Kaspersky Lab erkennt weitere Attacken
Unsichtbare Malware-Angriffe
Die Sicherheitsexperten von Kaspersky Lab haben eine Reihe zielgerichteter und nahezu unsichtbarer Angriffe entdeckt, die Kriminelle ausschließlich mittels legitimer Software durchgeführt haben. Die Angreifer nutzen laut dem Security-Anbieter weitverbreitete Tools für Penetrationstests und Administratoren sowie das Powershell-Framework zur Aufgabenautomatisierung unter Windows für ihre Aktivitäten. Der Angriff hinterlasse keine Malware-Dateien auf der Festplatte, sondern verstecke diese lediglich kurzzeitig im Speicher. Der Ansatz verhindere eine Entdeckung durch Whitelisting-Technologien und hinterlasse Forensikern kaum Spuren oder Malware-Muster zur Analyse, so Kaspersky. Auch bleiben die Angreifer nur so lange im System, solange sie Informationen sammeln. Mit dem nächsten Neustart des Systems seien alle Spuren beseitigt.
Ende des Jahres 2016 haben laut Kaspersky Banken aus der GUS-Region den Security-Anbieter kontaktiert, da sie die Penetrationstest-Software Meterpreter, die Angreifer oft für schadhafte Zwecke einsetzen, unerwartet im Speicher ihrer Server gefunden haben. Anschließend entdeckten die Security-Experten, dass der Meterpreter-Code mit einer Reihe legitimer Powershell-Skripts und anderen Hilfsmitteln verknüpft wurde. Die Angreifer haben die kombinierten Tools dadurch in schadhaften Code umgearbeitet, der sich im Speicher verstecken und unbemerkt Passwörter von Systemadministratoren sammeln kann. Auf diese Weise erlangten die Kriminellen laut Kaspersky die Kontrolle über ein System. Ziel des Angriffs war anscheinend der Zugriff auf Finanzprozesse.
Seit der Entdeckung hat der Security-Anbieter mehr als 140 solcher Angriffe auf Unternehmensnetzwerke in unterschiedlichen Wirtschaftsbereichen ausmachen können. Vor allem die USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland seien betroffen. In Deutschland und Österreich machte Kaspersky einige wenige Zielobjekte aus. Insgesamt registrierte der Hersteller solcher Angriffe in 40 Ländern.
Der Einsatz von Open Source Exploit Code, herkömmlichen Windows-Tools und unbekannten Domains macht es laut Kaspersky fast unmöglich, herauszufinden, wer hinter den Angriffen steckt. Außerdem sei durch die Verwendung derartiger Tools die Entdeckung von Angriffsdetails schwierig, da die Experten während einer Vorfallreaktion (Incident Response) Spuren und Mustern, die im Netzwerk vom Angreifer zurückbleiben, folgen. Während Datenspuren bis zu einem Jahr nach dem Vorfall auf Festplatten verbleiben können, seien sie bei dieser Angriffsmethode nach dem Neustart des Computers aus dem Arbeitsspeicher verschwunden.
Da die Angreifer noch aktiv sind, rät der Security-Anbieter IT-Sicherheitsverantwortlichen, darauf zu achten, dass sie einen derartigen Angriff nur im RAM, Netzwerk und der Registry entdecken können. Yara-Regeln (Yara: ein plattformübergreifendes Open-Source-Tool zur Malware-Bekämpfung), die auf dem Scan schadhafter Dateien basieren, bieten in diesem Fall keinen Schutz, so der Hersteller.
Weitere Informationen zu den Angriffen sowie passende Yara-Regeln für die forensische Analyse stehen auf securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/ zur Verfügung.
Lesen Sie mehr zum Thema
