Dateilose Malware-Angriffe, Schutz und Erkennung

Dateilose Malware(Fileless Malware) mag für die meisten ein neuer Begriff sein, aber die Sicherheitsbranche kennt ihn seit Jahren. Letztes Jahr es Dateilose Malware getroffen (Fileless Malware –) mehr als 140 Unternehmen weltweit, darunter Banken, Telekommunikations- und Regierungsorganisationen. Dateilose Malware(Fileless Malware), wie der Name schon sagt, ist eine Art von Malware, die die Festplatte nicht berührt und dabei keine Dateien verwendet. Es wird im Rahmen eines legitimen Prozesses geladen. Einige Sicherheitsfirmen behaupten jedoch, dass ein dateiloser Angriff eine kleine Binärdatei auf einem kompromittierten Host hinterlässt, um einen Malware-Angriff zu initiieren. In den letzten Jahren hat die Zahl solcher Angriffe erheblich zugenommen, und sie sind gefährlicher als herkömmliche Malware-Angriffe.

Dateilose Malware-Angriffe

Dateilos(Fileless Malware) Malware-Angriffe, auch bekannt als Malware-freie Angriffe(Nicht-Malware-Angriffe) . Sie verwenden eine Reihe typischer Methoden, um Ihre Systeme zu infiltrieren, ohne erkennbare bösartige Dateien zu verwenden. In den letzten Jahren sind Angreifer klüger geworden und haben viele verschiedene Möglichkeiten entwickelt, um einen Angriff zu starten.

Dateilos(Dateilose) Malware infiziert Computer, ohne Dateien auf der lokalen Festplatte zu hinterlassen, und umgeht traditionelle Sicherheits- und Forensik-Tools.

Das Einzigartige an diesem Angriff ist die Verwendung einer ausgeklügelten bösartigen Software, die es geschafft hat, sich ausschließlich im Speicher einer kompromittierten Maschine zu befinden, ohne Spuren im Dateisystem der Maschine zu hinterlassen. Dateilose Malware ermöglicht es Angreifern, der Erkennung durch die meisten Endpoint-Sicherheitslösungen zu entgehen, die auf der Analyse statischer Dateien (Anti-Virus) basieren. Der jüngste Fortschritt bei dateiloser Malware zeigt, dass sich der Fokus der Entwickler von der Verschleierung des Netzwerkbetriebs auf die Vermeidung der Erkennung während der Ausführung seitlicher Bewegungen innerhalb der Infrastruktur des Opfers verlagert hat, sagt Microsoft.

Dateilose Malware ist in Betrieb Erinnerung(Random Access Memory) Ihres Computersystems, und kein Antivirenprogramm überprüft den Speicher direkt, daher ist dies der sicherste Weg für Eindringlinge, in Ihren Computer einzudringen und alle Ihre Daten zu stehlen. Selbst die beste Antivirensoftware übersieht manchmal Malware, die im Speicher ausgeführt wird.

Einige der neueren Dateilose Malware(Fileless Malware), die Computersysteme auf der ganzen Welt infiziert haben, sind Kovter , USB-Dieb , macht schnüffeln , Poweliks , Phasenbot , Duqu2 usw.

So funktioniert dateilose Malware

Dateilose Malware, wenn sie eintritt Erinnerung(Speicher) kann eingebaut erweitern Fenster native und Systemverwaltungstools wie z Power Shell , SC.exe und netsh.exe um schädlichen Code auszuführen und administrativen Zugriff auf Ihr System zu erhalten, um Befehle auszuführen und Ihre Daten zu stehlen. Dateilose Malware(Fileless Malware) kann sich manchmal auch darin verstecken Rootkits(Rootkits)(Rootkits) oder Registrierung(Registry) des Windows-Betriebssystems.

Einmal drinnen, nutzen Angreifer den Cache Windows-Miniaturansichten(Windows Thumbnail), um den Malware-Mechanismus zu verbergen. Malware erfordert jedoch immer noch eine statische Binärdatei, um einen Hostcomputer zu infiltrieren, und E-Mail ist das am häufigsten verwendete Medium dafür. Wenn ein Benutzer auf einen schädlichen Anhang klickt, schreibt er eine verschlüsselte Payload-Datei hinein Windows-Registrierung(Windows-Registrierung).

Auch dateilose Malware ist bekannt(Fileless Malware) verwenden Tools wie z Mimikatz und Metaverdorben , um Code in den Speicher Ihres PCs einzuschleusen und die dort gespeicherten Daten zu lesen. Diese Tools helfen Angreifern, tiefer in Ihren Computer einzudringen und all Ihre Daten zu stehlen.

