Im Speicher versteckte Malware greift Firmenrechner an
Es bleiben keine Malware-Dateien auf der Festplatte zurück. Der Schadcode wird Kaspersky Lab zufolge lediglich kurzeitig im Speicher versteckt, die unerwünschten Aktionen werden von legitimer Software durchgeführt. Nach einem Neustart des Systems bleiben für Forensiker kaum Ansatzpunkte.
Kaspersky Lab hat eine Reihe ausgeklügelter Cyberangriffe auf Firmen aus der Finanz- und Telekommunikationsbranche sowie Behörden in 40 Ländern untersucht. Die Angreifer machen sich dabei in Unternehmen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows zunutze. Besonderheit ist den Experten zufolge, dass dabei Malware zum Einsatz kommt, die lediglich im Speicher aktiv ist.
Dadurch seien die Angriffe, die immer noch liefen, auch im Nachhinein nur sehr schwer nachweisbar. Da keine Malware-Dateien auf der Festplatte zurückbleiben und nach einem Systemneustart auch nicht mehr im Speicher zu finden sind, bleiben Forensikern kaum Ansatzpunkte. Die Angreifer sind nur solange im System zu fassen, solange sie Informationen sammeln.
Kaspersky vermutet hinter den Angriffen die Gruppen GCMAN und Carbanak. Letztere wurde 2015 bekannt, als sie durch ebenfalls sehr gezielte und technisch komplexe Angriffe, die von viel Insiderwissen zeugten, von Banken mehrere hundert Millionen Euro erbeuteten.
Erst kürzlich hatte der IT-Sicherheitsanbieter Forcepoint zudem eine Angriffsmethode entdeckt, die er der Carbanak-Guppe zuschreibt Dabei werden Services wie Google Apps Script, Google Forms und Google Tabellen genutzt, um kriminelle Aktivitäten zu verschleiern. Die Malware wird durch ein RTF-Dokument, das verschlüsseltes Visual Basic Script enthält, bei den Zielpersonen auf den Rechner geschleust.
Aufmerksam wurde Kaspersky auf die aktuellen Fälle durch einen Hinweis einer Bank aus dem russischsprachigen Raum Ende 2016. Deren IT-Abteilung hatte die Penetrationstest-Software “Meterpreter”, unerwartet im Speicher ihrer Server gefunden. Anschließend entdeckten die Experten von Kaspersky Lab, dass dieser Code mit einer Reihe zulässiger PowerShell-Skripte und anderen Administration-Tools verknüpft war. Die Kombination der Tools erlaubte es den Angreifern, unbemerkt Passwörter von Systemadministratoren zu sammeln und die Kontrolle über ein System zu übernehmen. Ziel des Angriffs war wahrscheinlich, Zugriff auf Finanzprozesse zu erlangen.
Einmal aufmerksam geworden, hat Kaspersky Lab seitdem bereits ähnliche Attacken auf über 140 Netzwerke, vor allem von Banken, Telekommunikationsunternehmen und Behörden identifizieren können. Die meisten der entdeckten Angriffe hatten Firmen in den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland zum Ziel. Aber auch in Deutschland und Österreich waren die Angreifer aktiv.
“Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware”, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, in einer Pressemitteilung. Seiner Ansicht nach wird Speicherforensik für die Analyse von Malware und deren Funktionen deshalb besonders wichtig. Bei den bislang untersuchten Attacken hätten die Angreifer “jede denkbare antiforensische Technik” genutzt und demonstriert, dass keine Malware-Dateien benötigt werden, um Daten erfolgreich aus einem Netzwerk herauszuschleusen.
“Diese Angriffsvektoren werden immer häufiger bei zielgerichteten Angriffen auf Unternehmen verwendet”, erklärt Liviu Arsene, Senior E-Threat Analyst bei Bitdefender, auf Anfrage von silicon.de. “Die Manipulation des Memory mit dem Ziel, Privilegien zu erlangen, um dann den Schadcode auszuführen ohne dabei einen Alarm auszulösen – das sind die neuen Maßstäbe bei Advanced Threats.”
Um solche Angriffe abzuwehren, seien Memory-Introspection-Technologien erforderlich, mit denen sich Methoden zur Memory-Manipulation, zu denen etwa Code Injection, Function Detouring und API Hooking gehören, aufspüren lassen. Ansätze, die nur auf die Erkennung von Schadcode angewiesen sind, seien dabei überfordert.
Ebenso wie Kaspersky mit seinen Produkten nimmt Bitdefender für sich in Anspruch, derartige Angriffe aufspüren zu können. Arsene erklärt: “Die HVI-Technologie (Hypervisor Introspection) von Bitdefender wäre in der Lage, das Auftreten dieses Angriffstypus zu verhindern, insbesondere dann, wenn das Unternehmen seine Infrastruktur virtualisiert aufgebaut hat. Da HVI auf Hypervisoren-Ebene unter Verwendung der Citrix Direct Inspect API unterhalb des Betriebssystems läuft, bietet es bisher beispiellose Einsichten in den Raw Memory der virtuellen Maschine.” Generell empfiehlt Arsene Unternehmen ein mehrstufiges Security-Konzept zu verfolgen. Das helfe einerseits die Kosten eines Angriffs in die Höhe zu treiben und Anomalien aufzuspüren. “Es dauert normalerweise Monate, bis eine Organisation einen solchen Einbruch festgestellt hat. Daher kann man sagen: Je mehr Sicherheitsmechanismen greifen – wie etwa Erkennung von Anomalien und Honeypots – umso höher sind die Chancen, Angriffe zu erkennen und vorzubeugen”, so der Bitdefener-Experte.
Auch andere Anbieter empfehlen dies. Zum Beispiel Palo Alto Networks betont diesbezüglich aber, dass man hier nicht nur auf ein reines “Wettrüsten” mit den Kriminellen setzen, sondern die eigenen Bemühungen im Rahmen einer Security-Architektur effektiv koordinieren sollte.