Dateilose Malware (fileless malware)
Im Gegensatz zu anderen Angriffen mit Schadsoftware, bei denen Software unwissentlich auf dem Gerät des Benutzers installiert wird, nutzen dateilose Malware-Angriffe bereits installierte Anwendungen, die als sicher gelten. Daher müssen bei dateilosen Malware-Angriffen keine bösartiger Software oder Dateien installiert werden, um einen Angriff zu starten.
Ein Angriff durch eine dateilose Malware (fileless malware) kann durch eine vom Anwender ausgelöste Aktion beginnen, beispielweise durch Anklicken eines Dokumentes das eingebetteten Code mit sich führt. Dateilose Malware-Angriffe befinden sich im Arbeitsspeicher des Gerätes und machen sich Standard-Windows-Werkzeuge wie die PowerShell oder WMI (Windows Management Instrumentation) zunutze.
Angriffe mit dateiloser Malware sind in der Regel sehr schwer zu verhindern und zu erkennen, da für diese Art der Attacke keine Dateien heruntergeladen werden müssen. Da sie keine erkennbare Signatur hat, kann sie die Wirksamkeit von einigen Antimalware-Lösungen oder Whitelists aushebeln.
Wie man Angriffe mit dateiloser Malware verhindert und erkennt
Auch wenn dateilose Malware-Angriffe schwer zu verhindern und zu erkennen sind, hinterlassen sie doch einige erkennbare Spuren. Zu diesen gehört eine Beeinträchtigung des Systemspeichers eines Gerätes. Darüber hinaus sollten die Netzwerkaktivitäten überwacht werden, um festzustellen, ob das System eine Verbindung zu Botnet-Servern herstellt. Einige Antivirenlösungen bieten Verhaltensanalysen, die erkennen können, wenn eine Anwendung zur gleichen Zeit wie beispielsweise PowerShell ausgeführt. Der Dienst kann dann die Anwendung unter Quarantäne stellen oder sie schließen.
Da dateilose Malware-Angriffe auch versuchen sich Microsoft Office zunutze zu machen, empfiehlt es sich die Makrofunktionen so streng und beschränkt wie möglich einzurichten. In Browsern kann die Deaktivierung von JavaScript deaktiviert werden, was jedoch die Nutzung vieler Websites nachhaltig einschränkt.
Best Practices zur Absicherung vor dateiloser Malware
Einige bewährte Vorgehensweisen zur Vermeidung von Angriffen durch dateilose Malware sind
- Die bestmögliche Absicherung der Endpunkte.
- Überwachung des Datenverkehrs von Anwendungen und im Netzwerk.
- Die Deinstallation nicht genutzter oder unkritischer Anwendungen.
- Alle nicht benötigten Funktionen in Anwendungen zu deaktivieren.
- Die Nutzung der PowerShell sollte möglichst sicher und beschränkt konfiguriert werden. (siehe auch Tipps zur Konfiguration der PowerShell-Ausführungsrichtlinie).
- Durch einen Neustart des Systems sollte sich ein dateiloser Angriff stoppen lassen.
- Im Falle eines Angriffs ist es zudem ratsam, die Passwörter der Systeme zu ändern.
