Threat Hunting mit Velociraptor: In-Memory-Evasion im Speicher entlarvt!

Incident Responder beobachten regelmässig, wie Angreifer Microsoft .NET Reflection missbrauchen, um dynamisch bösartigen Code zu laden und auszuführen. Wie die Prozessinjektion ist auch diese Angriffstechnik für Cyberkriminelle attraktiv, da sie heimlich erfolgen kann und die Ausführung von Schadcode ermöglicht, ohne dass dies für die Cyber Defence sichtbar ist.

Velociraptor Deep Dive: Reflektierte .NET-Assemblies im Arbeitsspeicher erkennen

Incident Responder stehen vor der Herausforderung, In-Memory-.NET-Assemblies sichtbar zu machen – und genau hier setzt unsere technische Analyse an. In der technischen Forschung gehen Incident Responder diese Herausforderung an, indem sie praktische Methoden zur Erkennung und Extraktion von In-Memory-.NET-Assemblies unter Verwendung der Velociraptor-Plattform demonstriert. Eine analytische Untersuchung deckt auf, wie Reflection als legitime Entwicklungsfunktion funktioniert, warum sie für Missbrauch attraktiv ist und wie Verteidiger verdächtige In-Memory-Aktivitäten von normalem Anwendungsverhalten unterscheiden können.

In einem technischen Deep Dive auf dem InfoGuard Labs Blog stellt unser Incident-Responder-Team zwei neue Velociraptor-Erkennungsfunktionen vor. Die erste Erkennungsfunktion identifiziert dynamisch geladene .NET-Assemblies und hilft dabei, verdächtige Module zu entdecken, die nicht durch Dateien auf der Festplatte gestützt werden. Die zweite sammelt .NET-Laufzeitprozesse und sucht nach potenziellen Manipulationen. Die Forschung skizziert zudem Techniken zum Extrahieren von Assemblies im Arbeitsspeicher für eine tiefere forensische Analyse mit Open-Source-Forensik-Tools.

Wie extrahieren und analysieren Cybervorfall-Forensiker verborgenen Schadcode aus dem Arbeitsspeicher? Vertiefen Sie Ihr technisches Know-how: Die ausführliche Schritt-für-Schritt-Anleitung in unserem InfoGuard Labs Blog zeigt, wie Sie die technische Umsetzung meistern. 

Threat Hunting und SOC: Systematische Sichtbarkeit der modernen Cyberabwehr

Ein kontinuierliches Threat Hunting und eine lückenlose Überwachung, welche Auffälligkeiten frühzeitig erkennt, ist für nachhaltige Cyberresilienz entscheidend.

Die enge Zusammenarbeit von SOC-, Threat-Intelligence- und Incident-Response-Teams stellt sicher, dass Erkenntnisse aus realen Vorfällen direkt in die Abwehr einfliessen. So entsteht eine Cyberabwehr, die nicht erst reagiert, wenn Schaden sichtbar wird, sondern Angriffe vorausschauend erkennt und wirksam eindämmt.

Dazu gehören unter anderem folgende Leistungen:

• 24/7 personell besetzte Überwachung in Security Operations Centern in der Schweiz und in Deutschland

• KI-gestützte Analyse auch subtiler Angriffsmuster und Evasion-Techniken

• Tiefgreifende forensische Expertise für belastbare Lagebeurteilungen und klare Handlungsempfehlungen

So entsteht eine moderne Cyberabwehr, die nicht erst reagiert, wenn Schaden sichtbar wird, sondern In-Memory-Angriffe frühzeitig erkennt und strukturiert adressiert – als Grundlage für eine nachhaltige Resilienz.

Wer sich vertieft mit dieser Thematik auseinandersetzen mag, dem sei der Research-Artikel von IG Labs empfohlen. Denn Wissen ist der erste Schritt – Handeln der entscheidende: Treffen Sie heute die Entscheidung für eine robuste Sicherheit von morgen. 

Bildlegende: mit KI generiertes Bild