Malware, die nicht gefunden werden will – So verhält man sich richtig

München – Das Sicherheitsunternehmen Trustwave warnt vor Malware-Angriffen, die so geschickt getarnt sind, dass geschädigte Unternehmen diese Angriffe gar nicht oder sehr spät erkennen – nämlich dann, wenn es bereits zu spät ist und wertvolle Unternehmensdaten bereits gestohlen wurden. Diese oft als Fileless Malware bezeichnete Schadsoftware wird von Cyberkriminellen immer öfter eingesetzt und lässt sich mit herkömmlichen Sicherheitslösungen im Regelfall nicht erkennen. Trustwave gibt Tipps, wie man diese Art von Angriffen unterbinden kann.

Fileless Malware, im Deutschen oft als „Dateilose Malware“ bezeichnet, ist kein neues Phänomen, erfreut sich aber laut aktuellen Untersuchungen von Trustwave zunehmender Beliebtheit bei Cyberkriminellen.

Anders als herkömmliche Malware nistet sich Fileless Malware nicht in Dateien auf der Festplatte ein, sondern ist darauf spezialisiert, an kaum überprüfbaren Bereichen des Systems ausgeführt zu werden, beispielsweise im Arbeitsspeicher. Während herkömmliche Malware von Antiviren-Lösungen erkannt und entfernt werden kann, hinterlässt Fileless Malware dagegen keine Spuren. Oft wird diese Art von Malware bei einem Neustart des Systems automatisch wieder aus dem Arbeitsspeicher oder einem anderen Bereich gelöscht, so dass sie weder entdeckt noch forensisch untersucht werden kann.

Natürlich ist es schwierig, etwas zu bekämpfen, was quasi nicht sichtbar ist. Schützen können sich Unternehmen gegen Fileless Malware nur dann, wenn sie proaktiv agieren. Das heißt: Threat Intelligence nutzen, 24/7-Monitoring-/Alarmierung einsetzen und dafür sorgen, dass die Systeme 100%ig gegen Angriffe von außen geschützt sind.

Um die Systeme sicher zu schützen, empfiehlt Trustwave Folgendes:

• Regelmäßig Security-Awareness-Trainings für Mitarbeiter durchführen, bei denen der Schwerpunkt auf Spear-Phishing liegt.
• Einen E-Mail-Server oder eine -Appliance verwenden, die bei der Malware-Erkennung behilflich sein und zum Beispiel eingehende E-Mail-Anhänge scannen kann.
• Makros standardmäßig für alle Office-Anwendungen blockieren.
• Sicherstellen, dass Intrusion-Detection-Regeln Metasploit-Module erkennen können.
• Implementieren einer SIEM-Lösung, die es Sicherheitsexperten möglich macht, den Netzwerkverkehr vor, während und nach einem Angriff zu untersuchen.
• Threat-Intelligence nutzen und Software-Beschränkungsrichtlinien einführen, die zum Beispiel verhindern, dass Programme in C:\Windows\Temp ausgeführt werden können.
• PowerShell und VBS-Skripte, die vom Unternehmen verwendet werden, auf die Whitelist setzen und alle anderen blockieren.
• DNS-Monitoring ohne Unterbrechung durchführen und eine Meldefunktion einbauen, die über übermäßige DNS-Abfragen innerhalb eines ausgewählten Zeitrahmens informiert.
• DNS-Verkehr beschränken, damit interne Systeme nur die eigenen DNS-Server abfragen können.

Quelle: Laubstein Media/Trustwave