Hacker nutzen PowerShell und offizielle Microsoft-Anwendungen zur Verbreitung von Malware
Cybersecurity-Experten haben in letzter Zeit einen besorgniserregenden Trend bei den Angriffsmethoden beobachtet: Immer häufiger nutzen Hacker dateilose Methoden, die PowerShell und offizielle Microsoft-Anwendungen als Waffe einsetzen, um Malware zu installieren und dabei die Erkennung zu umgehen.
Diese ausgeklügelten Angriffe werden hauptsächlich im Speicher ausgeführt, hinterlassen nur minimale forensische Beweise und umgehen herkömmliche Sicherheitslösungen, die sich auf dateibasierte Erkennungsmethoden verlassen.
Obwohl es dateilose Angriffe schon seit über zwei Jahrzehnten gibt, stellen sie die Sicherheitsteams weiterhin vor große Herausforderungen.
Jüngsten Sicherheitsberichten zufolge werden bei etwa einem Drittel aller Angriffe dateilose Methoden eingesetzt, was sie zu einer weit verbreiteten Bedrohung in der heutigen Cyberlandschaft macht.
Der Reiz für Angreifer liegt in ihrer Möglichkeit, unbemerkt zu operieren, indem sie vertrauenswürdige Systemkomponenten ausnutzen, anstatt leicht erkennbare gefährliche ausführbare Dateien einzuschleusen.
Diese Angriffe beginnen in der Regel mit einem scheinbar harmlosen Dokument, das gefährliche Makros oder eine trügerische Verknüpfungsdatei enthält, gehen aber schnell zu speicherresidenten Operationen über.
Anstatt Dateien auf die Festplatte zu schreiben, injizieren die Angreifer den schädlichen Code direkt in laufende Prozesse oder nutzen integrierte Windows-Tools, um ihre Nutzdaten auszuführen, was die Erkennung für herkömmliche Sicherheitslösungen äußerst schwierig macht.
Der Cybersecurity-Analyst Amr Thabet stellte fest, dass sich die PowerShell aufgrund ihrer leistungsstarken Skriptfunktionen und der tiefen Integration in Windows-Systeme als Hauptinstrument für diese Angriffe erwiesen hat.
Die Angreifer verwenden häufig Befehle, mit denen Code direkt in den Speicher geladen und ausgeführt wird.
Mit dieser Technik wird die dateibasierte Erkennung umgangen, da die Schadprogramme nie auf die Festplatte gelangen.
Das Aufkommen von LOLBAS-Techniken
Besonders besorgniserregend ist der zunehmende Missbrauch von Living Off The Land Binaries And Scripts (LOLBAS), bei dem legitime Microsoft-Anwendungen für bösartige Zwecke umfunktioniert werden.
Beispielsweise wurden Angreifer dabei beobachtet, wie sie bitsadmin.exe, eine vertrauenswürdige Windows-Komponente, zum Herunterladen von Malware-Payloads nutzen, wenn das System im Leerlauf ist.
Die Befehle erstellen Aufträge zum Abrufen bösartiger Dateien und führen sie mit einer Sequenz aus, gefolgt von weiteren Befehlen zur Konfiguration und Ausführung der Schadsoftware.
Zu den weiteren legitimen Anwendungen, die als Waffe eingesetzt werden, gehört ForFiles.exe, die APT41 zur Aufrechterhaltung der Persistenz durch die Ausführung von Befehlszeilenbefehlen verwendet.
Die Angreifer nutzen diese vertrauenswürdigen Binärdateien, um ihre Aktivitäten mit dem normalen Systembetrieb zu vermischen, so dass es für herkömmliche Sicherheitstools nahezu unmöglich ist, zwischen legitimer Nutzung und bösartiger Ausnutzung zu unterscheiden.
Techniken zur Speicherinjektion erschweren die Erkennung zusätzlich, da die Angreifer ihre Malware in legitimen Prozessen wie chrome.exe oder svchost.exe verstecken können.
Beim Process Hollowing, einer Technik, die erstmals durch Stuxnet bekannt wurde, wird eine legitime Anwendung im angehaltenen Modus ausgeführt, ihr Code im Speicher durch Malware ersetzt und die Ausführung dann wieder aufgenommen, so dass die bösartige Aktivität hinter einem vertrauenswürdigen Prozessnamen versteckt wird.
Sicherheitsexperten empfehlen die Implementierung umfassender Endpunkt-Erkennungs- und Reaktionslösungen mit Speicheranalysefunktionen, die Aktivierung der PowerShell-Protokollierung und -Überwachung, die Implementierung des eingeschränkten Sprachmodus und die aktive Überwachung von Active Directory auf verdächtige Aktivitäten, um sich vor diesen hochentwickelten Bedrohungen zu schützen.