Categories: Cloud

Windows Defender ATP erkennt dateilose Bedrohungen

Microsoft meldet die erfolgreiche Erkennung dateiloser Schadprogramme, die nur im Arbeitsspeicher aktiv sind und nicht auf die Festplatte geschrieben werden. Da diese bislang wenig verbreitete, aber zunehmende Form von Bedrohungen keine Spuren auf dem Laufwerk hinterlassen, entgehen sie leicht einer Erkennung durch übliche Sicherheitslösungen.

Die fragliche Malware verließ sich auf Methoden des für Penetrationstests entwickelten Frameworks Sharpshooter, das im April 2018 von der Sicherheitsfirma MDSec veröffentlicht wurde. Sharpshooter nimmt Anleihen beim Tool DotNetToJScript des Sicherheitsforschers James Forshaw von Googles Project Zero und generiert eine bösartige Fracht in gängigen Windows-Formaten. Um die Malware ans Ziel zu bringen, kommt Social Engineering zum Einsatz – etwa mit einem Link zu einer präparierten Site oder einem JavaScript-Archiv als E-Mail-Anhang. Die Sharpshooter-Autoren stellen zudem laufend Updates bereit, um für die Umgehung von AMSI (Antimalware Scan Interface) in Windows 10 zu sorgen.

“Die Sharpshooter-Methode erlaubt einem Angreifer, ein Script zur Ausführung einer .NET-Anwendung direkt aus dem Arbeitsspeicher zu nutzen, ohne jemals auf dem Laufwerk gespeichert zu sein”, führt Andrea Lelli von Windows Defender Research in einem Blogeintrag aus. “Diese Technik sorgt für ein Framework, das Angreifern die einfache Umverpackung eines bösartigen ausführbaren Programms innerhalb eines Scripts erlaubt.”

Klassifikation dateiloser Bedrohungen (Bild: Microsoft)

Um dateilosen Bedrohungen dennoch auf die Spur zu kommen, griff Microsoft auf einen Erkennungsmechanismus zurück, der Laufzeit-Aktivitäten und nicht nur ein statisches Script auswertet. “Der Erkennungsmechanismus nutzt die AMSI-Unterstützung in Scripting-Engines und richtet sich auf allgemeines bösartiges Verhalten, einen Fingerabdruck der bösartigen dateilosen Angriffsmethode”, so Lelli weiter. “Script-Engines können die von einem Script während der Laufzeit aufgerufenen APIs während der Laufzeit in einem Protokoll festhalten. Dieses API-Logging ist dynamisch und daher nicht zu verschleiern: Ein Script kann seinen Code verbergen, aber nicht sein Verhalten. Das Protokoll kann dann von Antivirus-Lösungen über AMSI gescannt werden, wenn der Aufruf bestimmter gefährlicher APIs – etwa von Triggern – erfolgt.”

Als die Sharpshooter-Methode bekannt wurde, sahen es Microsofts Sicherheitsforscher nur noch als eine Frage der Zeit an, bis sie in Angriffen zum Einsatz kommen würde. Jetzt berichten sie von zwei verschleierten Scripts, die von der Sicherheitslösung Windows Defender ATP als tatsächliche Malware erkannt und blockiert wurden. Erkannt wurde weiterhin ein VBScript mit einer versteckten .NET-Anwendung, die einen Angriff in zwei dateilosen Phasen durchführte.

Die weitere Untersuchung ergab Anzeichen dafür, dass es sich dabei wahrscheinlich um eine Penetrationsübung oder um einen Test mit echter Malware handelte, jedoch nicht um eine gezielte Attacke. Der Einsatz dateiloser Methoden machten diese Malware laut Microsoft jedoch “vergleichbar mit raffinierten, tatsächlichen Attacken”. Zugleich habe sich die Wirksamkeit der dynamischen Schutzvorkehrungen von Windows Defender ATP bewiesen.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

7 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

7 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

7 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

12 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago