Windows Defender ATP erkennt dateilose Bedrohungen

Microsoft meldet die erfolgreiche Erkennung dateiloser Schadprogramme, die nur im Arbeitsspeicher aktiv sind und nicht auf die Festplatte geschrieben werden. Da diese bislang wenig verbreitete, aber zunehmende Form von Bedrohungen keine Spuren auf dem Laufwerk hinterlassen, entgehen sie leicht einer Erkennung durch übliche Sicherheitslösungen.

Die fragliche Malware verließ sich auf Methoden des für Penetrationstests entwickelten Frameworks Sharpshooter, das im April 2018 von der Sicherheitsfirma MDSec veröffentlicht wurde. Sharpshooter nimmt Anleihen beim Tool DotNetToJScript des Sicherheitsforschers James Forshaw von Googles Project Zero und generiert eine bösartige Fracht in gängigen Windows-Formaten. Um die Malware ans Ziel zu bringen, kommt Social Engineering zum Einsatz – etwa mit einem Link zu einer präparierten Site oder einem JavaScript-Archiv als E-Mail-Anhang. Die Sharpshooter-Autoren stellen zudem laufend Updates bereit, um für die Umgehung von AMSI (Antimalware Scan Interface) in Windows 10 zu sorgen.

“Die Sharpshooter-Methode erlaubt einem Angreifer, ein Script zur Ausführung einer .NET-Anwendung direkt aus dem Arbeitsspeicher zu nutzen, ohne jemals auf dem Laufwerk gespeichert zu sein”, führt Andrea Lelli von Windows Defender Research in einem Blogeintrag aus. “Diese Technik sorgt für ein Framework, das Angreifern die einfache Umverpackung eines bösartigen ausführbaren Programms innerhalb eines Scripts erlaubt.”

Um dateilosen Bedrohungen dennoch auf die Spur zu kommen, griff Microsoft auf einen Erkennungsmechanismus zurück, der Laufzeit-Aktivitäten und nicht nur ein statisches Script auswertet. “Der Erkennungsmechanismus nutzt die AMSI-Unterstützung in Scripting-Engines und richtet sich auf allgemeines bösartiges Verhalten, einen Fingerabdruck der bösartigen dateilosen Angriffsmethode”, so Lelli weiter. “Script-Engines können die von einem Script während der Laufzeit aufgerufenen APIs während der Laufzeit in einem Protokoll festhalten. Dieses API-Logging ist dynamisch und daher nicht zu verschleiern: Ein Script kann seinen Code verbergen, aber nicht sein Verhalten. Das Protokoll kann dann von Antivirus-Lösungen über AMSI gescannt werden, wenn der Aufruf bestimmter gefährlicher APIs – etwa von Triggern – erfolgt.”

Als die Sharpshooter-Methode bekannt wurde, sahen es Microsofts Sicherheitsforscher nur noch als eine Frage der Zeit an, bis sie in Angriffen zum Einsatz kommen würde. Jetzt berichten sie von zwei verschleierten Scripts, die von der Sicherheitslösung Windows Defender ATP als tatsächliche Malware erkannt und blockiert wurden. Erkannt wurde weiterhin ein VBScript mit einer versteckten .NET-Anwendung, die einen Angriff in zwei dateilosen Phasen durchführte.

Die weitere Untersuchung ergab Anzeichen dafür, dass es sich dabei wahrscheinlich um eine Penetrationsübung oder um einen Test mit echter Malware handelte, jedoch nicht um eine gezielte Attacke. Der Einsatz dateiloser Methoden machten diese Malware laut Microsoft jedoch “vergleichbar mit raffinierten, tatsächlichen Attacken”. Zugleich habe sich die Wirksamkeit der dynamischen Schutzvorkehrungen von Windows Defender ATP bewiesen.