März 8, 2021 —

Sophos stellt seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection ist in Sophos Intercept X integriert und kann das Einnisten von Angriffscode in die dynamische Heap-Region des Speichers verhindern.

Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Infolgedessen ist es weniger wahrscheinlich, dass die Malware erkannt und blockiert wird. Zu den Malwarearten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote Access Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff, je früher sie entdeckt und blockiert werden, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection nun einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt ist dabei die Entdeckung, dass diese speziellen Angriffscodes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen. Im Blog-Beitrag, „Covert Code Faces a Heap of Trouble in Memory“, beschreiben die Sophos Forscher ihre Entdeckung detailliert.

So funktioniert die Sophos Dynamic Shellcode Protection

Code von Anwendungen mit Ausführungsrechten wird üblicher Weise in den Speicher geladen. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich wird als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen wird der Loader für einen Remote Access Agent direkt in den Heap-Speicher injiziert. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote Access Agents zu erfüllen. Dies wird als „Heap-Heap“-Speicherzuweisungsverhalten bezeichnet. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockiert.

„Schadhafter Code versucht sich immer einer Erkennung zu entziehen, beispielsweise indem er getarnt und gepackt direkt in den Speicher geladen wird. Derartiger Code wird von Sicherheits-Tools oft nicht erkannt, auch nicht, wenn er entpackt wird. Die Forensiker und Security-Experten von Sophos erkannten, dass Heap-Heap-Speicherzuweisungen eine sehr typische Aktion mehrstufigen Remote Access Agents und anderen Angriffscodes ist“, erklärt Mark Loman, Director of Engineering bei Sophos. „Es ist das primäre Ziel, Angreifer daran zu hindern, einzelne Computer oder ein ganzes Netzwerk zu kompromittieren. Darum muss Schadware sehr früh erkannt werden, um beispielsweise den Zugriff auf Anmeldeinformationen, eine Rechteausweitung, laterale Bewegungen im Netzwerk oder das Sammeln, Freigeben und Abziehen von Informationen zu verhindern. Mit Dynamic Shellcode Protection sind wir nun in der Lage, genau jene Ansprüche noch effektiver zu bedienen.“

Über Sophos

Sophos ist ein weltweit führender Anbieter von modernsten Sicherheitslösungen zur Abwehr von Cyberangriffen, einschließlich Managed Detection and Response (MDR) und Incident Response Services sowie einem breiten Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Security-Technologien. Als einer der größten ausschließlich auf Cybersicherheit spezialisierten Anbieter schützt Sophos weltweit mehr als 600.000 Unternehmen und Organisationen und mehr als 100 Mio. Benutzer vor aktiven Angreifern, Ransomware, Phishing, Malware und mehr. Die Services und Produkte von Sophos sind über die Management-Konsole Sophos Central miteinander verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Sophos X-Ops Intelligence optimiert das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dieses Ökosystem umfasst einen zentralen Data Lake, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Cybersecurity- und Informationstechnologie-Anbietern zur Verfügung stehen. Sophos bietet Cybersecurity-as-a-Service für Unternehmen und Organisationen an, die vollständig verwaltete Sicherheitslösungen benötigen. Kunden können ihre Cybersicherheit auch direkt mit der Sophos Security-Operations-Plattform verwalten oder einen hybriden Ansatz nutzen, bei dem sie ihre internen Teams mit Sophos-Services ergänzen, einschließlich Threat Hunting und Maßnahmen zur Beseitigung von Bedrohungen. Sophos vertreibt seine Produkte und Services über ein weltweites Netzwerk von Vertriebspartnern und Managed Service Providern (MSPs). Sophos hat seinen Hauptsitz im britischen Oxford. Weitere Informationen finden Sie unter www.sophos.de.