Im Speicher versteckte Malware greift Firmenrechner an

Kaspersky Lab hat eine Reihe ausgeklügelter Cyberangriffe auf Firmen aus der Finanz- und Telekommunikationsbranche sowie Behörden in 40 Ländern untersucht. Die Angreifer machen sich dabei in Unternehmen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows zunutze. Besonderheit ist den Experten zufolge, dass dabei Malware zum Einsatz kommt, die lediglich im Speicher aktiv ist.

Dadurch seien die Angriffe, die immer noch liefen, auch im Nachhinein nur sehr schwer nachweisbar. Da keine Malware-Dateien auf der Festplatte zurückbleiben und nach einem Systemneustart auch nicht mehr im Speicher zu finden sind, bleiben Forensikern kaum Ansatzpunkte. Die Angreifer sind nur solange im System zu fassen, solange sie Informationen sammeln.

Kaspersky vermutet hinter den Angriffen die Gruppen GCMAN und Carbanak. Letztere wurde 2015 bekannt, als sie durch ebenfalls sehr gezielte und technisch komplexe Angriffe, die von viel Insiderwissen zeugten, von Banken mehrere hundert Millionen Euro erbeuteten.

Erst kürzlich hatte der IT-Sicherheitsanbieter Forcepoint zudem eine Angriffsmethode entdeckt, die er der Carbanak-Guppe zuschreibt Dabei werden Services wie Google Apps Script, Google Forms und Google Tabellen genutzt, um kriminelle Aktivitäten zu verschleiern. Die Malware wird durch ein RTF-Dokument, das verschlüsseltes Visual Basic Script enthält, bei den Zielpersonen auf den Rechner geschleust.

Aufmerksam wurde Kaspersky auf die aktuellen Fälle durch einen Hinweis einer Bank aus dem russischsprachigen Raum Ende 2016. Deren IT-Abteilung hatte die Penetrationstest-Software “Meterpreter”, unerwartet im Speicher ihrer Server gefunden. Anschließend entdeckten die Experten von Kaspersky Lab, dass dieser Code mit einer Reihe zulässiger PowerShell-Skripte und anderen Administration-Tools verknüpft war. Die Kombination der Tools erlaubte es den Angreifern, unbemerkt Passwörter von Systemadministratoren zu sammeln und die Kontrolle über ein System zu übernehmen. Ziel des Angriffs war wahrscheinlich, Zugriff auf Finanzprozesse zu erlangen.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Einmal aufmerksam geworden, hat Kaspersky Lab seitdem bereits ähnliche Attacken auf über 140 Netzwerke, vor allem von Banken, Telekommunikationsunternehmen und Behörden identifizieren können. Die meisten der entdeckten Angriffe hatten Firmen in den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland zum Ziel. Aber auch in Deutschland und Österreich waren die Angreifer aktiv.

“Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware”, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, in einer Pressemitteilung. Seiner Ansicht nach wird Speicherforensik für die Analyse von Malware und deren Funktionen deshalb besonders wichtig. Bei den bislang untersuchten Attacken hätten die Angreifer “jede denkbare antiforensische Technik” genutzt und demonstriert, dass keine Malware-Dateien benötigt werden, um Daten erfolgreich aus einem Netzwerk herauszuschleusen.

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender)

“Diese Angriffsvektoren werden immer häufiger bei zielgerichteten Angriffen auf Unternehmen verwendet”, erklärt Liviu Arsene, Senior E-Threat Analyst bei Bitdefender, auf Anfrage von silicon.de. “Die Manipulation des Memory mit dem Ziel, Privilegien zu erlangen, um dann den Schadcode auszuführen ohne dabei einen Alarm auszulösen – das sind die neuen Maßstäbe bei Advanced Threats.”
Um solche Angriffe abzuwehren, seien Memory-Introspection-Technologien erforderlich, mit denen sich Methoden zur Memory-Manipulation, zu denen etwa Code Injection, Function Detouring und API Hooking gehören, aufspüren lassen. Ansätze, die nur auf die Erkennung von Schadcode angewiesen sind, seien dabei überfordert.

Ebenso wie Kaspersky mit seinen Produkten nimmt Bitdefender für sich in Anspruch, derartige Angriffe aufspüren zu können. Arsene erklärt: “Die HVI-Technologie (Hypervisor Introspection) von Bitdefender wäre in der Lage, das Auftreten dieses Angriffstypus zu verhindern, insbesondere dann, wenn das Unternehmen seine Infrastruktur virtualisiert aufgebaut hätte. Da HVI auf Hypervisoren-Ebene unter Verwendung der Citrix Direct Inspect API unterhalb des Betriebssystems läuft, bietet es bisher beispiellose Einsichten in den Raw Memory der virtuellen Maschine.”

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Generell empfiehlt Arsene Unternehmen ein mehrstufiges Security-Konzept zu verfolgen. Das helfe einerseits die Kosten eines Angriffs in die Höhe zu treiben und Anomalien aufzuspüren. “Es dauert normalerweise Monate, bis eine Organisation einen solchen Einbruch festgestellt hat. Daher kann man sagen: Je mehr Sicherheitsmechanismen greifen – wie etwa Erkennung von Anomalien und Honeypots – umso höher sind die Chancen, Angriffe zu erkennen und vorzubeugen”, so der Bitdefender-Experte.

Auch andere Anbieter empfehlen dies. Zum Beispiel Palo Alto Networks betont diesbezüglich aber, dass man hier nicht nur auf ein reines “Wettrüsten” mit den Kriminellen setzen, sondern die eigenen Bemühungen im Rahmen einer Security-Architektur effektiv koordinieren sollte.

Redaktion

View Comments

  • Das Problem ist nicht nur, dass Malware in die Speicher gelangt - das lässt sich praktisch nicht verhindern. Das Problem ist, das in die Speicher gelangte Malware als Instruktionen in die Prozessoren gelangt. Dagegen gibt es das Europäische Patent 14715865.3, das eine nicht überwindbare Hardware-Barriere beschreibt. Wie man an den Beispielen sieht, ist mit Software nicht viel zu machen, weil "die Bösen" stets die Nase vorn haben werden.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago