Was ist dateilose Malware und wie können Sie sich davor schützen?

Was ist dateilose Malware?

Dateilose Malware ist Schadcode, der ein Computersystem ohne offensichtliche Spuren infiltriert – anders als herkömmliche Viren oder andere Arten von Malware, die in der Regel Dateispuren hinterlassen. Stattdessen existiert dateilose Malware ausschließlich im Arbeitsspeicher (RAM) eines Computers und missbraucht vertrauenswürdige Systemtools, um schädliche Prozesse auszuführen und Daten zu stehlen.

Dateilose Malware versteckt sich tief im Systemspeicher und nicht auf der Festplatte.

Angreifer, die dateilose Malware-Angriffe starten, nutzen häufig legitime, in Ihren Windows-PC integrierte Programme und Befehle, um sich mit normaler Systemaktivität zu tarnen. Tools, die dateilose Malware ausnutzen kann, sind unter anderem:

• PowerShell

• Windows Management Instrumentation (WMI)

• VBScript.

• JScript.

• Batch-Dateien

• Systemdienstprogramme wie mshta.exe und rundll32.exe

Da dateilose Malware sich in der Regel mit normaler Systemaktivität tarnt, ist sie schwer zu erkennen – Antivirus-Programme suchen meist nach infizierten Dateien als Hinweis auf Malware, die sich irgendwo im System versteckt. Ohne diesen dateibasierten Nachweis kann herkömmlicher Virenschutz das Vorhandensein dateiloser Malware vollständig übersehen.

Wie funktioniert dateilose Malware?

Infektionen mit dateiloser Malware beginnen häufig damit, dass ein Opfer ein harmlos aussehendes Dokument herunterlädt oder ein Skript ausführt, das ungefährlich wirkt, aber tatsächlich mit Schadcode infiziert ist. Diese Aktion aktiviert ein Programm wie PowerShell im Hintergrund, und der Schadcode wird direkt in den Arbeitsspeicher geladen.

Sobald sie aktiv ist, kann dateilose Malware zusätzliche Payloads herunterladen, Spyware einsetzen, sensible Daten abgreifen oder Systemeinstellungen verändern – und das alles, während sie sich mit normaler Systemaktivität tarnt.

Diese Technik verwandelt legitime Systemtools in Waffen und ermöglicht es Angreifern, unbemerkt zu agieren, ohne die offensichtlichen dateibasierten Spuren zu hinterlassen, die für herkömmliche Malware typisch sind.

Sobald das Opfer die Malware heruntergeladen hat, schleicht sie sich in den Arbeitsspeicher und sendet gestohlene Daten an den Hacker.

Hier ist eine detailliertere Aufschlüsselung, wie ein dateiloser Malware-Angriff abläuft:

Zugriff

Zunächst muss sich der Hacker unberechtigten Zugriff auf das Zielsystem verschaffen. Dateilose Angriffe beginnen meist damit, dass das Opfer über einen schädlichen Link in einer Phishing-E-Mail, einen infizierten Anhang, einen Drive-by-Download (Malware, die automatisch von einer infizierten Website heruntergeladen wird) oder versteckten Code, der über eine "Backdoor" in eine bewährte App eingeschleust wird, kontaktiert wird.

Reagiert der Benutzer wie beabsichtigt – indem er beispielsweise auf einen gefälschten Link klickt oder ein manipuliertes Dokument herunterlädt –, kann die dateilose Malware ein integriertes Programm veranlassen, ein Skript auszuführen, wodurch Schadcode im Gerätespeicher ausgeführt wird.

Persistenz herstellen

Sobald dateilose Malware eingerichtet und aktiviert ist, versucht sie, unter dem Radar zu bleiben, um weitere schädliche Prozesse auszuführen oder noch mehr Daten zu stehlen, bevor sie entdeckt wird.

Sie arbeitet unauffällig, läuft weiterhin im Arbeitsspeicher und vermeidet es, Dateien zu erstellen, die sie einem Antivirus- oder Malware-Scan verraten könnten. Sie kann Skripte in Registrierungsschlüsseln speichern, WMI-Ereignisse einrichten, die die Malware beim Neustart des Systems automatisch neu starten, oder versteckte geplante Aufgaben erstellen.

