Ransomware
Dateilose Ransomware über Reflective Loading
Sicherheitsforscher fanden Angriffe der Netwalker-Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen.
Originalartikel von Karen Victor
Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.
Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.
Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.
Fazit und Empfehlungen
Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmaßnahmen umgehen kann.
Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.
Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:
- Regelmäßiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
- Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
- Befolgen von Email- und Website-Sicherheitsrichtlinien.
- Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
- Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
- Regelmäßige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.
Empfehlungen zum Schutz vor dateilosen Bedrohungen:
- Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
- Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
- Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
- Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.
Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:
- Trend Micro Apex One™– setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
- Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.