusco, CTO beim Security-Anbieter Carbon Black, hat die Zahl der Angriffe mit Fileless Malware von rund drei Prozent auf 13 Prozent zugelegt - und zwar im Zeitraumvon Januar bis November 2016. "Und es ist keine Ende in Sicht", weiß Viscusco. "Inzwischen besitzt eine von drei Infektionen eine Fileless-Komponente."

Das untermauern auch die Daten der Carbon-Black-Kunden. Eine interne Studie des Security-Anbieters hat mehr als 1000 Kunden und rund 2,5 Millionen Endpunkte untersucht. Das Ergebnis: So gut wie jedes Unternehmen wurde dabei zum Ziel von Fileless Malware. Für die Angreifer macht diese Art des Angriffs Sinn, wie Viscuso weiß: "Ich habe über zehn Jahre als Hacker für die US-Regierung gearbeitet - unter anderem fürNSA und CIA. Ich sehe die Dinge aus Sicht eines Angreifers."

Und aus deren Perspektive ist es nun einmal so, dass die Installation von Software auf dem Rechner eines Opfers potenziell immer auch Aufmerksamkeit erregt. Ein Angriff mit Fileless Malware ist fürkriminelle Hacker deshalb so attraktiv, weil die Chance unbemerkt zu bleiben deutlich höher ist. Das treibt gleichzeitig auch die Erfolgschancen einer Attacke deutlich nach oben.

Dabei müssen die Cyberkriminellen auch keinerlei Abstriche machen, wie Viscuso erläutert: "Die Payloads sind exakt dieselben. Wenn ein Angreifer beispielsweise einen Ransomware-Angriff plant, kann er dazu eine Binärdatei installieren oder Powershellnutzen. Letztgenanntes System-Tool kann alles, was eine neue Applikation auch kann. Es gibt bei Angriffen mit FilelessMalware keinerlei Einschränkungen für kriminelle Hacker."

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

Auch Sicherheitsanbieter McAfee berichtet von einem Anstieg der Angriffe mit Fileless Malware. Insbesondere die Unterkategorie der "Macro Malware" befindet sich demnach im Aufwind: Rund 400.000 solche Angriffe zählten die Sicherheitsexperten Ende 2015 - bis zum zweiten Quartal 2017 stieg die Zahl aufüber 1,1 Millionen. Laut Christian Beek von McAfee liegt das in erster Linie an der steigenden Verbreitung und Verfügbarkeit von Toolkits, die auch Exploits dieser Art beinhalten.

Um den kriminellen Hackern einen Strich durch die Fileless-Rechnung zu machen, setzen McAfee und andere Security-Anbieter auf die Kombination von verhaltensbasierten und signaturbasierten Defensivmaßnahmen, wie Beek erklärt: "Wenn beispielsweise Word gestartet wird und gleichzeitig eine PowerShell-Verbindung besteht, ist das höchst verdächtig. Wir sind in der Lage, diesen Prozess in Quarantäne zu verfrachten oder können ihn direkt im Keim ersticken."

So funktioniert Fileless Malware

Wie bereits erwähnt, nutzen Angriffe mit Fileless Malware die Applikationen auf dem Rechner aus, die bereits installiert und vermeintlich sicher sind. Ganz konkret nehmen entsprechendeExploit Kits oft den Browser ins Visier (Add-Ons), nutzen Word-Makros oder auch Powershell.

"Um einen Fileless-Angriff erfolgreich durchzuführen, sind Schwachstellen in der bereits installierten Software zwingend erforderlich", so Jon Heimerl, Manager bei NTT Security. "Der wichtigste Schritt, um sich zu schützen, besteht also darin, seine Systeme auf dem neuesten Stand zu halten. Und zwar nicht nur in Sachen Betriebssystem, sondern auch was die Software angeht. Browser Plugins werden beim Patch Management allzu häufig übersehen und sind deshalb das Einfallstor Nummer Eins, wenn es um Attacken mit Fileless Malware geht."

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Angriffe mit Hilfe von Office-Makros können hingegen relativ einfach verhindert werden, indem man die Nutzung von Makros schlicht nicht aktiviert. Doch kriminelle Hacker haben längst auch andere Wege entdeckt, Ihre Systeme unbemerkt zu infiltrieren: Schwachstellen in Adobes PDF Reader oder Javascript werden ebenfalls gerne für Fileless-Angriffe verwendet.