Datenexfiltration

Dateilose Malware nutzt auf Computern verbreitete integrierte Tools und Befehle wie PowerShell, CertUtil oder mshta.exe, um sich im System zu bewegen oder Daten unbemerkt zu exfiltrieren. Manche dateilosen Bedrohungen können sogar Ihre Dateien verschlüsseln oder Passwörter aus dem Speicher stehlen. Da die gestohlenen Daten in der Regel mit dem regulären Netzwerkverkehr verschmelzen, können diese Angriffe ungehindert ablaufen, ohne Alarm zu schlagen.

Häufige Arten von dateiloser Malware

Dateilose Malware gibt es, wie reguläre Malware, in vielen verschiedenen Formen. Sie alle haben jedoch eines gemeinsam: Sie hinterlassen nicht die üblichen Dateispuren, die für herkömmliche Malware typisch sind. Stattdessen laufen sie im temporären Speicher und kapern integrierte Systemtools, was die Erkennung jeder Art dateiloser Malware schwieriger macht als bei dateibasierten Angriffen.

Dies sind einige der häufigsten Arten von dateiloser Malware:

Speicherresidente Malware

Speicherresidente Malware nistet sich im Arbeitsspeicher (RAM) des Systems ein. Sie verwischt ihre Spuren, indem sie selten auf die Festplatte schreibt, was die Arbeit herkömmlicher Antivirus-Tools enorm erschwert. Dieser dateilose Bösewicht infiziert Computersysteme typischerweise über Netzwerk-Gateways und Firewalls und läuft nur, wenn das System eingeschaltet ist – dabei führt er seine Aufgaben still im Hintergrund aus.

Ein bekanntes Beispiel ist Duqu 2.0, das 2015 die IT-Sicherheitsbranche erschütterte. Das hoch entwickelte Cyber-Spionagetool infizierte Computer in Hotels in Österreich und der Schweiz, die Schauplatz internationaler Verhandlungen über das iranische Atomprogramm waren.

Registerbasierte Malware

Registerbasierte Malware versteckt ihren Schadcode oder ihre Befehle in der Windows-Registrierung, die sie sowohl als Startrampe als auch als Mechanismus zur Herstellung von Persistenz nutzt. Anstatt auf eine herkömmliche ausführbare Datei zu setzen, bettet sie Skripte oder kodierte Payloads direkt in Registrierungsschlüssel ein. Dies ermöglicht es der Malware auf clevere Weise, sich bei jedem Systemstart neu zu laden.

Die Trojaner-Malware-Varianten Poweliks und Kovter waren berüchtigt dafür, diese Technik zu nutzen und dabei tief verborgen zu bleiben und so gut wie keine Spuren zu hinterlassen.

Poweliks war eine der ersten weit verbreiteten und anerkannten dateilosen Bedrohungen und speicherte sein schädliches JavaScript direkt in der Registrierung, wobei es legitime Systemtools zur Ausführung nutzte. Kovter begann als dateibasierte Bedrohung, entwickelte sich aber später zu einer größtenteils dateilosen Malware-Familie, die in der Registrierung gespeicherte Payloads zur Unterstützung von Klickbetrug, Ad-Injection und Fernsteuerung durch Angreifer einsetzte und dabei seinen Fußabdruck auf der Festplatte minimierte.

WMI- oder skriptbasierte Angriffe

Diese Angriffe nutzen vertrauenswürdige Windows-Tools wie WMI und PowerShell, um schädliche Befehle direkt aus dem Gerätespeicher heraus auszuführen. Sie nutzen die LOTL-Methode, tarnen sich mit regulärer Systemaktivität und vermeiden es, verdächtige Daten auf die Festplatte zu schreiben, um sich nicht selbst zu belasten.

Diese skriptgesteuerten Methoden gehören zu den häufigsten Formen dateiloser Angriffe, da sie auf Tools setzen, denen das Betriebssystem bereits vertraut. Statt eine herkömmliche ausführbare Datei zu platzieren, missbrauchen Angreifer PowerShell, WMI oder andere Skript-Engines, um Schadcode direkt in den Speicher zu laden oder ihn von einem Remote-Server abzurufen. Die FIN7-Intrusion-Kampagne, die häufig PowerShell- und JavaScript-basierte Loader für verdeckte, dateilose Operationen einsetzte, ist einer der am besten dokumentierten skriptbasierten dateilosen Malware-Angriffe.

