Webcast
Was CIOs gegen Fileless Malware tun können
Foto: vs148 - shutterstock.com
Als "Fileless Malware" gelten Attacken, bei denen der Schadcode nicht auf der Festplatte gespeichert wird. Daher ist er umso schwerer zu entdecken. Über Schutz und Gegenmaßnahmen informiert ein Webcast der Computerwoche. Christian Herud, Product Sales Specialist der Nuvias Deutschland GmbH, informiert über die Gefahren, die bereits heute von Fileless Malware ausgehen und über künftige Entwicklungen. Fachjournalist Sven Hansel von der Computerwoche moderiert den Webcast.
"Schadcode von Fileless Malware ist schwer zu entdecken, weil der bösartige Code nicht als Datei auf der Festplatte gespeichert wird", führt der Moderator ins Thema ein. Doch welche Cyberattacken bereiten den Webcast-Zuschauern die meisten Sorgen? Das erhebt Hansel in einer spontanen Umfrage. Deren Ergebnis ist eindeutig: Phishing führt die Liste mit 71 Prozent der Nennungen an. Es folgt Ransomware mit 50 Prozent. Fileless Malware nennen zusätzlich 21 Prozent der Teilnehmer.
Ob sie selbst solchen Angriffen bereits ausgesetzt waren, das können übrigens 68 Prozent der Webcast-Teilnehmer nicht mit Sicherheit sagen. Sieben Prozent erklären, dass sie bereits Angriffsziel waren. Ein Ergebnis, das Nehud nicht überrascht: Er nennt diese Art von Schadware "einen sehr scheuen Kukuck, der sich eingenistet hat". Ziel solcher Angriffe ist es, möglichst lange unerkannt zu bleiben, um Informationen abzugreifen oder einzelne Personen auszuhorchen und sich damit Zugriff auf Passwörter und verschlüsselte Daten zu verschaffen.
"Zweckentfremdung von Bordmitteln"
Bei Fileless Malware machen sich Angreifer Dienstprogramme zunutze, die standardmäßig im System installiert sind. Dabei werden legitime Tools verwendet. "Es geht um die Zweckentfremdung von Bordmitteln, mit denen unauffällig ein Download gestartet wird", erklärt Herud. Nicht selten verbinden Cyberkriminelle das mit Social Engineering.
Grundsätzlich haben Unternehmen nun zwei Möglichkeiten: "Sie könnten alles abschalten, was gefährlich sein könnte", so Herud - um gleich nachzuschieben, dass das nicht realistisch ist. "Oder Sie können auf die Awareness der Mitarbeiter vertrauen. Dass die nicht auf alles klicken, was nicht bei drei auf den Bäumen ist!" Ebenfalls eine Alternative mit Tücken.
Als sinnvollere Lösung präsentiert der Experte AMSI Anti-Malware Scan Interface. Deren Funktion erklärt er so: AMSI empfängt Skripte und Projekte von 3rd-Party-Programmen, verarbeitet sie und überträgt sie zum Scannen an den Kaspersky AMSI Protection Provider. Dieser arbeitet in drei Schritten: der statische Code ist zunächst codiert und nicht lesbar, auch nicht für AV. Im zweitens Schritt wird der Code zur Laufzeit decodiert und im dritten auch für die AV lesbar gemacht.
Der Ansatz von Kaspersky besteht in einer adaptiven Anomaliesteuerung, so der Experte weiter. "Wir benutzen eine KI, um adaptiven Schutz zu bieten, anstatt zu viel zu blockieren und den Nutzer damit am Arbeiten zu behindern", erklärt Herud.
Aktionen blockieren, die uncharakteristisch für das Unternehmen sind
Die Adaptive Anomaly Control blockiert Aktionen, die uncharakteristisch für das Unternehmen sind. Sie erkennt nicht-Typisches Verhalten in Office- und anderen Anwendungen, WMI, Skripten und Frameworks. Adaptiv heißt, dass der Smart-Modus die Baseline für jedes Gerät einzeln erstellt und automatisch in den Benachrichtigungs- und Blockierungsmodus wechselt.
Herud erinnert an das bekannte Beispiel des "WannaCry"-Szenarios bei der Deutschen Bahn. Auf den Monitoren, die eigentlich die Passagiere über Abfahrtszeiten informieren, poppte das Fenster mit der Lösegeld-Forderung auf. Der Experte kommentiert: "So etwas will niemand!"