Fileless Malware – Definition

Was ist Fileless Malware?

Bei Fileless Malware (auch: dateilose Malware oder dateilose Schadsoftware) handelt es sich um eine spezielle Methode von Cyberangriffen. Der große Unterschied zu herkömmlicher Malware ist, dass bei einem Angriff mit Fileless Malware kein eigener Schadcode auf dem System beziehungsweise PC/Laptop installiert werden muss. Stattdessen werden legitime Tools und Anwendungen für die bösartigen Zwecke missbraucht – dies wird auch mit dem Begriff „Living off the Land“ bezeichnet. Dieser Umstand macht das Erkennen von dateilloser Malware schwierig für Firewalls und Antivirus-Programme.

Um einen Angriff mit Fireless Malware durchzuführen, müssen sich die Hacker beziehungsweise Cyberkriminellen Zugang zum System verschaffen. Dies erfolgt in der Regel über gestohlene Zugangsdaten, Exploit-Kits, die mittels klassischem Phishing oder Social Engineering verteilt werden, oder bereits im Vorfeld manipulierte Tools, die durch arglose Nutzer heruntergeladen werden.

Funktionsweise & Eigenschaften dateiloser Malware

Während traditionelle Malware nach ihrer Installation eigenständig schädliche Dateien oder Codes herunterlädt (dies wird von professioneller Antivirus-Software eigentlich erkannt), ist Fileless Malware in der Lage, den schadhaften Code selbstständig in die Windows-Registrierung zu schreiben und ihn in nativen Dateien erfolgreich vor Sicherheitssoftware zu verstecken. Je nach Programmierung der dateilosen Malware ist es möglich, dass die Schadsoftware bei jedem Start des Betriebssystems automatisch und vom Nutzer unbemerkt ausgeführt wird. Durch die missbräuchliche Nutzung regulärer Anwendungen und Programme oder gängiger Prozesse sowie der Tatsache, dass das Verhalten dateiloser Malware keinen festen Rhythmen oder Arten unterliegt, wird sie häufig nicht automatisch durch Sicherheitssoftware erkannt.

Bekannte Varianten der Fileless Malware sind: Poweliks, GootKit und Kovter. Eine Unterart der Fileless Malware ist die Fileless Ransomware – also dateilose Erpressertrojaner. Hier wird der schädliche Code zum Beispiel mit Hilfe von Makros durch verseuchte Word-Dateien in das System eingeschleust.

Schutz vor Fileless Malware

Bei Fileless Malware gilt der gleiche Grundsatz wie bei jeder anderen Form von Malware: einen 100-prozentigen Schutz gibt es leider nicht. Das liegt vor allem daran, dass die Methoden durch Cyberkriminelle, sich Zugang zu Fremdsystemen zu verschaffen, immer weiterentwickelt werden. Als bestmöglicher Schutz gilt daher eine Kombination aus professioneller IT-Sicherheitstechnik und der Sensibilisierung der Nutzer für perfide Angriffsmethoden (zum Beispiel CEO-Fraud, verseuchte E-Mail-Anhänge usw.).

Besonders Security-Software mit Verwendung von Angriffsindikatoren (IOAs) kann sich als nützlich erweisen: Im Gegensatz zu klassischen Antivirus-Lösungen sind sie darauf ausgerichtet, Anzeichen für einen bereits laufenden Angriff zu erkennen – und nicht die einzelnen Schritte bis dahin. Durch die Analyse einzelner Sequenzen und Vorgänge im jeweiligen Kontext können sie Angriffe mit Fileless Malware erfolgreich erkennen und Gegenmaßnahmen einleiten.