Dateilose Malware erkennen

Der LOTL-Ansatz dateiloser Malware ermöglicht es ihr, herkömmliche Antivirus-Software und Cybersicherheitssysteme zu umgehen, die ausschließlich auf signaturbasierter Erkennung (Suche nach bekannten Dateien), Whitelisting und Sandboxing basieren.

Potenzielle Opfer dieser Bedrohungen müssen stattdessen auf Software setzen, die sich auf verhaltensbasierte Erkennung konzentriert und ungewöhnliche Skriptaktivitäten, abnormale PowerShell-Nutzung und verdächtige im Speicher laufende Prozesse überwacht.

Dies sind zwei der wichtigsten Methoden, mit denen moderne Cybersicherheitsprogramme oder -Apps versuchen, dateilose Malware zu erkennen:

Angriffsindikatoren vs. Kompromittierungsindikatoren

Da dateilose Malware keine kompromittierten Dateien hinterlässt, die signaturbasierte Erkennungstools als riskant einstufen könnten (sogenannte reaktive Belege oder "Indicators of Compromise"), setzt die Abwehr dateiloser Malware auf proaktive Belege oder "Indicators of Attack". Dazu können Anzeichen gehören, dass etwas Verdächtiges passiert, wie die Ausführung ungewöhnlicher Prozesse durch PowerShell oder unerwartet ablaufende Skripte.

Der Schlüssel, einen Angriff zu erkennen und ihn – im besten Fall – zu stoppen, bevor er echten Schaden anrichtet, liegt im Einsatz von Tools, die verdächtiges Verhalten erkennen können, während es geschieht, anstatt nur die Folgen zu analysieren.

Verhaltensanalysetechniken

Das Herzstück der dateilosen Malware-Erkennung ist die Beobachtung dessen, was das System tut, und nicht, welche Dateien es erstellt oder speichert. Cybersicherheitsfunktionen wie Echtzeit-Monitoring, Skript-Block-Logging und detailliertes Prozessverhaltens-Tracking können ungewöhnliche Aktivitäten erkennen, sobald sie auftreten, und Bedrohungen aufdecken, die für rein signaturbasierte Sicherheitslösungen unsichtbar wären.

Um Anomalien zu erkennen, müssen Cybersicherheitstools häufig zunächst eine Grundlinie für normales Verhalten erstellen – ein Prozess, der zunehmend von KI und maschinellem Lernen übernommen wird.

Wie man dateilose Malware-Angriffe verhindert

Wirksame Abwehrmaßnahmen gegen dateilose Malware sollten proaktiv sein, da sie die Malware beim Ausnutzen vertrauenswürdiger Systemtools erwischen müssen – und nicht erst auf Spuren reagieren, die sie hinterlässt. Da dateilose Angriffe viele der gleichen Angriffsvektoren wie herkömmliche Malware nutzen, ist es außerdem wichtig, gängige Cyberbedrohungs-Angriffsvektoren wie Phishing, kompromittierte Software und infizierte Anhänge zu kennen.

Hier sind einige der besten Möglichkeiten, Ihre Geräte gegen das Risiko dateiloser Malware zu schützen:

• Vermeiden Sie verdächtige Links und Anhänge. Viele Infektionen mit dateiloser Malware beginnen mit Phishing-Angriffen. Seien Sie daher vorsichtig beim Öffnen oder Reagieren auf unerwartete E-Mails, Links, Social-Media-Nachrichten oder Anhänge. Sie könnten ein Social Engineering-Trick sein, der darauf abzielt, Ihre Abwehr zu umgehen – in der Hoffnung, dass Sie unüberlegt handeln und der Malware unbeabsichtigt Zugriff auf Ihr System verschaffen.

• Halten Sie Ihr Betriebssystem sowie andere Software und Apps auf dem neuesten Stand. Indem Sie Ihr Betriebssystem und einzelne Apps oder Programme stets mit den neuesten Patches aktualisieren, stellen Sie sicher, dass Sie gegen Angriffsvektoren geschützt sind, die darauf abzielen, Schwachstellen in veralteten Software-Versionen auszunutzen.

