Sophos stellt Dynamic Shellcode Protection vor
DNA-Entschlüsselung dateiloser Malware
Der Sicherheitsanbieter Sophos stellte seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection sei in Intercept X integriert und könne das Einnisten von Angriffs-Code in die dynamische Heap-Region des Speichers verhindern.
Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Zu den Malware-Arten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote-Access-Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff - je früher man sie entdeckt und blockiert, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection laut eigenem Bekunden einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt sei dabei die Entdeckung, dass diese speziellen Angriffs-Codes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen.
Der Code von Anwendungen mit Ausführungsrechten lässt sich üblicherweise in den Speicher laden. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich ist als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen erfolgt die Injektion des Loaders für einen Remote-Access-Agent direkt in den Heap-Speicher. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote-Access-Agenten zu erfüllen. Dies bezeichnet sich als „Heap-Heap“-Speicherzuweisungsverhalten. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockieren soll.
Lesen Sie mehr zum Thema
