Endpoint Detection and Response (EDR) Systeme gelten als wichtige Verteidigungslinie im Kampf gegen Cyberangriffe. Sie überwachen Endgeräte kontinuierlich, um auffälliges Verhalten und Malware zu erkennen und abzuwehren. Doch die Bedrohungslandschaft entwickelt sich rasant weiter: Angreifer nutzen ausgeklügelte Methoden, um diese Schutzmechanismen zu umgehen und so unentdeckt an ihren Zielen zu arbeiten. Der Wettlauf zwischen Angreifern und Verteidigern gleicht einem Spiel der Schatten, in dem Angreifer gewissermaßen als „Geister“ durch die Endpoint-Sicherheit schreiten. Dieser Beitrag beleuchtet die wichtigsten Strategien, mit denen Cyberkriminelle moderne EDR-Lösungen austricksen, und zeigt auf, wie Unternehmen die erkannten Schwachstellen adressieren können.
Angreifer setzen vermehrt auf Techniken, die sich „Living off the Land“ nennen. Der Begriff beschreibt, dass sie legitime Systemwerkzeuge und Betriebssystem-Komponenten missbrauchen, um ihre schädlichen Aktivitäten zu verschleiern. Beispiele sind Windows-Tools wie PowerShell, Windows Management Instrumentation (WMI), rundll32.exe oder CertUtil.exe.
Indem sie diese tief im System verankerten und vertrauenswürdigen Werkzeuge nutzen, tarnen sich Angreifer sozusagen als „gute Nachbarn“ im Netzwerk und umgehen viele klassische Signatur- und Verhaltensüberprüfungen der EDR-Systeme. Die Herausforderung für Sicherheitsverantwortliche besteht darin, Missbrauch innerhalb der legitimen Nutzung zuverlässig zu unterscheiden, ohne dabei den regulären Betrieb zu stören. Ein weiteres weitverbreitetes Verfahren ist das „Process Injection“ oder „Process Hollowing“. Anstatt einen eigenen Prozess zu starten, der leicht auffällig wäre, injizieren Angreifer ihren Schadcode in vertrauenswürdige laufende Prozesse wie explorer.exe oder svchost.
exe. Dadurch erscheint die Schadaktivität unter dem Deckmantel eines harmlosen Systemprozesses. Varianten davon erlauben es, einen neuen Prozess zwar zu starten, diesen jedoch im suspendierten Zustand mit eigener, schädlicher Binary zu füllen – ein raffinierter Köder, um EDRs in die Irre zu führen. Die Nachahmung legitimer Prozesse erschwert die Entdeckung enorm, da das EDR System scheinbar reguläre Prozesse überwachen muss und nicht jeden Prozesszugriff als bösartig bewerten kann. Die Überwachung der API-Aufrufe in User-Mode ist ein wichtiges Merkmal moderner EDR-Systeme.
Viele Sicherheitslösungen platzieren sogenannte Hooks in Windows-API-Funktionen, um verdächtige Operationen abzufangen und zu analysieren. Clevere Angreifer umgehen diese Fallen, indem sie „Unhooking“-Techniken anwenden: Sie entfernen durch Überschreiben der „Hook“-Funktionen die vom EDR eingearbeiteten Änderungen und stellen so die ursprünglichen Systemfunktionen wieder her. Dadurch entziehen sie dem EDR ihre Überwachungsmöglichkeiten bei kritischen Systemaufrufen. Eine noch subtilere Methode sind direkte oder indirekte Systemaufrufe (Syscalls). Dabei umgehen die Angreifer die User-Mode-APIs komplett und kommunizieren auf Kernel-Ebene direkt mit dem Betriebssystem.
Dieses Vorgehen nutzt Schwachstellen beim User-Mode-Hooking aus und erschwert die Nachverfolgbarkeit durch klassische Überwachung. Allerdings haben EDR-Hersteller hierauf reagiert und zusätzliche Maßnahmen auf Kernel-Ebene implementiert, um Selbsterkennung und Manipulation zu verhindern. Ein Trend in der bösartigen Software ist die bevorzugte Verwendung von Speicher-basierter Malware. Hier wird das Schadprogramm vollständig im Arbeitsspeicher ausgeführt, ohne Spuren auf der Festplatte zu hinterlassen. Diese „fileless“ Malware verwendet Verschleierungstechniken und verschlüsselt ihre Codesegmente dynamisch, um das Erkennen durch signaturbasierte Scanner oder statische Analysen zu erschweren.
Besonders bekannt sind Tools wie Cobalt Strike, die mittels sogenannter Sleep-Mask-Techniken ihre Präsenz im Speicher verschleiern. Diese Beweglichkeit und Unauffälligkeit stellen hohe Anforderungen an EDR-Systeme, die ihrerseits auf Verhaltensanalysen und heuristische Detektion setzen müssen. Mittels Tampering-Techniken versuchen Angreifer, die EDR selbst direkt auszuschalten oder zu umgehen. Dieser Eingriff ist besonders gefährlich, da das komplette Schutzsystem dadurch lahmgelegt wird. Ein prominentes Beispiel sind Exploits mit sogenannten „Bring Your Own Vulnerable Driver“ (BYOVD).
