Im Speicher versteckte Malware greift Firmenrechner an

Kaspersky Lab hat eine Reihe ausgeklügelter Cyberangriffe auf Firmen aus der Finanz- und Telekommunikationsbranche sowie Behörden in 40 Ländern untersucht. Die Angreifer machen sich dabei in Unternehmen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows zunutze. Besonderheit ist den Experten zufolge, dass dabei Malware zum Einsatz kommt, die lediglich im Speicher aktiv ist.

Dadurch seien die Angriffe, die immer noch liefen, auch im Nachhinein nur sehr schwer nachweisbar. Da keine Malware-Dateien auf der Festplatte zurückbleiben und nach einem Systemneustart auch nicht mehr im Speicher zu finden sind, bleiben Forensikern kaum Ansatzpunkte. Die Angreifer sind nur solange im System zu fassen, solange sie Informationen sammeln.

Kaspersky vermutet hinter den Angriffen die Gruppen GCMAN und Carbanak. Letztere wurde 2015 bekannt, als sie durch ebenfalls sehr gezielte und technisch komplexe Angriffe, die von viel Insiderwissen zeugten, von Banken mehrere hundert Millionen Euro erbeuteten.

Erst kürzlich hatte der IT-Sicherheitsanbieter Forcepoint zudem eine Angriffsmethode entdeckt, die er der Carbanak-Guppe zuschreibt Dabei werden Services wie Google Apps Script, Google Forms und Google Tabellen genutzt, um kriminelle Aktivitäten zu verschleiern. Die Malware wird durch ein RTF-Dokument, das verschlüsseltes Visual Basic Script enthält, bei den Zielpersonen auf den Rechner geschleust.

Aufmerksam wurde Kaspersky auf die aktuellen Fälle durch einen Hinweis einer Bank aus dem russischsprachigen Raum Ende 2016. Deren IT-Abteilung hatte die Penetrationstest-Software “Meterpreter”, unerwartet im Speicher ihrer Server gefunden. Anschließend entdeckten die Experten von Kaspersky Lab, dass dieser Code mit einer Reihe zulässiger PowerShell-Skripte und anderen Administration-Tools verknüpft war. Die Kombination der Tools erlaubte es den Angreifern, unbemerkt Passwörter von Systemadministratoren zu sammeln und die Kontrolle über ein System zu übernehmen. Ziel des Angriffs war wahrscheinlich, Zugriff auf Finanzprozesse zu erlangen.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Einmal aufmerksam geworden, hat Kaspersky Lab seitdem bereits ähnliche Attacken auf über 140 Netzwerke, vor allem von Banken, Telekommunikationsunternehmen und Behörden identifizieren können. Die meisten der entdeckten Angriffe hatten Firmen in den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland zum Ziel. Aber auch in Deutschland und Österreich waren die Angreifer aktiv.

“Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware”, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, in einer Pressemitteilung. Seiner Ansicht nach wird Speicherforensik für die Analyse von Malware und deren Funktionen deshalb besonders wichtig. Bei den bislang untersuchten Attacken hätten die Angreifer “jede denkbare antiforensische Technik” genutzt und demonstriert, dass keine Malware-Dateien benötigt werden, um Daten erfolgreich aus einem Netzwerk herauszuschleusen.

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender)

“Diese Angriffsvektoren werden immer häufiger bei zielgerichteten Angriffen auf Unternehmen verwendet”, erklärt Liviu Arsene, Senior E-Threat Analyst bei Bitdefender, auf Anfrage von silicon.de. “Die Manipulation des Memory mit dem Ziel, Privilegien zu erlangen, um dann den Schadcode auszuführen ohne dabei einen Alarm auszulösen – das sind die neuen Maßstäbe bei Advanced Threats.”
Um solche Angriffe abzuwehren, seien Memory-Introspection-Technologien erforderlich, mit denen sich Methoden zur Memory-Manipulation, zu denen etwa Code Injection, Function Detouring und API Hooking gehören, aufspüren lassen. Ansätze, die nur auf die Erkennung von Schadcode angewiesen sind, seien dabei überfordert.

Ebenso wie Kaspersky mit seinen Produkten nimmt Bitdefender für sich in Anspruch, derartige Angriffe aufspüren zu können. Arsene erklärt: “Die HVI-Technologie (Hypervisor Introspection) von Bitdefender wäre in der Lage, das Auftreten dieses Angriffstypus zu verhindern, insbesondere dann, wenn das Unternehmen seine Infrastruktur virtualisiert aufgebaut hätte. Da HVI auf Hypervisoren-Ebene unter Verwendung der Citrix Direct Inspect API unterhalb des Betriebssystems läuft, bietet es bisher beispiellose Einsichten in den Raw Memory der virtuellen Maschine.”

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Generell empfiehlt Arsene Unternehmen ein mehrstufiges Security-Konzept zu verfolgen. Das helfe einerseits die Kosten eines Angriffs in die Höhe zu treiben und Anomalien aufzuspüren. “Es dauert normalerweise Monate, bis eine Organisation einen solchen Einbruch festgestellt hat. Daher kann man sagen: Je mehr Sicherheitsmechanismen greifen – wie etwa Erkennung von Anomalien und Honeypots – umso höher sind die Chancen, Angriffe zu erkennen und vorzubeugen”, so der Bitdefender-Experte.

Auch andere Anbieter empfehlen dies. Zum Beispiel Palo Alto Networks betont diesbezüglich aber, dass man hier nicht nur auf ein reines “Wettrüsten” mit den Kriminellen setzen, sondern die eigenen Bemühungen im Rahmen einer Security-Architektur effektiv koordinieren sollte.

Redaktion

View Comments

  • Das Problem ist nicht nur, dass Malware in die Speicher gelangt - das lässt sich praktisch nicht verhindern. Das Problem ist, das in die Speicher gelangte Malware als Instruktionen in die Prozessoren gelangt. Dagegen gibt es das Europäische Patent 14715865.3, das eine nicht überwindbare Hardware-Barriere beschreibt. Wie man an den Beispielen sieht, ist mit Software nicht viel zu machen, weil "die Bösen" stets die Nase vorn haben werden.

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

4 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

4 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago