Dateilose Attacke: PowerShell-Loader schleust Remcos RAT ein

16. Mai 2025

Cyberkriminelle nutzen verstärkt PowerShell, um Sicherheitsmechanismen wie Antivirenprogramme und EDR-Systeme zu umgehen. Durch die sogenannte dateilose Ausführung wird der Schadcode direkt im Arbeitsspeicher gestartet – ohne erkennbare Spuren auf der Festplatte. Das erschwert die Erkennung durch klassische Sicherheitslösungen erheblich.

In einer aktuellen Angriffswelle kommt dabei der Remote-Access-Trojaner (RAT) Remcos zum Einsatz. Die Malware gilt als besonders hartnäckig und schwer zu erkennen und ermöglicht Angreifern umfassenden Zugriff auf kompromittierte Systeme. Sie wird häufig für Spionage und Datendiebstahl eingesetzt.

Die Angriffe starten meist mit infizierten LNK-Dateien, die in ZIP-Archiven versteckt und oft als harmlose Office-Dokumente getarnt sind. Über das Windows-Tool mshta.exe wird dann ein PowerShell-basierter Shellcode-Loader ausgeführt, der die Schadsoftware nachlädt – ohne dass dabei eine klassische Datei auf dem System abgelegt wird.

Laut ersten Analysen könnte dieser Loader den Namen „K-Loader“ tragen, endgültige Bestätigungen stehen allerdings noch aus.

Die Qualys Threat Research Unit (TRU) hat einen neuen PowerShell-basierten Shellcode-Loader entdeckt, der eine Variante von Remcos RAT laden und ausführen soll. In diesem Blogbeitrag werden wir einige der interessantesten Aspekte dieser heimlichen Malware-Probe untersuchen.

Attack Flow

Tarnkappen-Taktik: Angreifer nutzen „Living off the Land“-Techniken für verdeckte Cyberattacken

Cyberkriminelle setzen zunehmend auf sogenannte „Living off the Land“-Techniken (LotL), bei denen legitime Systemwerkzeuge wie PowerShell oder Windows Management Instrumentation (WMI) zweckentfremdet werden. Ziel ist es, externe Schadsoftware möglichst zu vermeiden, da diese leichter von Sicherheitslösungen erkannt werden kann.

Diese Methode führt zu einer Zunahme besonders schwer erkennbarer Angriffe – sowohl auf Unternehmen als auch auf staatliche Einrichtungen. Die Angreifer verschaffen sich typischerweise über Phishing-Mails oder durch das Ausnutzen öffentlich erreichbarer Schwachstellen Zugang zu den Systemen. In der Folge werden stark verschleierte PowerShell-Skripte direkt im Arbeitsspeicher oder über geplante Tasks ausgeführt – ohne sichtbare Spuren auf der Festplatte zu hinterlassen.

Solche dateilosen Angriffe unterlaufen sowohl signaturbasierte Virenscanner als auch moderne EDR-Lösungen, die auf auffälliges Verhalten achten. Die PowerShell-basierte Ausführung erlaubt es den Angreifern, nach der initialen Kompromittierung weitreichende Aktionen durchzuführen: von Rechteausweitung und Credential Dumping über laterale Bewegung im Netzwerk bis hin zur Datenexfiltration.

Zur weiteren Verschleierung bedienen sich die Täter legitimer Systembibliotheken, nutzen reflektierende DLL-Injektionen und greifen wiederholt auf WMI zurück. Durch das Zusammenspiel dieser Techniken gelingt es ihnen, langfristig unentdeckt zu bleiben, ihre Kontrolle über betroffene Systeme auszuweiten und Sicherheitslösungen gezielt zu umgehen.

Moderne PowerShell-Angriffe: Verschlüsselung und Verschleierung erschweren Verteidigung

Cyberangriffe über PowerShell werden immer ausgeklügelter – mit erheblichen Folgen für Unternehmen. Sicherheitsexperten warnen vor einer zunehmenden Raffinesse, bei der Angreifer hochdynamische, verschlüsselte Befehlsketten einsetzen, um forensische Analysen zu erschweren und Schutzmaßnahmen gezielt zu umgehen.

Ein gängiges Mittel ist die Base64-Kodierung, mit der Befehle verschleiert werden. Die Kommunikation mit den Command-and-Control-Servern (C2) erfolgt oft verschlüsselt über HTTPS oder legitime Cloud-Dienste, wodurch die Aktivitäten im Datenverkehr nur schwer von regulärem Netzwerkverkehr zu unterscheiden sind.