Hier laden Angreifer signierte, jedoch verwundbare Gerätetreiber, um sich Kernel-Rechte zu verschaffen und EDR-Komponenten auf tiefster Ebene zu deaktivieren. Solche Methoden setzen erweiterte Privilegien voraus, können aber vielfach automatisiert in Exploit-Kits zum Einsatz kommen. Ransomware-Gruppen nutzen solche Techniken bereits eifrig, um Widerstand schnell zu brechen und ihre Schadsoftware ungehindert auszuführen. Die Erkennung und Abwehr dieser ausgefeilten EDR-Bypass-Methoden erfordert ein mehrschichtiges Sicherheitskonzept. Zunächst ist eine differenzierte Verhaltensanalyse unverzichtbar, die ungewöhnliche Nutzung legitimer Werkzeuge erkennt.
Zusätzlich sollten Angriffsmuster auf Speicher- und Prozessmanipulation aufmerksam gemacht werden. Neuere EDR-Lösungen integrieren Kernel-basierte Überwachung und Event Tracing, um direkte Systemaufrufe oder das Laden nicht autorisierter Treiber zu erkennen. Dabei sind Schutzmechanismen wie der sogenannte Protected Process Light (PPL) nützlich, um die EDR selbst vor Manipulation zu schützen. Neben technischen Lösungen trägt auch eine konsequente Anwendung von Hardening-Maßnahmen zur Risikominimierung bei. Beispielsweise schützt das Aktivieren von Memory Integrity und Hypervisor-geschützter Code-Integrität (HVCI) gegen die Ausnutzung bekannter Schwachstellen in Treibern.
Einschränkungen von Zugriffsrechten auf potentielle Einfallstore und eine strikte Kontrolle, welche Prozesse und Skripte ausgeführt werden dürfen, reduzieren die Angriffsfläche deutlich. Das Sperren oder Beschränken von häufig missbrauchten LOLBins (Living Off the Land Binaries) durch AppLocker oder Defender Attack Surface Reduction kann ebenfalls hilfreich sein. Auch die Integration und konsequente Nutzung von PowerShell Logging, Script Block Logging und der Antimalware Scan Interface (AMSI) ermöglichen tiefere Einsichten in Aktivitäten, die über Skripts stattfinden. Angreifer versuchen zwar gern, AMSI zu umgehen oder zu patchen, doch durch Monitoring dieser Umgehungsversuche steigt die Chance, eine Infektion rechtzeitig zu entdecken. Auf Netzwerk- und Cloud-Ebene ergänzt eine ganzheitliche Überwachung die Endpoint-Sicherheit.
Ungewöhnliches Kommunikationsverhalten, Anomalien im Netzwerktraffic und auffällige Verbindungen zu Command-and-Control-Servern können Aufschluss über kompromittierte Systeme geben. Besonders effektiv sind cloudbasierte Sandboxing-Lösungen, die verdächtige Dateien oder Prozesse in sicheren Umgebungen dynamisch analysieren und so auch fileless Malware erkennen helfen. Neben der Technik ist menschliche Wachsamkeit von hoher Bedeutung. Regelmäßige Schulungen zur Sensibilisierung für Phishing und Social Engineering helfen dabei, die Eintrittspforten zu schließen. Denn viele hochentwickelte EDR-Bypass-Techniken setzen bereits voraus, dass Angreifer über einen Fuß in der Tür verfügen – erst die Verbindung zum Endbenutzer ermöglicht die komplexen Manipulationen.
Die kombinierte Umsetzung von technischen, organisatorischen und personellen Maßnahmen stärkt somit nachhaltig den Schutz gegen die immer raffinierteren Angriffsmethoden, die moderne EDR-Lösungen zu umgehen versuchen. Die Sicherheitslandschaft ist ein dynamisches Umfeld, in dem keine Lösung allein ausreicht. Es gilt, verschiedene Ansätze intelligent zu verknüpfen und permanent an die sich verändernde Bedrohungslage anzupassen. Die „Geister im Endpoint“ mögen heute noch schlau agieren, doch durch gezielte Vorbereitungen und kontinuierliches Monitoring lassen sich ihre Spuren eindämmen und der Schaden begrenzen. Awareness, Prävention und schnelle Reaktion sind die besten Mittel, um der ständigen Jagd zwischen Angreifern und Verteidigern gut gerüstet zu begegnen.
Unternehmen, die den Geist der modernen Angriffe verstehen und geeignete Schutzmaßnahmen etablieren, sind in der Lage, ihre Endgeräte tatsächlich „geistersicher“ zu machen und so ihre kritischen Daten und Systeme zuverlässig zu schützen.
