c't 7/2017
S. 96
Hintergrund
Dateilose Infektion
Aufmacherbild

Die unsichtbare Gefahr

Dateilose Infektion umgeht Schutzfunktionen

Antiviren-Software durchsucht vor allem Dateien nach Mustern bekannter Schadprogramme. Wenn jedoch gar keine Schadprogramme auf der Festplatte landen, laufen viele Schutzmaßnahmen ins Leere. Professionelle Spione, die es auf hochrangige Ziele in Industrie und Politik abgesehen haben, experimentieren schon länger mit dateiloser Infektion – und die Cyber-Mafia zieht nach.

Herkömmliche Infektionen eines Computers etwa über ein Exploit-Kit laden das eigentliche Schad-Programm aus dem Internet herunter und starten es dann auf dem Computer des Opfers. Das Unheil – etwa in Form von Online-Banking-Betrug – nimmt seinen Lauf. Bei gezielten Einbrüchen in Firmennetzen laden die Angreifer zumeist zusätzliche Werkzeuge nach, mit deren Hilfe sie sich weiter im Netz ausbreiten. Darauf haben sich die Verteidiger mittlerweile eingestellt und suchen gezielt nach diesen Anzeichen einer Infektion.

Um lange unentdeckt zu bleiben und möglichst keine Spuren – Insider sprechen von Indicators of Compromise (IoC) – zu hinterlassen, vermeiden Cyberkriminelle es neuerdings immer öfter ganz, Dateien anzulegen. So berichtete Kaspersky im Februar von einer „fileless Infection“ bei über 140 Firmen in 40 Ländern – darunter Banken, Regierungsorganisationen und Telekommunikationsunternehmen. Als Urheber verdächtigen sie auf Hightech-Bankraub spezialisierte Cyber-Gangs wie Carbanak oder Gcman.

Kommentieren