• Verwenden Sie vertrauenswürdige Sicherheitssoftware. Obwohl einige herkömmliche Antivirus-Apps bei dateiloser Malware möglicherweise wenig helfen, kombinieren moderne Lösungen wie Avast Free Antivirus signaturbasierter Schutz mit Verhaltensüberwachung und anderen Funktionen, die Sie gegen Betrug, Ransomware, Zero-Day-Bedrohungen und andere Arten von Malware schützen können.

• Deaktivieren Sie Makros in Office-Dateien. Bei vielen dateilosen Angriffen werden Skripte in Dokumenten durch Schadcode ausgelöst, um vertrauliche Informationen zu extrahieren oder andere schädliche Auswirkungen zu erzeugen. Das Deaktivieren der Makrofunktion in Ihrer Office-Suite kann dazu beitragen, Makroviren daran zu hindern und nachfolgende dateilose Angriffe zu blockieren.

• Verwenden Sie eingeschränkte PowerShell-Richtlinien. Durch die Änderung Ihrer PowerShell-Richtlinie erhalten Sie mehr Kontrolle darüber, was Skripte tun dürfen oder ob sie überhaupt ausgeführt werden können, was eine der wichtigsten Angriffsmethoden für dateilose Malware unterbindet. Wenn Sie über Administratorrechte verfügen, können Sie beispielsweise PowerShell in den eingeschränkten Sprachmodus schalten oder Ausführungsrichtlinien erzwingen (wie AllSigned oder Restricted).

• Aktivieren Sie PowerShell-Logging. PowerShell-Logging erstellt eine Log-Datei aller ausgeführten Befehle und hilft Ihnen, ungewöhnliche Anfragen frühzeitig zu erkennen. Das kann die Untersuchung erleichtern, wenn Sie verdächtige Anzeichen bemerken, die auf eine Malware-Infektion hindeuten könnten.

Präventionsstrategien auf Unternehmensebene

Auch Unternehmen können Opfer von dateiloser Malware werden. Ein mehrschichtiger Sicherheitsansatz, der regelmäßige System-Patches, verhaltensbasierte Erkennungstools und Mitarbeiterschulungen umfasst, kann jedoch dazu beitragen, das Risiko zu verringern, dass interne Systeme kompromittiert werden.

Ein Security Operations Center (SOC) oder ein verwaltetes Threat-Hunting-Team kann alles Ungewöhnliche im Blick behalten. Gleichzeitig überwachen EDR/XDR-Sicherheitstools Geräte in Echtzeit und kennzeichnen verdächtiges Verhalten. Unternehmen können auch mit Ausnahmelisten arbeiten, um nur genehmigte Apps zuzulassen.

Der Zugriff auf leistungsstarke Systemtools wie PowerShell und WMI sollte auf Personen beschränkt werden, die sie tatsächlich benötigen. Das Befolgen von Least-Privilege- oder Zero-Trust-Berechtigungen trägt dazu bei, Systeme sicherer zu machen, indem mögliche Schäden eingedämmt werden.

Kurz gesagt: Wirksame Prävention bedeutet nicht, Dateien zu blockieren, sondern Verhalten zu kontrollieren und Tools einzusetzen, die schädliche Aktivitäten erkennen, bevor sie Schaden anrichten. Eine gute Nachricht für IT-Teams, die mit diesen neuartigen Bedrohungen kämpfen: Obwohl es viele Varianten dateiloser Malware gibt, agieren sie meist auf sehr ähnliche Weise.

Schützen Sie Ihr System noch heute vor dateiloser Malware

Avast Free Antivirus bietet eine Kombination aus Funktionen, die Ihnen helfen können, sich gegen herkömmliche Malware, dateilose Malware und andere Online-Bedrohungen zu schützen. Mit Verhaltensanalyse, Echtzeitschutz für sichereres Surfen im Internet und einem KI-gestützten Assistenten zur Betrugserkennung kann es Ihnen helfen, sich gegen die vielfältigen Angriffsvektoren zu schützen, die Cyberkriminelle ausnutzen können. Laden Sie Avast Free Antivirus jetzt herunter und bleiben Sie den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus.