Fileless Malware erklärt

Das Erste als «Fileless Malware» kategorisierte Schadprogramm tauchte 2001 mit dem Wurm «Code Red» auf. Nicht weniger als 359.000 Webserver wurden Opfer eines an der Meldung «Welcome to http://www.worm.com ! Hacked by Chinese!» ersichtlichen Absturzes durch ein mysteriöses Virus, das keine Dateien und keine bleibenden Spuren auf der Festplatte hinterliess. Die Untersuchung ergab, dass der Wurm nur über den Speicher des infizierten Rechners ausgeführt wurde.

In den folgenden zwei Jahrzehnten wurde dieser Mechanismus weitgehend auf Microsoft-Umgebungen verwendet. Der SQL-Wurm Slammer, der Banking-Trojaner Lurk, der Trojaner Poweliks (eine Weiterentwicklung der dateilosen Malware aus dem Jahr 2014), der Wurm Duqu 2.0 (der sogar als Toolbox für Cyberspionage eingesetzt wurde) und die Malware PowerSniff sind die bekanntesten Beispiele. Im Jahr 2017 machten dann aber zunehmend Angriffe via Fileless Malware von sich reden, als über eine Schwachstelle im Framework für Web-Anwendungen (Apache Struts) Daten von 150 Millionen Kunden der Firma Equifax ausgelesen wurden.

Die Weiterentwicklung der Fileless-Malware-Technik
Memory-only-Malware, Non-Malware-Attack, Zero-Footprint-Attack: All diese Bezeichnungen treffen auf Angriffe mit dateiloser Malware zu, bei denen Codes aus der Ferne abgerufen und ausgeführt werden, ohne lokale Zwischendateien zu benötigen. Zum Beispiel in Form von Zeichenketten, die von einem Webserver abgerufen und dann als Parameter an einen Skriptinterpreter wie PowerShell übergeben werden. Der Schadcode wird dann direkt in dessen Speicher ausgeführt. Es handelt sich um einen Angriff, der somit keine Spuren auf der Festplatte hinterlässt. Und die Techniken, die bei einer Attacke über Fileless Malware verwendet werden, um bösartigen Code im Speicher auszuführen, können vielfältig sein: Zweckentfremdung von nativen Programmen, die für das reibungslose Funktionieren des Betriebssystems erforderlich sind, Injektion von bösartigem Code in bestehende Prozesse, Speicherung von Malware in Windows-Registerschlüsseln. Es gibt sogar fertige Exploit-Kits wie die PowerShell-Tools Empire, PowerSploit und Cobalt Strike.

Die gemeinhin beobachteten Angriffsvorgänge bestehen aus drei Schritten. In der ersten Phase müssen Cyberkriminelle einen Erstzugriff gewinnen, meist durch Kampagnen von Phishing und Spearphishing. Wenn diese erste Phase der Attacke nur im Arbeitsspeicher ausgeführt wird, besteht der zweite Schritt darin, den Zugriff bei einem Neustart des Rechners persistent zu machen. Hierbei werden legitime Registerschlüssel von Anwendungen ausgelesen und so manipuliert, dass sie dann einen Code zum Herunterladen und Ausführen von Payload als Parameter von PowerShell enthalten. Dadurch verschafft sich der Cyberkriminelle einen persistenten Eintrag in der Maschine, der es ermöglicht, weitere Malware darauf zu laden. Es gibt also erstens keine Dateien, und zweitens kann der Angreifer seine Schadsoftware in Echtzeit aktualisieren. Andererseits hinterlässt diese Malware trotz Dateilosigkeit eine Spur: die URL der Payload. Deshalb muss diese URL verschleiert werden, damit sie nicht als Hinweis einer Kompromittierung erkannt wird. Der dritte und letzte Schritt besteht dann in der Ausführung des tatsächlichen Diebstahls von Anmeldeinformationen, der Exfiltration von Daten oder der Schaffung einer Backdoor.

Ein weiterer starker Trend, der beobachtet wurde, ist das Ersetzen eines legitimen Programms. Dabei gibt sich die Malware als Dienstprogramm aus, das in Betriebssystemen vorkommt und somit als legitim anerkannt wird. Beispiele hiervon sind etwa die Dienstprogramme certutil.exe, mavinject.exe, cmdl.exe, msixec oder auch WMI (Windows Management Interface) sowie die Interpreter PowerShell und bash. Diese verschiedenen legitimen Programme können die Effizienz des Angriffs vervielfachen, da einige von ihnen Funktionen wie das Herunterladen von Dateien oder das Herstellen einer Verbindung zu einem entfernten Rechner von Haus aus mitbringen.