Fileless Malware („dateilose Malware“) ist besonders tückisch. Sie arbeitet nur im Arbeitsspeicher des Computers und hinterlässt auf der Festplatte keine Spuren. Doch das bedeutet nicht, dass unsere Geräte schutzlos sind.
Was ist Fileless Malware?
Viele Malware-Arten funktionieren ähnlich: Sie verstecken sich in Anhängen. Öffnet man diese, wird bösartiger Code ausgeführt. Der Nutzer merkt davon meist nichts. Die Schadsoftware kann sich dann im System ausbreiten. Sie installiert oft weitere Programme wie Keylogger oder Spyware. Manchmal blockiert sie den Zugriff auf Dateien oder zeigt Werbung an. Es agiert wie ein normales Programm, nur eben mit bösen Absichten.
Fileless Malware geht anders vor: Sie speichert sich nicht auf der Festplatte. Stattdessen lädt sie sich direkt in den Arbeitsspeicher (RAM) und nutzt dort legitime Programme für ihre Zwecke. Im Grunde genommen manipuliert Fileless Malware bestehende Prozesse. Sie versteckt sich in Systemfunktionen und missbraucht sie. So lässt sie sich hartnäckiger und schwerer beseitigen als herkömmliche Malware.
Die Geschichte der Fileless Malware
Der erste PC-Schadprogramm war der Brain-Virus von 1986. Er infizierte nur den Bootsektor von Disketten, keine Dateien. Viele ähnliche Viren folgten, wie Form oder Stoned. Diese frühen Viren waren nie in normalen Dateien gespeichert. Sie versteckten sich in Systembereichen der Festplatte. Von dort gelangten sie beim Systemstart in den Speicher. Auch Fileless Malware muss letztlich irgendwie auf den Computer gelangen. Meist geschieht das über Links oder Anhänge in E-Mails. Der Unterschied liegt in der Ausführung.
Beispiele aus der Praxis
Ein bekanntes Beispiel ist die Astaroth-Malware-Kampagne (von ESET als Guildma erkannt), die eine dateilose Methode (Prozessinjektion) zum Betrieb eines Infostealers verwendete. Dieser wurde ursprünglich über einen bösartigen E-Mail-Link verbreitet. Bei der Interaktion nutzte die Malware legitime Windows-Tools wie BITSAdmin, das Dateiattribut Alternate Data Streams und ein Dienstprogramm des Internet Explorers (ExtExport.exe) zur Umgehung der Verteidigung (durch DLL Side-loading). Im Wesentlichen nutzte er also legitime Systemprozesse und -tools, um seinen Code auszuführen. Auch die Kovter-Malware arbeitete "fileless". Sie speicherte ihren Code verschlüsselt in der Windows-Registry. GreyEnergy ist ein weiteres Beispiel für Malware, die nur im Speicher läuft.
Solche Malware-Techniken sind problematisch für einfache Sicherheitslösungen, die Dateien auf einem System scannen und keine Prozess- oder Speicher-Scan-Funktionen besitzen. Fortgeschrittene und professionelle Sicherheitslösungen können dies sehr wohl.
Schutz vor Fileless Malware
Ein Beispiel dafür ist ESET Endpoint Security, das einen mehrschichtigen Schutz bietet. Der Advanced Memory Scanner und der Exploit Blocker erkennen auch versteckte Malware. Die Sicherheitslösung entdeckt auch aktive, dateilose Angriffe im Arbeitsspeicher, die keine dauerhaften Komponenten im Dateisystem enthalten, wie es bei Astaroth (Guildma) und seiner Nutzung des Windows-Toolset der Fall war.Maschinelles Lernen verbessert die Erkennungsraten ständig. ESETs Host-based Intrusion Prevention System (HIPS) und seine Deep Behavioral Inspection (DBI) überwachen verdächtiges Verhalten von Prozessen und Registrierungsschlüsseln. Daher ist es für Malware-Familien wie Kovter schwierig, sich vor ESET Endpoint Security in der Windows-Registrierung zu verstecken, da der Speicher-Scanner auch verschlüsselte Bedrohungen behandelt.
Vorsicht ist der beste Schutz
Trotz guter Schutzprogramme gilt: Klicken Sie nie auf verdächtige Links oder Anhänge. Auch nicht, wenn sie von Bekannten kommen, denen Sie vertrauen.
Fragen Sie im Zweifel beim Absender direkt nach! Nutzen Sie dafür einen anderen Kommunikationsweg (z. B. per SMS, Telefon oder persönlich). Vergewissern Sie sich, ob er die Nachricht wirklich verschickt hat und welche Absichten er verfolgt. Das mag vielleicht etwas übertrieben erscheinen, aber Social Engineering wird immer raffinierter und kann jeden täuschen.
Bleiben Sie informiert! Lesen Sie unsere ESET Blogs, WeLiveSecurity und ESET Research auf X, um bei Cyber-Bedrohungen auf dem Laufenden zu bleiben. Nutzen Sie auch unser kostenloses ESET Cybersecurity Awareness Training. Es hilft Ihnen, jederzeit sicher zu bleiben.