Dateilose Malware
Wie man das Risiko von PowerShell-Angriffen minimiert
Scripting-Tools wie PowerShell sind bei Cyberkriminellen ebenso beliebt wie bei IT-Spezialisten. Immer häufiger missbrauchen sie das Framework, um dateilose Schadsoftware einzuschleusen. Wie man solche Attacken erkennt und verhindert, erklärt Markus Kahmen, Regional Director DACH bei Thycotic.
Das Microsoft-Tool PowerShell ist bei Cyberkriminellen beliebt, denn es gewährt ihnen einen plattformübergreifenden Angriffspunkt und Zugriff auf unterschiedliche Systeme. Eine vom Security-Anbieter Red Canary durchgeführte Untersuchung von 10.000 bestätigten Sicherheitsvorfällen zeigt, dass Microsofts Skript-Sprache im vergangenen Jahr die gängigste und beliebteste Angriffstechnik der Hacker gewesen ist. Und das hat seine Gründe: Da PowerShell als Open-Source-Projekt und plattformübergreifender Service verfügbar ist, stehen Angreifern damit flexible Werkzeuge zur Verfügung, die Payloads für Windows, MacOS und Linux erstellen können und immer schwerer zu identifizieren sind. Hinzu kommt, dass mit PSAttack, PowerSploit oder PowerShell Empire heute speziell auf PowerShell ausgerichteten Post-Exploitation-Frameworks bereitstehen.
Wie dateilose Malware Systeme infiltriert
PowerShell eignet sich vor allem deshalb für bösartige Zwecke, da die Angreifer – aufgrund der engen Einbindung in das Microsoft Betriebssysteme – keine eigenen Binärdateien auf der Festplatte ablegen müssen. Vielmehr werden alle schadhaften Befehle im temporären Arbeitsspeicher ausgeführt.
Beim Einschleusen in die Systeme unterscheiden sich dateilose Schadprogramme in der Regel nicht von dateibasierten. Meist verstecken auch sie sich in E-Mail-Anhängen oder Weblinks, die früher oder später von ahnungslosen Nutzern geöffnet werden. Die Ausführung des bösartigen Codes ist aber raffinierter. So identifizieren Sicherheitsexperten immer wieder Word-Dokumente, die von Virenscanner geprüft und für gutartig erklärt werden, tatsächlich aber ein manipuliertes PowerShell-Skript enthalten, das automatisch ausgeführt wird. Ein anderer möglicher Infektionsweg könnte ein Weblink sein, der, sobald er angeklickt wird, ein Skript erzeugt, das Befehle direkt in den Speicher herunterlädt und ausführt. Da es bei diesem Vorgehen keine eigentliche Datei gibt, die gescannt werden kann, können die Angreifer kritische Verteidigungslinien umgehen.
In einem zweiten Schritt können diese Skripte dann eine beliebige Anzahl von Aktionen ausführen, um sich dauerhaft im System festzusetzen und sich weiter lateral auszubreiten. Hierbei kommt es unter anderem zum Herunterladen zusätzlicher Nutzdaten (Payloads), die die Security umgehen, dem Hochladen detaillierter Informationen über das kompromittierte System an den Angreifer oder der Durchführung dauerhafter Änderungen an der Registry eines Rechners, die dann nur schwer erkannt oder gelöscht werden können.
- Wie man das Risiko von PowerShell-Angriffen minimiert
- Warum gängige Präventionsmaßnahmen nicht greifen
Lesen Sie mehr zum Thema
