- Fileless malware draait in het geheugen en misbruikt legitieme tools zoals PowerShell of WMI.
- Het kan gegevens stelen, bestanden versleutelen of computers bespioneren zonder een duidelijk spoor op de schijf achter te laten.
- Effectieve detectie vereist monitoring van gedrag en processen, niet alleen van bestanden.
- Voor een goede beveiliging zijn EDR, segmentatie, patches en het beperken van het gebruik van scripts en macro's vereist.
In de afgelopen jaren is het bestandsloze malware Fileless malware is uitgegroeid tot een van de grootste problemen voor IT- en beveiligingsteams. We hebben het hier niet over het typische virus dat je downloadt via een bijlage en kunt verwijderen met een antivirusscan, maar over iets veel sluwers dat zich verschuilt in de processen van het systeem zelf.
Dit type dreiging maakt misbruik van legitieme besturingssysteemtoolsVooral op Windows kan het kwaadaardige code rechtstreeks in het RAM-geheugen uitvoeren. Omdat het vrijwel geen sporen achterlaat op de schijf, kan het veel traditionele antivirusprogramma's omzeilen en lang genoeg actief blijven om informatie te stelen, bestanden te versleutelen of backdoors in stand te houden zonder te worden gedetecteerd.
Wat is fileless malware precies?
Wanneer we spreken over bestandsloze malware, bedoelen we... kwaadaardige code die niet afhankelijk is van een klassiek uitvoerbaar bestand op de schijf om te functioneren. In plaats van te worden geïnstalleerd zoals elk ander programma, vertrouwt het op componenten die al in het systeem aanwezig zijn (scripts, services, commandointerpreters, enz.) om de instructies direct in het geheugen te laden en uit te voeren.
Vanuit technisch oogpunt is deze malware meestal om te worden geïnjecteerd in processen die al actief zijn. Of ze kunnen worden gestart met commando's die alles in het RAM-geheugen laden. Dit betekent dat veel varianten verdwijnen zodra de computer wordt uitgezet of opnieuw wordt opgestart, maar in de tussentijd hebben ze ruimschoots de tijd om ernstige schade aan te richten.
In vergelijking met malware die bestanden verspreidt, zijn deze bedreigingen Lichter, discreter en veel moeilijker te traceren.Je vindt geen verdacht .exe-bestand op de schijf, en ook geen kwaadaardig installatieprogramma: het probleem zit hem in wat er gebeurt binnen processen die ogenschijnlijk betrouwbaar zijn.
De opkomst van deze aanpak nam rond 2017 een enorme vlucht, toen campagnes begonnen met het combineren van technieken zonder bestanden met Clicker-trojans, geavanceerde adware en tools voor toegang op afstand (RAT's)Tegenwoordig worden ze ingezet bij allerlei soorten operaties: van spionage en APT's tot ransomware en cryptomining.
Hoe fileless malware intern werkt
Om te begrijpen hoe het werkt, is het goed om te onthouden dat de meeste normale applicaties worden gedistribueerd als een een bestand dat naar de schijf wordt geschreven en vervolgens in het geheugen wordt geladen. Wanneer de gebruiker het uitvoert, gebeurt dat pas. Fileless malware daarentegen slaat de eerste stap over en manifesteert zich direct in het RAM-geheugen met behulp van mechanismen van het besturingssysteem zelf.
Veel campagnes zijn gebaseerd op het idee van "leven van het land" (leven van het land): de aanvaller misbruikt legitieme bestuurlijke bevoegdheden In plaats van nieuwe binaire bestanden te introduceren. Op Windows is PowerShell hiervan het belangrijkste voorbeeld, maar ook WMI, mshta, rundll32, VBScript- of JScript-scripts en andere vertrouwde binaire bestanden (LoLBins) worden misbruikt.
Een typisch scenario zou zijn: een gebruiker opent een Office-document met schadelijke inhoud of klikt op een phishinglink; van daaruit... script dat PowerShell aanroept Of een ander hulpmiddel om de code voor de volgende fase te downloaden, te decoderen of in het geheugen te injecteren. Dit alles kan gebeuren zonder een permanent bestand op de harde schijf aan te maken.
Een andere veelvoorkomende methode is het benutten van kansen. kwetsbaarheden voor de uitvoering van code op afstandDenk bijvoorbeeld aan bufferoverloopfouten in browsers, plug-ins of serverapplicaties. Door de kwetsbaarheid te misbruiken, kan de aanvaller rechtstreeks shellcode uitvoeren binnen het kwetsbare proces en van daaruit de rest van de componenten in het geheugen laden.
Sommige varianten grijpen zelfs naar Windows-register of geplande taken Het doel is om scripts of commando's op te slaan die de aanval opnieuw activeren wanneer het systeem opstart of een gebruiker inlogt. Zelfs als er iets naar het register wordt geschreven, blijft de belangrijkste kwaadaardige logica in het geheugen draaien, waardoor het moeilijk te detecteren is met tools die zich uitsluitend op het bestandssysteem richten.