Diese PowerShell-Skripte können darüber hinaus weitere Schadkomponenten direkt in den Arbeitsspeicher laden oder versteckte Kanäle zur Datenexfiltration einrichten – häufig an traditionellen Sicherheitskontrollen vorbei, die auf klassischere Methoden ausgelegt sind.

Die Konsequenzen sind schwerwiegend: Viele Unternehmen bemerken Sicherheitsvorfälle erst, wenn bereits Daten gestohlen oder Betriebsabläufe gestört wurden. Die Verteidigung ist zusätzlich erschwert, da PowerShell in vielen IT-Umgebungen ein fester Bestandteil legitimer Verwaltungsaufgaben ist – umfassende Einschränkungen sind daher meist nicht praktikabel.

Stattdessen empfehlen Sicherheitsexperten gezielte Maßnahmen:

• Strikte Anwendungs-Whitelists
• Umfassende PowerShell-Protokollierung
• Analyse von Bedrohungsdaten, um auffällige Nutzungsmuster zu erkennen

Ergänzt werden sollte dies durch Netzwerksegmentierung, Kontrollen für privilegierte Zugriffe sowie regelmäßige Schulungen der Mitarbeitenden, um das Sicherheitsbewusstsein im Unternehmen zu stärken.

ybersecurity im Wandel: Anbieter reagieren auf PowerShell-Angriffe mit verfeinerten Analyseverfahren

Angesichts der wachsenden Bedrohung durch PowerShell-basierte Angriffe haben führende Cybersicherheitsunternehmen ihre Erkennungstechnologien deutlich weiterentwickelt. Im Fokus stehen dabei verhaltensbasierte Analysen, die unter anderem ungewöhnliche PowerShell-Ausführungen, verdächtige Eltern-Kind-Prozessbeziehungen und abweichendes Nutzerverhalten identifizieren sollen.

Doch der Wettlauf geht weiter: Angreifer setzen zunehmend auf innovative Taktiken, um legitime Endpunkte, Cloud-Infrastrukturen und kurzlebige Systeme auszunutzen – oftmals in Echtzeit und mit minimaler digitaler Spur. Die Dynamik dieser Bedrohungen unterstreicht: Der Konflikt zwischen Angreifern und Verteidigern spitzt sich weiter zu.

Auf Benutzerkamera zugreifen

Die Zunahme gezielter, PowerShell-gestützter Angriffe zeigt, dass selbst vertrauenswürdige Systemfunktionen zu Einfallstoren für Cyberkriminalität werden können – insbesondere dann, wenn sie nicht kontinuierlich überwacht werden.

Sicherheitsverantwortliche sind daher gefordert, über klassische perimeterbasierte Schutzmaßnahmen hinauszudenken. Neben der Investition in moderne Detection-and-Response-Systeme sollten Unternehmen auch eine Kultur der Wachsamkeit fördern, ihre Sicherheitslösungen regelmäßig aktualisieren und Mitarbeitende sensibilisieren, um auf neue Bedrohungen angemessen reagieren zu können.

Fazit:

Der Einsatz eines PowerShell-basierten Shellcode-Loaders verdeutlicht einen besorgniserregenden Trend in der Cyberkriminalität: Angreifer setzen zunehmend auf dateilose Methoden, um klassische Sicherheitssysteme zu umgehen. Schadcode wird direkt im Arbeitsspeicher ausgeführt und über legitime Systemkomponenten wie mshta.exe gestartet – Spuren auf der Festplatte bleiben minimal, forensische Nachweise rar.

Ein prägnantes Beispiel hierfür ist die Schadsoftware Remcos RAT. Sie nutzt raffinierte Techniken zur Tarnung und persistiert durch den Missbrauch von Windows-Funktionen wie LNK-Dateien und Proxy-Ausführung. Die Malware agiert vollständig im Speicher und bleibt damit für viele Sicherheitstools unsichtbar.

Diese Entwicklungen machen deutlich, wie wichtig es ist, potenzielle Einfallstore genau zu überwachen – etwa die Ausführung verdächtiger LNK-Dateien, das Verhalten von mshta.exe, Manipulationen an der Windows-Registrierung sowie ungewöhnliche PowerShell-Aktivitäten. Schutzmaßnahmen wie die Protokollierung von PowerShell-Befehlen, die Nutzung der Antimalware Scan Interface (AMSI) und der Einsatz moderner Endpoint Detection and Response (EDR)-Lösungen sind heute unverzichtbar. Nur wer frühzeitig auffälliges Verhalten erkennt, kann Angriffe wie den von Remcos wirksam abwehren.

Quelle: Qualys

---

Bild/Quelle: https://depositphotos.com/de/home.html