Feb 10

Jetzt noch ausgefuchster: Malware tarnt sich als System-Software

Wie die russische IT-Sicherheitsfirma Kaspersky Lab aufgrund neuester Vorfälle erkannte, setzen Cyber-Kriminelle nun sogar Malware ein, die sich im Speicher von Firmenrechnern versteckt und somit nicht einmal mehr von Forensikern aufgespürt werden kann. Die Malware-Dateien sind lediglich im Speicher aktiv und das auch nur solange, wie diese Informationen sammeln. Nach einem System-Neustart ist nichts mehr davon auffindbar.

Was ist aktuell neu?

Neu ist vor allem der Einsatz anti-forensischer Techniken und speicherbasierter Malware. Außerdem bedienen sich die Kriminellen an weit verbreiteten Tools, die beim Großteil der betroffenen Unternehmen in Gebrauch sind. Darunter vor allem Tools für Penetrationstests (die Ironie liegt wie immer im Detail) und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows.

Benutzer-Passwort

Der Missbrauch zulässiger PowerShell-Skripte und anderen Administrations-Tools - kurz gesagt - eigentlich vertrauenswürdiger Software, ermöglicht es den Hackern Passwörter zu knacken und die komplette Kontrolle über ein System zu bekommen.
Durch gezielte Manipulation des Speichers bzw. Memory und die Erlangung von System-Privilegien, kann Schadcode ausgeführt und Daten still und heimlich aus dem Netzwerk befördert werden - ganz ohne Alarm auszulösen.

Die Untersuchung einer Reihe von Cyber-Angriffen durch Kaspersky zeigte, dass unter den Zielen nun vor allem Firmen aus der Finanz- und Telekommunikationsbranche, sowie Behörden anvisiert werden. In über 40 Ländern konnten Attacken auf mehr als 140 Netzwerke identifiziert werden. Die meisten Angriffe fanden auf Firmen in den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland statt. Erwähnenswert an dieser Stelle: Auch in Deutschland und Österreich schlugen die Angreifer zu!

Hintergründe der Angriffs-Reihe sind noch relativ undurchsichtig. Jedoch wird vermutet, dass die Cyber-Gruppen GCMAN und Carbanak dahinter stecken. Die "Carbanak-Gang" hatte sich bereits 2015 mit ebenfalls technisch ausgereiften Angriffen auf mehr als 100 Banken und Finanzdienstleistern einen Namen gemacht. Die meisten Banken wurden in Russland infiltriert. Laut Kaspersky könnten insgesamt bis zu einer Milliarde Dollar (875 Millionen Euro) durch den Cyber-Bankraub gestohlen worden sein.

Dollar

Ein Ende der Bankraub-Serie ist noch nicht in Sicht. Zu lukrativ sind die Attacken auf Geldhäuser die Schotter ohne Ende horten. Zu brilliant die verdeckten APT-typischen Aufklärungsprojekte und die maßgeschneiderte Malware, die sich unter dem Deckmantel legaler Software verbirgt. Dass die Gruppen sich - wie bisher - nur auf den russischen Raum beschränken werden, ist mehr als unwahrscheinlich.

Eine andere Methode, die kürzlich vom IT-Sicherheitsanbieter Forcepoint entdeckt wurde, ist die Nutzung von Services wie Google Apps Script, Google Forms und Google Tabellen. Durch scheinbar gewöhnliche RTF-Dokumente wird die Malware auf die Rechner der Zielpersonen geschleust. 

Zukünftig dürfte Speicherforensik einer der wichtigsten Bestandteile in der Analyse von Malware und deren Funktionen sein. Nur so können Methoden zur Memory-Manipulation (z.B. Code Injection, Function Detouring und API Hooking) aufgespürt werden. Bisherige Lösungen sind damit überfordert, da diese auf die Erkennung von Schadcode angewiesen sind.

Laut Bitdefender muss das Problem der modernen Malware-Angriffe, die die herkömmlichen, betriebssystem-internen Sicherheitsvorkehrungen einfach umgehen schnellstmöglichst gelöst werden. Das Gefährliche daran ist, dass die Malware mit den gleichen Berechtigungen ausgeführt wird wie die Programme, die eigentlich vor Malware schützen sollen.

Virus
Mit der neuen HVI-Technologie (Hypervisor Introspection) hat Bitdefender ein effektives Tool zur Verfügung, um auch den neuen Fieslingen auf die Schliche zu kommen.

Besonders wirkungsvoll ist die Weiterentwicklung hin zu einem synchronen Echtzeitschutz für virtuelle Maschinen. "Die Technologie der hypervisorbasierten Memory Introspection ist ein zukunftssicherer Fortschritt mit einer nahezu unbegrenzten Zahl an Anwendungsmöglichkeiten in unterschiedlichen Bereichen – vom Gesundheitswesen bis zur Mobilität im Unternehmen."

mehrstufige Sicherheit

Aktuell empfiehlt es sich für Unternehmen ein mehrstufiges Sicherheitskonzept zu erstellen, das durch eine effektiv koordinierte Security-Architektur Anomalien und sonstige Angriffe frühzeitig erkennt. Die Bitdefender-Experten sind sich sicher: Je mehr Sicherheitsmechanismen greifen, desto besser.

Allerdings muss man an dieser Stelle noch einmal den wohlüberlegten, koordinierten Aspekt betonen. Ein wildes Wettrüsten mit Kriminellen kann genauso nutzlos sein wie gar kein Schutz.

Wilhelm Klenner

Aufgrund der immer raffinierteren Methoden ist es so extrem wichtig, dass Ihr Virenscanner nicht nur überwacht, welche Dateien gelesen und geschrieben werden, sondern dass dieser auch ein wachsames Auge auf die laufenden Prozesse hat. Nur mit dieser Verhaltensanalyse können verdächtige Aktivitäten entdeckt und ggf. der Prozess gestoppt werden.

Falls Sie sich über die aktuellen Echtzeit-Lösungen von Bitdefender informieren wollen, beraten wir Sie gerne!

Einfach anrufen oder Mail to klenner.at.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.