Erkennung dateiloser Angriffe für Linux in Vorschauversion

Veröffentlicht am 24 Februar, 2020

Senior Program Manager, Enterprise Protection and Detection

Dieser Blogbeitrag wurde von Aditya Joshi, Senior Software Engineer in der Abteilung Enterprise Protection and Detection, mitverfasst.

Angreifer verwenden immer bessere Methoden, um die Erkennung zu vermeiden. Bei dateilosen Angriffen werden Softwaresicherheitsrisiken ausgenutzt, schädliche Nutzlasten in harmlose Systemprozesse eingeschleust und im Arbeitsspeicher verborgen. Bei dieser Technik werden nur minimale oder sogar gar keine Malwarespuren auf dem Datenträger hinterlassen, und die Wahrscheinlichkeit, von datenträgerbasierten Scanlösungen für Malware entdeckt zu werden, wird erheblich reduziert.

Azure Security Center hat im Oktober 2018 die Erkennung dateiloser Angriffe für Windows herausgegeben, um dieser Bedrohung entgegenzuwirken. In unserem Blogbeitrag aus dem Jahr 2018 wird erläutert, wie Security Center Shellcode, Codeeinschleusungstechniken, Nutzlastverschleierungstechniken und andere dateilose Angriffsverhalten auf Windows erkennt. Unsere Forschung zeigt auch die Zunahme der dateilosen Angriffe auf Linux-Workloads.

Wir freuen uns, heute die Vorschauversion von Azure Security Center zum Erkennen von dateilosen Angriffen auf Linux ankündigen zu können.  In diesem Beitrag beschreiben wir einen echten dateilosen Angriff auf Linux, stellen die Funktionen für die Erkennung dateiloser Angriffe vor und stellen Anweisungen für das Onboarding in die Vorschauversion bereit. 

Dateilose Angriffe auf Linux in der Praxis

Ein gängiges Angriffsmuster ist das Einschleusen von Nutzlasten aus gepackter Malware auf Datenträgern in den Speicher und das Löschen der ursprünglichen schädlichen Datei vom Datenträger. Ein aktuelles Beispiel:

  1. Ein Angreifer infiziert einen Hadoop-Cluster, indem er den Dienst identifiziert, der auf einem bekannten Port (Port 8088) ausgeführt wird. Dabei verwendet er die Unterstützung der nicht authentifizierten Hadoop YARN-Remotebefehlsausführung, um Laufzeitzugriff auf den Computer zu erlangen. Beachten Sie, dass der Besitzer des Abonnements diese Phase des Angriffs durch Konfigurieren von Security Center-JIT verkürzen könnte.
  2. Der Angreifer kopiert eine Datei, die gepackte Malware enthält, in ein temporäres Verzeichnis und führt sie aus.
  3. Der bösartige Prozess entpackt die Datei mithilfe von Shellcode, um einen neuen dynamischen, ausführbaren Bereich des Arbeitsspeichers im Speicherbereich des Prozesses zuzuordnen und schleust eine ausführbare Nutzlast in den neuen Speicherbereich ein.
  4. Die Malware überträgt die Ausführung dann an den eingeschleusten ELF-Einstiegspunkt.
  5. Der böswillige Prozess löscht die ursprünglich gepackte Malware vom Datenträger, um ihre Spuren zu verwischen. 
  6. Die eingeschleuste ELF-Nutzlast enthält einen Shellcode, der auf eingehende TCP-Verbindungen lauscht und die Anweisungen des Angreifers überträgt.

Dieser Angriff ist für Scanner schwer zu erkennen. Die Nutzlast ist hinter Verschleierungsebenen verborgen und nur für kurze Zeit auf dem Datenträger vorhanden.  Mit der Vorschauversion der Erkennung dateiloser Angriffe kann Security Center diese Arten von Nutzlasten im Speicher identifizieren und die Benutzer über die Funktionen der Nutzlast informieren.

Erkennungsfunktionen für dateilose Angriffe

Wie bei der Erkennung dateiloser Angriffe auf Windows scannt dieses Feature den Speicher aller Prozesse nach Beweisen für dateilose Toolkits, Techniken und Verhaltensweisen. Im Verlauf der Vorschauversion werden wir unsere Analysen aktivieren und verfeinern, damit die folgenden Verhaltensweisen von Malware erkannt werden:

  • bekannte Toolkits und kryptografische Mining Software 
  • Shellcode, eingeschleuste und ausführbare ELF-Dateien sowie schädlicher Code in ausführbaren Bereichen des Prozessspeichers
  • LD_PRELOAD-basierte Rootkits, um böswillige Bibliotheken vorab zu laden
  • Rechteerweiterungen eines Prozesses von Nicht-Root zu Root
  • Remotesteuerung eines anderen Prozesses mithilfe von ptrace

Im Fall einer Erkennung erhalten Sie eine Warnung auf der Seite „Sicherheitswarnungen“. Warnungen enthalten zusätzliche Informationen wie beispielsweise die Art der verwendeten Techniken, Prozessmetadaten und Netzwerkaktivität. Dadurch können Analysten die Art der Malware besser verstehen, zwischen verschiedenen Angriffen unterscheiden und bei der Auswahl von Wiederherstellungsschritten fundierte Entscheidungen treffen.

 Abbildung 1

Der Scan ist nicht invasiv und wirkt sich nicht auf die anderen Prozesse auf dem System aus.  Die überwiegende Mehrheit der Scans wird in weniger als fünf Sekunden ausgeführt. Der Privatsphäre Ihrer Daten ist während dieses Vorgangs geschützt, da alle Speicheranalysen auf dem Host selbst durchgeführt werden. Überprüfungsergebnisse enthalten nur sicherheitsrelevante Metadaten und Details zu verdächtigen Nutzlasten.

Erste Schritte

Übermitteln Sie Ihr Interesse über das Formular zur Vorschauversion der Erkennung dateiloser Angriffe, wenn Sie sich für diese spezielle Vorschauversion oder das laufende Vorschauprogramm registrieren möchten.

Wenn Sie sich für das Onboarding entscheiden, wird diese Funktion automatisch auf Ihren Linux-Computern als Erweiterung für den Log Analytics-Agent für Linux (auch als OMS-Agent bezeichnet) bereitgestellt, der die in dieser Dokumentation beschriebenen Linux-Betriebssystemdistributionen unterstützt. Diese Lösung unterstützt Azure-Umgebungen sowie cloudübergreifende und lokale Umgebungen. Die Teilnehmer müssen für den Standard-Tarif oder die Testversion des Standard-Tarifs registriert sein, um von dieser Funktion profitieren zu können.

Weitere Informationen zu Azure Security Center finden Sie auf der Azure Security Center-Homepage.