Verhaltensanalyse u dateilos(Dateilose) Malware

Da die meisten herkömmlichen Antivirenprogramme Signaturen verwenden, um die Malware-Datei zu identifizieren, ist dateilose Malware schwer zu erkennen. Daher verwenden Sicherheitsfirmen Verhaltensanalysen, um Malware zu erkennen. Diese neue Sicherheitslösung wurde entwickelt, um frühere Angriffe und das Benutzer- und Computerverhalten zu bekämpfen. Jedes anormale Verhalten, das auf schädliche Inhalte hinweist, wird dann mit Warnungen gemeldet.

Wenn keine Endpoint-Lösung dateilose Malware erkennen kann, erkennt die Verhaltensanalyse jedes anomale Verhalten wie verdächtige Anmeldeaktivitäten, ungewöhnliche Geschäftszeiten oder die Verwendung atypischer Ressourcen. Diese Sicherheitslösung sammelt Ereignisdaten während Sitzungen, wenn Benutzer eine Anwendung verwenden, eine Website durchsuchen, Spiele spielen, in sozialen Netzwerken interagieren usw.

Dateilose Malware wird immer intelligenter und häufiger. Reguläre signaturbasierte Techniken und Tools werden es schwerer haben, diese komplexe, auf Stealth ausgerichtete Art von Malware zu entdecken, sagt Microsoft.

Wie Sie sich davor schützen können dateilose Malware und erkennt sie(Dateilose Malware)

Befolgen Sie die grundlegenden Vorsichtsmaßnahmen, um Ihren Windows-Computer zu sichern (Vorsichtsmaßnahmen zum Sichern Ihres Windows-Computers):

  • Sich bewerben(Bewerben) alles neuste Windows-Updates(Windows Updates -), insbesondere Sicherheitsupdates für Ihr Betriebssystem.
  • Vergewissere dich(Stellen Sie sicher), dass alle installierte Software gepatcht und auf die neuesten Versionen aktualisiert wird.
  • Verwenden Sie ein gutes Sicherheitsprodukt, das den Speicher Ihres Computers effektiv scannen und auch bösartige Webseiten blockieren kann, die möglicherweise gehostet werden nutzt aus(Ausbeutung). Es sollte eine Überwachung anbieten Verhalten(Verhaltens-)Scan Erinnerung(Erinnerung) und Schutz Bootsektor.(Bootsektor)
  • Seien Sie vorsichtig, bevor Sie E-Mail-Anhänge herunterladen. Dies geschieht, um das Laden der Nutzlast zu vermeiden.
  • Verwenden Sie eine zuverlässige Firewall (Firewall), die Ihnen eine effektive Kontrolle ermöglicht Netzwerk(Netzwerktraffic.

Weiterlesen(Lesen Sie weiter) : Was sind Living Off The Land (Living Off The Land-Angriffe)?

Dateilose Malware mag für die meisten ein neuer Begriff sein, aber die Sicherheitsbranche kennt ihn seit Jahren. Im vergangenen Jahr wurden über 140 Unternehmen weltweit von dieser dateilosen Malware betroffen – darunter Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Dateilose Malware ist, wie der Name schon sagt, eine Art von Malware, die die Festplatte nicht berührt oder dabei Dateien verwendet. Es wird im Kontext eines legitimen Prozesses geladen. Einige Sicherheitsfirmen behaupten jedoch, dass der dateilose Angriff eine kleine Binärdatei auf dem kompromittierenden Host hinterlässt, um den Malware-Angriff zu initiieren. Solche Angriffe haben in den letzten Jahren stark zugenommen und sind riskanter als herkömmliche Malware-Angriffe.

Dateilose Malware

Dateilose Malware-Angriffe

Dateilose Malware-Angriffe, auch bekannt als Nicht-Malware-Angriffe. Sie verwenden eine Reihe typischer Techniken, um in Ihre Systeme einzudringen, ohne eine erkennbare Malware-Datei zu verwenden. In den letzten Jahren sind die Angreifer schlauer geworden und haben viele verschiedene Möglichkeiten entwickelt, um den Angriff zu starten.

Dateilose Malware infiziert die Computer und hinterlässt keine Datei auf der lokalen Festplatte, wodurch die traditionellen Sicherheits- und Forensik-Tools umgangen werden.

Das Einzigartige an diesem Angriff ist die Verwendung einer ausgeklügelten bösartigen Software, die es geschafft hat, sich ausschließlich im Speicher einer kompromittierten Maschine zu befinden, ohne Spuren im Dateisystem der Maschine zu hinterlassen. Dateilose Malware ermöglicht es Angreifern, der Erkennung durch die meisten Endpoint-Sicherheitslösungen zu entgehen, die auf der Analyse statischer Dateien (Anti-Virus) basieren. Der jüngste Fortschritt bei dateiloser Malware zeigt, dass sich der Fokus der Entwickler von der Verschleierung des Netzwerkbetriebs auf die Vermeidung der Erkennung während der Ausführung seitlicher Bewegungen innerhalb der Infrastruktur des Opfers verlagert hat, sagt Microsoft.