Der kürzlich bekannt gewordene Hackerangriff auf den US-Finanzdienstleister Equifax ist ebenfalls ein Beispiel für einen erfolgreichen Fileless-Malware-Angriff, wie Satya Gupta, Gründer und CTO von Virsec Systems weiß: "Bei diesem Angriff nutzten die Angreifer eine Schwachstelle in Apache Struts. Bei dieser Art von Angriff validiert eine mit Schwachstellen behaftete Applikation den Input des Users nicht ordnungsgemäß. Bei diesem Input kann es sich auch um Befehle in Zusammenhang mit dem Betriebssystem handeln.

In der Folge können diese vom Rechner des Opfers mit denselben Privilegien durchgeführt werden, über die die infizierte Applikation verfügt. Dieser Mechanismus hebelt also jede Anti-Malware-Lösung komplett aus, die kein ‚Auge‘ auf den Ausführungspfad der Applikation wirft, um feststellen zu können, ob hier alles mit rechten Dingen zugeht." Ein Patch hätte den Equifax-Hack wohl verhindern können, meint Gupta. Dieser war bereits seit März 2017 verfügbar.

Anfang des Jahres wurden bei einem Angriff mit Fileless Malware außerdem mehr als 140 Unternehmen und Institutionen infiziert - darunter Banken, Telekommunikationsanbieter und Regierungsbehörden in mehr als 40 Ländern. Bemerkt wurde die Kompromittierung erst, als Sicherheitsforscher von Kaspersky Labs maliziöse Powershell-Skripte in der Registry der Unternehmensnetzwerke entdeckte. Laut den Forschern war der Hackerangriff nur über einen Blick auf RAM, Netzwerk und Registrierungsdatenbank zu entdecken.

Ein weiterer, Schlagzeilen-trächtiger Fileless-Fall war laut Carbon Black auch der Hackerangriff auf das Democratic National Commitee. Speziell für Hacker, die möglichst lange unentdeckt bleiben wollen, sind diese Angriffe verlockend. "Wir haben eine ganze Reihe von Cyberspionen beobachtet, die diese Techniken anwenden und weiter verfeinern, um einer Entdeckung zu entgehen", sagt Security-Expertin Kittner. "Darunter befinden sich auch Hacker-Gruppen aus China und Nordkorea."

Bitcoin-Mining mit Malware

Ein relativ neues, kommerzielles Anwendungsfeld für Fileless Malware - beziehungsweise auf diesem Weg infizierte Rechner - haben kriminelle Hacker ebenfalls bereits erschlossen: Bitcoin Mining. "Cryptominer versuchen sich direkt in den Speicher zu schieben und nutzen die Eternal-Blue-Schwachstelle, um sich hunderttausendfach innerhalb eines Unternehmensnetzwerks weiterzuverbreiten", erklärt Eldon Sprickerhoff, Gründer von eSentire, die Vorgehensweise der Hacker.

Normalerweise müssen Bitcoin Miner spezielle Hardware anschaffen. Die steigenden Strompreise sorgen dafür, dass sich mit dem Schürfen der digitalen Währung kaum noch Profit machen lässt. Durch die Übernahme von Unternehmens-Rechnern und -Servern wollen kriminelle Hacker gleich beide Kostenfaktoren eliminieren. Unternehmen sollten nach ungewöhnlich hoher CPU-Auslastung Ausschau halten, empfiehlt Sprickerhoff. Das könne ein Indikator dafür sein, dass im Netzwerk unbemerkt und ungewollt Bitcoin Mining betrieben wird.

Sämtliche Angriffe mit Fileless Malware aufdecken können aber selbst verhaltensbasierte Analytics-Systeme nicht, wie Tod Beardsley, Research Director bei Rapid7 deutlich macht: "Sie sind davon abhängig, ob Sie es mitbekommen wenn ungewöhnliche Dinge passieren." Diese Angriffe festzustellen, bevor Alarm ausgelöst wird, sei ein äußerst schwieriges Unterfangen so der Experte. "Wir sehen natürlich nur die relativ plumpen Attacken. Wenn ein professioneller Angreifer mit Knowhow alles daran setzt, unentdeckt zu bleiben, schafft er das in der Regel auch."

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.