Categories: SicherheitVirus

Windows Defender ATP erkennt dateilose Bedrohungen

Microsoft meldet die erfolgreiche Erkennung dateiloser Schadprogramme, die nur im Arbeitsspeicher aktiv sind und nicht auf die Festplatte geschrieben werden. Da diese bislang wenig verbreitete, aber zunehmende Form von Bedrohungen keine Spuren auf dem Laufwerk hinterlassen, entgehen sie leicht einer Erkennung durch übliche Sicherheitslösungen.

Die fragliche Malware verließ sich auf Methoden des für Penetrationstests entwickelten Frameworks Sharpshooter, das im April 2018 von der Sicherheitsfirma MDSec veröffentlicht wurde. Sharpshooter nimmt Anleihen beim Tool DotNetToJScript des Sicherheitsforschers James Forshaw von Googles Project Zero und generiert eine bösartige Fracht in gängigen Windows-Formaten. Um die Malware ans Ziel zu bringen, kommt Social Engineering zum Einsatz – etwa mit einem Link zu einer präparierten Site oder einem JavaScript-Archiv als E-Mail-Anhang. Die Sharpshooter-Autoren stellen zudem laufend Updates bereit, um für die Umgehung von AMSI (Antimalware Scan Interface) in Windows 10 zu sorgen.

„Die Sharpshooter-Methode erlaubt einem Angreifer, ein Script zur Ausführung einer .NET-Anwendung direkt aus dem Arbeitsspeicher zu nutzen, ohne jemals auf dem Laufwerk gespeichert zu sein“, führt Andrea Lelli von Windows Defender Research in einem Blogeintrag aus. „Diese Technik sorgt für ein Framework, das Angreifern die einfache Umverpackung eines bösartigen ausführbaren Programms innerhalb eines Scripts erlaubt.“

Klassifikation dateiloser Bedrohungen (Bild: Microsoft)

Um dateilosen Bedrohungen dennoch auf die Spur zu kommen, griff Microsoft auf einen Erkennungsmechanismus zurück, der Laufzeit-Aktivitäten und nicht nur ein statisches Script auswertet. „Der Erkennungsmechanismus nutzt die AMSI-Unterstützung in Scripting-Engines und richtet sich auf allgemeines bösartiges Verhalten, einen Fingerabdruck der bösartigen dateilosen Angriffsmethode“, so Lelli weiter. „Script-Engines können die von einem Script während der Laufzeit aufgerufenen APIs während der Laufzeit in einem Protokoll festhalten. Dieses API-Logging ist dynamisch und daher nicht zu verschleiern: Ein Script kann seinen Code verbergen, aber nicht sein Verhalten. Das Protokoll kann dann von Antivirus-Lösungen über AMSI gescannt werden, wenn der Aufruf bestimmter gefährlicher APIs – etwa von Triggern – erfolgt.“

Als die Sharpshooter-Methode bekannt wurde, sahen es Microsofts Sicherheitsforscher nur noch als eine Frage der Zeit an, bis sie in Angriffen zum Einsatz kommen würde. Jetzt berichten sie von zwei verschleierten Scripts, die von der Sicherheitslösung Windows Defender ATP als tatsächliche Malware erkannt und blockiert wurden. Erkannt wurde weiterhin ein VBScript mit einer versteckten .NET-Anwendung, die einen Angriff in zwei dateilosen Phasen durchführte.

Die weitere Untersuchung ergab Anzeichen dafür, dass es sich dabei wahrscheinlich um eine Penetrationsübung oder um einen Test mit echter Malware handelte, jedoch nicht um eine gezielte Attacke. Der Einsatz dateiloser Methoden machten diese Malware laut Microsoft jedoch „vergleichbar mit raffinierten, tatsächlichen Attacken“. Zugleich habe sich die Wirksamkeit der dynamischen Schutzvorkehrungen von Windows Defender ATP bewiesen.

[mit Material von Liam Tung, ZDNet.com]

Bernd Kling

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

16 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

1 Tag ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

1 Tag ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

2 Tagen ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

2 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

2 Tagen ago