Malware, die nicht gefunden werden will – So verhält man sich richtig


Das Sicherheitsunternehmen Trustwave warnt vor Malware-Angriffen, die so geschickt getarnt sind, dass geschädigte Unternehmen diese Angriffe gar nicht oder sehr spät erkennen – nämlich dann, wenn es bereits zu spät ist und wertvolle Unternehmensdaten bereits gestohlen wurden. Diese oft als Fileless Malware bezeichnete Schadsoftware wird von Cyberkriminellen immer öfter eingesetzt und lässt sich mit herkömmlichen Sicherheitslösungen im Regelfall nicht erkennen. Trustwave gibt Tipps, wie man diese Art von Angriffen unterbinden kann.

Fileless Malware, im Deutschen oft als „Dateilose Malware“ bezeichnet, ist kein neues Phänomen, erfreut sich aber laut aktuellen Untersuchungen von Trustwave zunehmender Beliebtheit bei Cyberkriminellen.

Malware, die nicht gefunden werden will

Anders als herkömmliche Malware nistet sich Fileless Malware nicht in Dateien auf der Festplatte ein, sondern ist darauf spezialisiert, an kaum überprüfbaren Bereichen des Systems ausgeführt zu werden, beispielsweise im Arbeitsspeicher. Während herkömmliche Malware von Antiviren-Lösungen erkannt und entfernt werden kann, hinterlässt Fileless Malware dagegen keine Spuren. Oft wird diese Art von Malware bei einem Neustart des Systems automatisch wieder aus dem Arbeitsspeicher oder einem anderen Bereich gelöscht, so dass sie weder entdeckt noch forensisch untersucht werden kann.

Natürlich ist es schwierig, etwas zu bekämpfen, was quasi nicht sichtbar ist. Schützen können sich Unternehmen gegen Fileless Malware nur dann, wenn sie proaktiv agieren. Das heißt: Threat Intelligence nutzen, 24/7-Monitoring-/Alarmierung einsetzen und dafür sorgen, dass die Systeme 100%ig gegen Angriffe von außen geschützt sind.

Um die Systeme sicher zu schützen, empfiehlt Trustwave Folgendes:

  • Regelmäßig Security-Awareness-Trainings für Mitarbeiter durchführen, bei denen der Schwerpunkt auf Spear-Phishing liegt.
  • Einen E-Mail-Server oder eine -Appliance verwenden, die bei der Malware-Erkennung behilflich sein und zum Beispiel eingehende E-Mail-Anhänge scannen kann.
  • Makros standardmäßig für alle Office-Anwendungen blockieren.
  • Sicherstellen, dass Intrusion-Detection-Regeln Metasploit-Module erkennen können.
  • Implementieren einer SIEM-Lösung, die es Sicherheitsexperten möglich macht, den Netzwerkverkehr vor, während und nach einem Angriff zu untersuchen.
  • Threat-Intelligence nutzen und Software-Beschränkungsrichtlinien einführen, die zum Beispiel verhindern, dass Programme in C:\Windows\Temp ausgeführt werden können.
  • PowerShell und VBS-Skripte, die vom Unternehmen verwendet werden, auf die Whitelist setzen und alle anderen blockieren.
  • DNS-Monitoring ohne Unterbrechung durchführen und eine Meldefunktion einbauen, die über übermäßige DNS-Abfragen innerhalb eines ausgewählten Zeitrahmens informiert.
  • DNS-Verkehr beschränken, damit interne Systeme nur die eigenen DNS-Server abfragen können.

Über Trustwave

Trustwave hilft Unternehmen die Cyberkriminalität zu bekämpfen, Daten zu schützen und Sicherheitsrisiken zu reduzieren. Mit Cloud- und Managed Security Services, integrierten Technologien und dem Trustwave SpiderLabs, einem Team von Sicherheitsexperten, bestehend aus ethischen Hackern und Forschern, unterstützt Trustwave die Unternehmen bei der Verwaltung und Umsetzung der IT-Sicherheit und den Compliance-Programmen. Mehr als drei Millionen Unternehmen sind auf der Trustwave TrustKeeper® Cloud-Plattform registriert, über die Trustwave ein automatisiertes, effizientes und kosteneffektives Schwachstellen-, Bedrohungs- und Compliance-Management anbietet. Trustwave ist in Chicago ansässig und verfügt über Kunden in 96 Ländern. Für weitere Informationen zu Trustwave, besuchen Sie bitte https://www.trustwave.com und https://www.info-point-security.com/hersteller/ueber-trustwave.

[via Pressemeldung]


Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.