Dynamic Shellcode Protection spürt im temporären Speicher ausgeführte Malware wie Ransomware oder Remote Access Agenten auf und blockiert damit eine beliebte Hackertechnik, um Schutzprogramme zu umgehen.
Sophos stellt seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection ist in Sophos Intercept X integriert und kann das Einnisten von Angriffscode in die dynamische Heap-Region des Speichers verhindern.
Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Infolgedessen ist es weniger wahrscheinlich, dass die Malware erkannt und blockiert wird. Zu den Malwarearten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote Access Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff, je früher sie entdeckt und blockiert werden, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection nun einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt ist dabei die Entdeckung, dass diese speziellen Angriffscodes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen. Im Blog-Beitrag „Covert Code Faces a Heap of Trouble in Memory“ beschreiben die Sophos-Forscher ihre Entdeckung detailliert.
So funktioniert die Sophos Dynamic Shellcode Protection
Code von Anwendungen mit Ausführungsrechten wird üblicher Weise in den Speicher geladen. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich wird als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen wird der Loader für einen Remote Access Agent direkt in den Heap-Speicher injiziert. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote Access Agents zu erfüllen. Dies wird als „Heap-Heap“-Speicherzuweisungsverhalten bezeichnet. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockiert.
„Schadhafter Code versucht sich immer einer Erkennung zu entziehen, beispielsweise indem er getarnt und gepackt direkt in den Speicher geladen wird. Derartiger Code wird von Sicherheits-Tools oft nicht erkannt, auch nicht, wenn er entpackt wird. Die Forensiker und Security-Experten von Sophos erkannten, dass Heap-Heap-Speicherzuweisungen eine sehr typische Aktion mehrstufigen Remote Access Agents und anderen Angriffscodes ist“, erklärt Mark Loman, Director of Engineering bei Sophos. „Es ist das primäre Ziel, Angreifer daran zu hindern, einzelne Computer oder ein ganzes Netzwerk zu kompromittieren. Darum muss Schadware sehr früh erkannt werden, um beispielsweise den Zugriff auf Anmeldeinformationen, eine Rechteausweitung, laterale Bewegungen im Netzwerk oder das Sammeln, Freigeben und Abziehen von Informationen zu verhindern. Mit Dynamic Shellcode Protection sind wir nun in der Lage, genau jene Ansprüche noch effektiver zu bedienen.“