Angriffe mit datenlosen Malwares werden immer häufiger

Seien wir ehrlich, die Sicherung Ihrer Daten ist nicht mehr so einfach wie das Herunterladen einer Antiviren-Software. Um ehrlich zu sein, ist das schon seit einer Weile nicht mehr der Fall.

2017 änderte sich das Spiel mit der Einführung von dateiloser Malware – einer Angriffsart, die jede grundlegende Sicherheitsabwehr einfach umgeht. Laut dem Symantec Internet Security Threat Report 2019 ist dateilose Malware auf dem Vormarsch und stellt eine der größten digitalen Infiltrationsbedrohungen für Unternehmen dar, die es bisher gab.

Was ist dateilose Malware?

Herkömmliche Anti-Malware-Software scannt die Dateien auf den Speicherlaufwerken eines Computers. Wenn die Software Dateien findet, die mit einer von Tausenden vorgegebenen Signaturen übereinstimmen, werden sie als Malware gekennzeichnet. Angreifer passen sich zunehmend an diese Verteidigungsmethode an, indem sie sogenannte dateilose Angriffe durchführen, die auch als Zero-Footprint-Angriffe oder Nicht-Malware-Angriffe bezeichnet werden. Diese Angriffe werden als LOC-Angriffe (Low Observable Characteristic) kategorisiert, was bedeutet, dass es für Sicherheitslösungen schwierig ist, sie zu erkennen und davor zu schützen.

Das Ponemon Institute schätzt, dass dateilose Angriffe etwa 10 Mal erfolgreicher sind als dateibasierte Angriffe.

Wie weit verbreitet sind dateilose Angriffe?

Laut dem Trend Micro Midyear Cybersecurity Report 2021 waren die Hochburgen der Cybersicherheit in der ersten Jahreshälfte 2021 von Cyberkriminellen umzingelt, die nur darauf warteten, beim Anblick der kleinsten Schwachstelle in der Verteidigung zuzuschlagen und wertvolle Vermögenswerte zu zerstören. Dateilose Malware ist nicht davon abhängig, dass Dateien installiert oder ausgeführt werden. Genau wie bei herkömmlichen Malware-Angriffen wird ein Gerät nach einer vom Benutzer initiierten Aktion infiziert (z. B. Anklicken eines bösartigen E-Mail-Links oder Herunterladen eines kompromittierten Softwarepakets). In einigen Fällen wurden durch den Missbrauch von PowerShell bestimmte dateilose Varianten beobachtet, die sich seitlich über Netzwerke bewegen und andere Computer im selben Netzwerk infizieren.

Ohne in einer Datei gespeichert oder direkt auf einem Computer installiert zu werden, werden die Infektionen direkt im Speicher abgelegt, und der bösartige Inhalt gelangt nie auf die Festplatte. Und da dateilose Malware im Gegensatz zu herkömmlicher Malware nichts auf die Festplatte schreibt, hinterlässt sie keine offensichtlichen Spuren ihrer Existenz, so dass sie sich der Erkennung durch Antivirensoftware leicht entziehen kann.

Wie entgehen dateilose Angriffe der Entdeckung?

Laut dem SonicWall Cyber Threat Report 2020 verwenden Cyberkriminelle neue Techniken zur Codeverschleierung, Sandbox-Erkennung und -Umgehung. Dies hat zu einer Vielzahl von Varianten und der Entwicklung neuer und ausgefeilterer Exploit-Kits geführt, die dateilose Angriffe anstelle herkömmlicher Nutzlasten auf einer Festplatte verwenden. Während die Zahl der Malware weltweit um 6 % zurückging, beobachtete SonicWall, dass die meisten neuen Bedrohungen ihre Angriffe in den vertrauenswürdigsten Dateien von heute versteckten. Tatsächlich machen Office (20,3 %) und PDFs (17,4 %) 38 % der von Capture ATP entdeckten neuen Bedrohungen aus.

Im Dezember 2019 wurde eine dateilose MacOS-Malware entdeckt, die als Krypto-Handels-Software namens UnionCryptoTrader.dmg verbreitet wurde. Die Angreifer verwendeten eine trojanisierte Version einer legitimen Krypto-Handelsanwendungs-Installationsdatei, die von einer Krypto-Handelswebsite namens JMTTrading verbreitet wurde, die eine „intelligente Kryptowährungs-Arbitrage-Handelsplattform“ anbot.

Möglichkeiten zur Verhinderung von dateilosen Angriffen

Da dateilose Malware nur schwer zu erkennen ist, besteht die effektivste Möglichkeit, sich vor Angriffen zu schützen, darin, dafür zu sorgen, dass Ihre Server und andere Unternehmensrechner gar nicht erst angegriffen werden können. Dateilose Malware ist raffiniert, aber wie alle Malware ist sie auf das Vorhandensein von Softwareschwachstellen angewiesen, um Systeme auszunutzen. Der beste Weg, dies zu erreichen, ist die Implementierung einer mehrschichtigen Verteidigung (Defense in Depth). Durch aktive Überwachung und Berücksichtigung des gesamten Bedrohungslebenszyklus haben Sie die besten Chancen, sich gegen bösartige Angriffe zu schützen.

Was sind die Komponenten einer guten Defense-in-Depth-Methodik? Die wichtigsten Komponenten sind Software, Hardware und Geschäftsabläufe. Ein absolutes Minimum ist erforderlich:

  • Eine Firewall mit gut konzipierten Netzwerk-Routing-Regeln (und möglicherweise IDS/IPS-Komponenten (Intrusion Detection and Prevention)).
  • Anti-Spam- und Anti-Virus-Komponenten zum Schutz Ihrer E-Mail-Systeme.
  • Anti-Virus-Anwendungen auf allen Ihren Servern und Workstations.
  • Gute Kodierungspraktiken und eine Software-Firewall zum Schutz der Ports Ihrer spezifischen Anwendung (unabhängig davon, ob Sie benutzerdefinierte Anwendungen mit oder ohne externe Zugangskomponente ausführen).
  • Regelmäßige (mindestens jährliche) Schulungen für Ihre Mitarbeiter, um sie über die besten Praktiken im Umgang mit der Technologie auf dem Laufenden zu halten, z. B. über Datenzugriffsverfahren und die Vermeidung von Phishing-Attacken.

Nicht alle Unternehmen verfügen über die Ressourcen, um diese Technologien und Prozesse intern zu entwickeln und zu pflegen. Wenn Ihr Unternehmen Lücken in den Fachbereichen zur Sicherung seiner Infrastruktur hat, sollten Sie eine entsprechende Beratung zu Sicherheit und Richtlinieneinhaltung in Betracht ziehen, um sicherzustellen, dass die Infrastruktur, auf die sich Ihr Unternehmen verlässt, geschützt ist.

Kommentare

  • Keine Kommentare vorhanden.
  • Kommentar erstellen