Fileless Malware (kurz FM) lässt sich deutlich schwieriger als klassische Malware entdecken. Wo sich „normale“ Malware direkt in Dateien auf der Festplatte schreibt und dort von einem Antivirus-Programm erkannt werden kann, bleibt FM nur im Arbeitsspeicher. Dieser Bereich ist kaum durch klassische Antivirus-Software überprüfbar. Vor allem wenn FM unzählige Gestalten annimmt (Polymorphismus) und bei jedem Reboot des Systems aus dem RAM entfernt wird. Das macht FM zu einer komplexen, schwer nachvollziehbaren Bedrohung.

Wie dateilos ist Fileless Malware?
Im Bereich der FM sind viele Varianten möglich. Unter anderem gibt es Infektionsprogrammcode, der nur im RAM existiert und ein nachgelagerter Exploit im Dateisystem vorhanden ist. Aber eben auch reine RAM-FM wie Poweliks, der zahlreichen anderen betrügerischen Anwendungen Zutritt auf PC-Systeme gewähren kann. Auch Bedep und die Kotver-Familie sind weitere Vertreter im Segment FM. In der Regel dient all diese Malware als Türöffner für die eigentliche Schadsoftware.

Bisher wenige Beispiele
PhaseBot, PowerSniff, CoinVault, Crigent (aka PowerWorm) und XseKit gehören zu den bekannteren FM-Vertretern. Sie kamen 2013/2014 auf und hatten ihren Höhepunkt Ende 2015. Security-Unternehmen konnten durch die Schließung von Lücken (Vulnerabilities) und Entwicklung neuer Technologien FM eindämmen. Auch haben zum Beispiel die Windows Benutzerkontensteuerung (UAC ) oder WebBrowser Controls zur weiteren Sicherheit beigetragen. Ebenso kann der Datenstrom besser kontrolliert werden und so lässt sich FM vor Ankunft auf dem Zielsystem abfangen.

Letztendlich ist es aber auch anspruchsvoller Fileless Malware zu programmieren. Dank unvorsichtiger Anwender, ungesicherter Systeme, überalterter Konzepte und anderer Schwachstellen, gibt es derzeit noch einfachere Wege für Hacker mit Malware erfolgreich zu agieren. Wofür also der Mehraufwand, wenn es auch so klappt?

Keine Zukunft für FM
Ob Fileless Malware tot ist, wird die Zukunft zeigen. Mehrere Beispiele für funktionierende FM sind bekannt und haben gezeigt, dass es an Möglichkeiten des unbefugten Zugriffs auf unzureichend geschützte Systeme nicht mangelt. Cyberkriminelle scheinen Verfahren aus der Vergangenheit gelegentlich neu aufzulegen und erneut zu nutzen. Derzeit ist das Thema Makro-Viren wieder präsent, nachdem dieser alte Bekannte eine längere Pause hatte. Wieso sollte es mit FM, einer sehr tiefgreifenden Methode anders sein…

Anmerkung der vimopro GmbH
Momentan spricht niemand über fileless Malware, aber die Bedrohung besteht nach wie vor. Es könnte die Ruhe vor dem Sturm sein, die fileless Malware als ausgereifte und technisch perfektionierte Version zurückkehren lässt. Sollte das der Fall sein, könnte sich „dateilose“ Malware zur Security-Bedrohung des Jahres entwickeln.

Sprechen Sie mit uns über Schutzfunktionen gegen FM: denn der ideale Schutz verhindert, dass Malware überhaupt das Ziel-System erreicht.

Die folgenden fünf obligatorischen Praxistipps möchten wir an dieser Stelle erwähnen:

  1. Betriebssysteme und alle Applikationen mit Sicherheits-Updates versehen
  2. Web-Filter für Exploit Kits und bekannte C&C-Server (Botnet)
  3. Blocken der C&C-Kommunikation
  4. Security-Einstellung für Skriptsprachen & Office-Anwendungen anpassen
  5. Virenscanner-Konfiguration auf Anti-FM-Funktionen prüfen