Die dateilose Malware befindet sich im Arbeitsspeicher Ihres Computersystems, und kein Antivirenprogramm untersucht den Speicher direkt – daher ist es für die Angreifer der sicherste Modus, in Ihren PC einzudringen und alle Ihre Daten zu stehlen. Selbst den besten Antivirenprogrammen entgeht manchmal die Malware, die im Speicher läuft.

Einige der jüngsten dateilosen Malware-Infektionen, die Computersysteme weltweit infiziert haben, sind – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 usw.

Wie funktioniert dateilose Malware?

Die dateilose Malware, wenn sie in der landet Erinnerung können Ihre nativen und systemadministrativen Windows-integrierten Tools wie bereitstellen Power Shell, SC.exeund netsh.exe um den bösartigen Code auszuführen und den Administratorzugriff auf Ihr System zu erhalten, um die Befehle auszuführen und Ihre Daten zu stehlen. Fileless Malware kann sich manchmal auch darin verstecken Rootkits oder der Registrierung des Windows-Betriebssystems.

Einmal drin, verwenden die Angreifer den Windows-Thumbnail-Cache, um den Malware-Mechanismus zu verbergen. Die Malware benötigt jedoch immer noch eine statische Binärdatei, um auf den Host-PC zu gelangen, und E-Mail ist das am häufigsten verwendete Medium dafür. Wenn der Benutzer auf den schädlichen Anhang klickt, schreibt er eine verschlüsselte Payload-Datei in die Windows-Registrierung.

Es ist auch bekannt, dass dateilose Malware Tools wie verwendet Mimikatz und Metaverdorben um den Code in den Speicher Ihres PCs einzuschleusen und die dort gespeicherten Daten auszulesen. Diese Tools helfen den Angreifern, tiefer in Ihren PC einzudringen und all Ihre Daten zu stehlen.

Verhaltensanalyse und dateilose Malware

Da die meisten regulären Antivirenprogramme Signaturen verwenden, um eine Malware-Datei zu identifizieren, ist die dateilose Malware schwer zu erkennen. Daher verwenden Sicherheitsfirmen Verhaltensanalysen, um Malware zu erkennen. Diese neue Sicherheitslösung wurde entwickelt, um die früheren Angriffe und das Verhalten der Benutzer und Computer zu bekämpfen. Jedes abnormale Verhalten, das auf schädliche Inhalte hinweist, wird dann mit Warnungen gemeldet.

Wenn keine Endpoint-Lösung die dateilose Malware erkennen kann, erkennt die Verhaltensanalyse jedes anomale Verhalten wie verdächtige Anmeldeaktivitäten, ungewöhnliche Arbeitszeiten oder die Verwendung atypischer Ressourcen. Diese Sicherheitslösung erfasst die Ereignisdaten während der Sitzungen, in denen Benutzer eine Anwendung verwenden, eine Website durchsuchen, Spiele spielen, in sozialen Medien interagieren usw.

Dateilose Malware wird immer intelligenter und häufiger. Reguläre signaturbasierte Techniken und Tools werden es schwerer haben, diese komplexe, auf Stealth ausgerichtete Art von Malware zu entdecken, sagt Microsoft.

So schützen und erkennen Sie dateilose Malware

Befolgen Sie die grundlegenden Vorsichtsmaßnahmen, um Ihren Windows-Computer zu sichern:

  • Wenden Sie alle aktuellen Windows-Updates an – insbesondere die Sicherheitsupdates für Ihr Betriebssystem.
  • Stellen Sie sicher, dass Ihre gesamte installierte Software gepatcht und auf die neuesten Versionen aktualisiert wurde
  • Verwenden Sie ein gutes Sicherheitsprodukt, das den Speicher Ihres Computers effizient scannen und auch bösartige Webseiten blockieren kann, die möglicherweise Exploits hosten. Es sollte Verhaltensüberwachung, Speicherscans und Bootsektorschutz bieten.
  • Seien Sie vorsichtig, bevor Sie E-Mail-Anhänge herunterladen. Dadurch soll das Herunterladen der Payload vermieden werden.
  • Verwenden Sie eine starke Firewall, mit der Sie den Netzwerkverkehr effektiv kontrollieren können.

Lesen Sie weiter: Was sind Living Off The Land-Angriffe?