andriano_cz - Fotolia

F

Welche Tools nutzen Angreifer für versteckte Malware?

Angreifer haben für nahezu unsichtbare Malware-Angriffe ganz legitime Software verwendet. Die Attacken hinterlassen keine Spuren auf dem System.

Mehr als 140 Banken, Regierungsorganisationen und Telekommunikationsunternehmen wurden Anfang 2017 mit einer dateilosen Malware angegriffen, die sich im Serverspeicher versteckte. Welche Werkzeuge wurden für diese Angriffe verwendet?

Ziel von Angriffen ist es meist, das angegriffene System dazu zu bewegen, bestimmte Aktionen auszuführen oder Zugriff auf Daten zu erhalten, in dem Code auf dem Zielsystem ausgeführt wird. Die bekanntesten Angriffsmethoden nutzen eine Sicherheitsanfälligkeit in einem Dienst oder einem Prozess, wodurch das Ausführen des Codes aus der Ferne ermöglicht wird (Remote Code Execution). Oft werden diese Dienste mit Administrator-Rechten ausgeführt. Einmal im System, können dann weitere Schritte folgen, wie etwa die Installation eines Rootkits.

Unternehmen schützen sich gegen derlei Anfälligkeiten wie Remote-Code-Ausführung unter anderem per Firewalls oder Sicherheitssoftware. Dementsprechend passen die Angreifer ihr Verhalten an, um weiterhin Zugriff auf die Systeme zu erlangen. Viele der Remote Code Execution Exploits sind auf ausführbare Dateien an bestimmten Orten angewiesen, damit Code auf dem Zielsystem ausgeführt werden kann.

Sieht man einmal von physischen Angriffen ab, ist es für einen erfolgreichen Angriff immer erforderlich, dass Code auf dem Zielsystem ausgeführt werden kann. Auch bei Ransomware muss auf dem angegriffenen System etwas ausgeführt werden. Angriffe mit dateiloser Malware nehmen zu, ebenso wie die Verwendung neue Angriffswege.

Angriff mit legitimen Tools

Bei der eingangs beschriebenen Attacke wurden nach Angaben von Kaspersky Labs die PowerShell, Open-Source-Tools und interne Windows-Befehle verwendet, um den Metasploit herunterzuladen und das System zu übernehmen. So kam unter anderem ein Werkzeug zum Einsatz, das üblicherweise für Penetrationstests genutzt wird.

Durch die Verwendung legitimer Software können Whitelisting-Ansätze beispielsweise keinen Fehler erkennen. Aus den kombinierten Tools formten die Angreifer schadhaften Code, der sich im Arbeitsspeicher der Server verstecken konnte. Dabei wurden unbemerkt Passwörter der Administratoren abgefischt. Mit dem nächsten Systemstart sind alle Spuren verschwunden. Dateien wurden nicht auf dem System hinterlassen, sondern nur kurzzeitig im Speicher verborgen. Bei traditionellen Angriffen verbleiben meist immer Spuren, denen man noch lange Zeit nach dem Angriff bei Untersuchungen folgen kann.

Begünstigt wird der Angriff durch eine unsichere PowerShell-Konfiguration, die es erlaubt, irgendwelche Befehle auszuführen und Daten in der Registry zu speichern. Zudem werden weitere Schwachstelle auf dem Endpunkt ausgenutzt, entsprechend wie bei andere dateiloser Malware. Unternehmen sollten in jedem Fall ihre PowerShell-Konfiguration absichern und den Arbeitsspeicher der Server auf verdächtige Aktivitäten hin überprüfen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Angreifer setzen verstärkt auf dateilose Malware

Die PowerShell per Gruppenrichtlinie absichern

Windows-Systeme per EMET gegen Angriffe schützen

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close