Dateilose Malware-Angriffe, Schutz und Erkennung

Dateilose Malware ist vielleicht ein neuer Begriff für die meisten, aber die Sicherheitsbranche kennt sie seit Jahren. Anfang dieses Jahres waren über 140 Unternehmen weltweit von dieser Dateilosen Malware betroffen - einschließlich Banken, Telekommunikation und Regierungsorganisationen. Dateilose Malware, wie der Name schon sagt, ist eine Art von Malware, die keine Dateien verwendet. Allerdings behaupten einige Sicherheitsfirmen, dass der dateilose Angriff eine kleine Binärdatei im kompromittierenden Host hinterlässt, um den Malware-Angriff auszulösen. Solche Angriffe haben in den letzten Jahren einen deutlichen Anstieg erfahren und sind riskanter als die herkömmlichen Malware-Angriffe.

Dateilose Malware-Angriffe

Dateilose Malware-Attacken, auch bekannt als Nicht-Malware-Angriffe . Sie verwenden eine typische Reihe von Techniken, um in Ihre Systeme zu gelangen, ohne eine erkennbare Malware-Datei zu verwenden. In den letzten Jahren sind die Angreifer schlauer geworden und haben viele verschiedene Wege entwickelt, den Angriff zu starten.

Dateilose Malware infiziert die Computer und lässt keine Dateien auf der lokalen Festplatte zurück, ohne die traditionellen Sicherheits- und Forensik-Tools zu umgehen.

Was an diesem Angriff einzigartig ist, ist die Verwendung einer hochentwickelten bösartigen Software, die sich ausschließlich im Speicher eines kompromittierten Rechners befindet, ohne Spuren im Dateisystem des Rechners zu hinterlassen. Dateilose Malware ermöglicht es Angreifern, den meisten Endpoint-Sicherheitslösungen, die auf der Analyse statischer Dateien (Anti-Viren) basieren, zu entgehen. Die neuesten Fortschritte bei der dateilosen Malware zeigen, dass sich die Entwickler von der Verschleierung der Netzwerkoperationen auf die Vermeidung der Erkennung lateraler Bewegungen in der Infrastruktur des Opfers verlagern, so Microsoft.

Die dateilose Malware befindet sich im Random Access Memory Ihres Computersystems und kein Antivirenprogramm prüft den Speicher direkt - so ist es der sicherste Modus für die Angreifer, in Ihren PC einzudringen und alle Ihre Daten zu stehlen. Selbst die besten Antivirenprogramme vermissen manchmal die Malware, die im Speicher läuft.

Einige der jüngsten Fileeless Malware-Infektionen, die Computersysteme weltweit infiziert haben, sind - Kovter, USB-Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 usw.

Wie funktioniert Dateilose Malware

Die dateilose Malware, wenn sie im Speicher landet, kann Ihre systemeigenen Windows-System-Tools wie PowerShell , SC.exe bereitstellen und netsh.exe , um den bösartigen Code auszuführen und den Administratorzugriff auf Ihr System zu erhalten, damit Sie die Befehle ausführen und Ihre Daten stehlen können. Dateilose Malware kann sich manchmal auch in Rootkits oder der Registry des Windows-Betriebssystems verstecken.

Sobald die Angreifer den Windows-Thumbnail-Cache verwenden, wird der Malware-Mechanismus ausgeblendet. Die Malware benötigt jedoch immer noch eine statische Binärdatei, um auf den Host-PC zu gelangen, und E-Mail ist das am häufigsten verwendete Medium. Wenn der Benutzer auf den schädlichen Anhang klickt, schreibt er eine verschlüsselte Nutzlastdatei in die Windows-Registrierung.

Dateilose Malware ist auch dafür bekannt, Tools wie Mimikatz und Metaspoilt zu verwenden In den Speicher Ihres PCs einlesen und die dort gespeicherten Daten lesen. Diese Tools helfen den Angreifern, tiefer in Ihren PC einzudringen und alle Ihre Daten zu stehlen.

Verhaltensanalyse und dateilose Malware

Da die meisten regulären Antivirenprogramme Signaturen zur Identifizierung einer Malware-Datei verwenden, ist die dateilose Malware schwer zu erkennen. Daher verwenden die Sicherheitsfirmen Verhaltensanalysen, um die Malware zu erkennen. Diese neue Sicherheitslösung wurde entwickelt, um die früheren Angriffe und das Verhalten der Benutzer und Computer zu bekämpfen. Jedes abnormale Verhalten, das auf schädlichen Inhalt hinweist, wird dann mit Warnungen benachrichtigt.

Wenn keine Endpunktlösung dateilose Malware erkennen kann, erkennt die Verhaltensanalyse anomale Verhaltensweisen wie verdächtige Anmeldeaktivitäten, ungewöhnliche Arbeitszeiten oder die Verwendung atypischer Ressourcen. Diese Sicherheitslösung erfasst die Ereignisdaten während der Sitzungen, in denen Benutzer eine Anwendung verwenden, eine Website durchsuchen, Spiele spielen, in sozialen Medien interagieren usw.

Dateilose Malware wird nur intelligenter und häufiger. Regelmäßige signaturbasierte Techniken und Tools werden es schwerer haben, diese komplexe, auf Verstohlenheit ausgerichtete Art von Malware zu entdecken, sagt Microsoft.

So schützen Sie sich vor & finden Sie dateilose Malware

Befolgen Sie die grundlegenden Vorsichtsmaßnahmen zur Sicherung Ihres Windows-Computers:

• Wenden Sie alle aktuellen Windows Updates an - insbesondere die Sicherheitsupdates für Ihr Betriebssystem.
• Stellen Sie sicher, dass Ihre gesamte installierte Software gepatcht und auf ihre neuesten Versionen aktualisiert wird.
• Verwenden Sie ein gutes Sicherheitsprodukt, das Ihren Computerspeicher und blockiert auch schädliche Webseiten, die Exploits hosten könnten.
• Seien Sie vorsichtig, bevor Sie E-Mail-Anhänge herunterladen. Dies verhindert das Herunterladen der Payload.
• Verwenden Sie eine starke Firewall, mit der Sie den Netzwerkverkehr effektiv steuern können.

Wenn Sie mehr zu diesem Thema lesen möchten, besuchen Sie Microsoft und lesen Sie auch dieses Whitepaper von McAfee.