Dynamic Shellcode Protection spürt im temporären Speicher ausgeführte Malware wie Ransomware oder Remote Access Agenten auf und blockiert damit eine beliebte Hackertechnik, um Schutzprogramme zu umgehen.
Sophos stellt seinen neuen Schutz gegen Cyberattacken, bei denen sich Malware dateilos im temporären Speicher der betroffenen Computer lädt, vor. Dynamic Shellcode Protection ist in Sophos Intercept X integriert und kann das Einnisten von Angriffscode in die dynamische Heap-Region des Speichers verhindern.
Der Speicherbereich eines gehackten Computers ist ein beliebtes Versteck für Malware, da Sicherheitsscans den Speicher normalerweise nicht abdecken. Infolgedessen ist es weniger wahrscheinlich, dass die Malware erkannt und blockiert wird. Zu den Malwarearten, die versuchen, sich auf diese Weise zu aktivieren, gehören Ransomware und Remote Access Agenten. Letztere bilden oft die Basis für einen bevorstehenden Angriff, je früher sie entdeckt und blockiert werden, desto besser. Die Sophos-Forscher haben mit Dynamic Shellcode Protection nun einen Weg gefunden, um sich gegen solche dateilose Malware basierend auf ihrem Verhalten zu verteidigen. Dreh- und Angelpunkt ist dabei die Entdeckung, dass diese speziellen Angriffscodes unabhängig von der konkreten Code-Art oder seinem Zweck ein gemeinsames Verhalten im Speicher aufweisen. Im Blog-Beitrag „Covert Code Faces a Heap of Trouble in Memory“ beschreiben die Sophos-Forscher ihre Entdeckung detailliert.
So funktioniert die Sophos Dynamic Shellcode Protection
Code von Anwendungen mit Ausführungsrechten wird üblicher Weise in den Speicher geladen. Darüber hinaus benötigen Apps in der Regel einen zusätzlichen, temporären In-Memory-Arbeitsbereich, etwa zum Entpacken oder Speichern von Daten. Dieser variable Arbeitsbereich wird als „Heap“-Speicher bezeichnet. Bei den meisten Cyberangriffen wird der Loader für einen Remote Access Agent direkt in den Heap-Speicher injiziert. Dieser muss weiteren ausführbaren Speicher aus dem Heap beziehen, um die Anforderungen des Remote Access Agents zu erfüllen. Dies wird als „Heap-Heap“-Speicherzuweisungsverhalten bezeichnet. Die Security-Spezialisten von Sophos identifizierten ein derartiges Verhalten als eindeutigen Indikator für potenziell verdächtige Aktivitäten und entwickelten mit Dynamic Shellcode Protection einen Schutz, der die Zuweisung von Ausführungsberechtigungen von einem Heap-Speicher zu einem anderen blockiert.
„Schadhafter Code versucht sich immer einer Erkennung zu entziehen, beispielsweise indem er getarnt und gepackt direkt in den Speicher geladen wird. Derartiger Code wird von Sicherheits-Tools oft nicht erkannt, auch nicht, wenn er entpackt wird. Die Forensiker und Security-Experten von Sophos erkannten, dass Heap-Heap-Speicherzuweisungen eine sehr typische Aktion mehrstufigen Remote Access Agents und anderen Angriffscodes ist“, erklärt Mark Loman, Director of Engineering bei Sophos. „Es ist das primäre Ziel, Angreifer daran zu hindern, einzelne Computer oder ein ganzes Netzwerk zu kompromittieren. Darum muss Schadware sehr früh erkannt werden, um beispielsweise den Zugriff auf Anmeldeinformationen, eine Rechteausweitung, laterale Bewegungen im Netzwerk oder das Sammeln, Freigeben und Abziehen von Informationen zu verhindern. Mit Dynamic Shellcode Protection sind wir nun in der Lage, genau jene Ansprüche noch effektiver zu bedienen.“
Als ein weltweit führender Anbieter von Next-Generation-Cybersicherheit schützt Sophos mehr als 400.000 Unternehmen jeder Größe in über 150 Ländern vor den neuesten Cyberbedrohungen. Mit den SophosLabs und seinem globalen Team für Bedrohungs- und Datenanalyse schützen die Cloud- und KI-gestützten Sophos-Lösungen Endpoints (Laptops, Server und mobile Geräte) sowie Netzwerke vor sich ständig verändernden Cyberangriffen, einschließlich Ransomware, Malware, Exploits, Datenexfiltration, individuellen Hackervorstößen, Phishing und mehr. Die cloud-basierte Plattform Sophos Central integriert über APIs das gesamte Next Generation Sophos-Portfolio, von der Intercept X Endpoint-Lösung bis zur XG Firewall, in einem einzigen Synchronized-Security-System. Sophos treibt die Entwicklung zur Next Generation Cybersicherheit voran und setzt fortschrittliche Technologien, beispielsweise aus den Bereichen Cloud, Machine Learning, APIs, Automatisierung oder Managed Threat Response ein, um Unternehmen jeder Größe Schutz der Enterprise-Klasse zu bieten. Sophos vertreibt Produkte und Services exklusiv über einen globalen Channel mit mehr als 53.000 Partnern und Managed Service Providern (MSP). Sophos stellt seine innovativen, gewerblichen Technologien auch Privatanwendern via Sophos Home zur Verfügung. Das Unternehmen hat seinen Hauptsitz in Oxford, Großbritannien. Weitere Informationen unter www.sophos.de.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR-Manager Central & Eastern Europe
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de