Dateilose Malware
Was ist Dateilose Malware?
Dateilose MalwareSchadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
Dateilose Malware minimiert ihre Spuren auf der Festplatte, indem sie im Speicher operiert und legitime Komponenten wie PowerShell, WMI, .NET, WSH und die Windows-Registry missbraucht — eine als „Living off the Land" (LOLBins) bezeichnete Technik. Der initiale Code kann über ein Phishing-Dokument, einen Exploit oder einen Memory-Loader gelangen und weitere Stufen reflective in den Speicher laden, ohne sie zu speichern. Da es kaum eine Datei zum Signatur-Scan gibt, sind solche Angriffe schwer zu erkennen. Schutz bieten Script-Block- und Kommandozeilen-Logging, AMSI-Integration, EDR mit Verhaltens- und Speicheranalyse sowie das Einschränken/Signieren von PowerShell mit Constrained Language Mode und WDAC.
● Beispiele
- 01
Cobalt-Strike-Beacon-Payloads in PowerShell, reflective in den Speicher geladen.
- 02
POWELIKS, dateilose Malware mit kodierten Payloads in der Windows-Registry.
● Häufige Fragen
Was ist Dateilose Malware?
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet Dateilose Malware?
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
Wie schützt man sich gegen Dateilose Malware?
Schutzmaßnahmen gegen Dateilose Malware kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Dateilose Malware?
Übliche alternative Bezeichnungen: Memory-resident Malware, Living-off-the-Land-Malware.