Infectiemethoden en initiële toegang
De voordeur is meestal vrij klassiek: Phishing-e-mails, schadelijke links en vervalste documenten Ze blijven de koningen van de initiële toegang, ook al worden er op de achtergrond bestandsloze technieken gebruikt. De truc is dat in de hele keten alles in het werk wordt gesteld om de schijfruimte zo klein mogelijk te houden.
In veel gevallen worden ze gebruikt Microsoft Office-documenten met macro's Wanneer deze macro's worden geactiveerd, roepen ze PowerShell of WMI aan om de volgende fase van de aanval in het geheugen te downloaden en uit te voeren. Zelfs zonder macro's maken aanvallers misbruik van kwetsbaarheden in Word, Excel, PDF-lezers of de scriptengine zelf om code-uitvoering te realiseren.
Een andere aanpak houdt in dat direct gebruik wordt gemaakt van schijnbaar onschadelijke uitvoerbare bestanden die de gebruiker via e-mail ontvangt of van internet downloadt. Dit uitvoerbare bestand kan een kwaadaardige module extraheren en in het geheugen laden met behulp van technieken zoals reflectie in .NET, zonder deze daadwerkelijk als een apart bestand op de schijf op te slaan.
Er zijn ook campagnes gericht op webservers of applicaties die toegankelijk zijn via internet, waarbij de kwetsbaarheid wordt gebruikt om deze te verspreiden. webshells met bestandsloze componentenEen recent voorbeeld is het gebruik van Godzilla en soortgelijke tools, waarbij kwaadaardige code via HTTP-verzoeken wordt meegestuurd en rechtstreeks in het geheugen van de gecompromitteerde server wordt geïnjecteerd.
Ten slotte maken aanvallers vaak gebruik van gestolen inloggegevensAls ze de gebruikersnaam en het wachtwoord van een beheerder of een account met beheerdersrechten bemachtigen, kunnen ze via RDP of andere kanalen inloggen en handmatig PowerShell-scripts, WMI-opdrachten of beheertools uitvoeren die de malware in het geheugen laden zonder nieuwe uitvoerbare bestanden op het systeem achter te laten.
Specifieke technieken gebruikt door bestandsloze malware
Een van de sleutels tot deze aanvallen is het hergebruik van native Windows-tools als middel om hun scripts uit te voeren. Hierdoor vermengen kwaadaardige activiteiten zich met normale administratieve taken, wat analyse en respons bemoeilijkt.
Tot de meest voorkomende technieken behoort het gebruik van PowerShell als ingebouwde code-launcher Rechtstreeks vanaf de commandoregel. Zo wordt bijvoorbeeld een versleuteld script als parameter doorgegeven, het uitvoeringsbeleid wordt uitgeschakeld, het venster wordt verborgen en een payload wordt direct in het geheugen gedownload, allemaal zonder dat er een .ps1-bestand of een ander verdacht uitvoerbaar bestand zichtbaar blijft.
Een andere veelgebruikte tactiek is het opslaan van kwaadaardige scripts in de Windows Management Instrumentation (WMI)-abonnementenZo nu en dan activeert WMI het script, dat code uit het geheugen kan uitvoeren, verbinding kan maken met command-and-controlservers of nieuwe fasen van de infectie kan starten.
Op dezelfde manier gebruiken veel groepen de Windows-register en taakplanner als toevluchtsoord voor hun scripts en commando's. In plaats van een uitvoerbaar bestand in de opstartmap te plaatsen, definiëren ze opstartsleutels of geplande taken die PowerShell-, mshta- of rundll32-scripts uitvoeren met ingebedde of dynamisch uitgevoerde code.
Technieken zijn ook te zien in reflectie in .NETwaarbij een lichtgewicht uitvoerbaar bestand versleutelde of gecomprimeerde assemblies bevat die rechtstreeks in het geheugen worden geladen met behulp van Reflection.Load, zonder ooit als .dll-bestanden naar de schijf te worden geschreven. Dit maakt het mogelijk om zeer geavanceerde Trojaanse paarden te implementeren binnen één enkel, ogenschijnlijk normaal proces.
Wat kan een aanval zonder bestanden aanrichten?
Ondanks de naam is een fileless-aanval niet beperkt in zijn impact. Sterker nog, het kan een veel grotere impact hebben. dezelfde functies als traditionele malware: diefstal van informatie, dataversleuteling, laterale verplaatsing, spionage, cryptomining of installatie van permanente achterdeuren.
Veel campagnes zonder bestanden gedragen zich als inloggegevensdiefDit houdt in dat wachtwoorden, sessietokens of authenticatiehashes worden onderschept uit het geheugen van gevoelige processen. Hierdoor wordt het gemakkelijker om privileges te verhogen, meer systemen te compromitteren en langdurige toegang te behouden zonder gebruik te hoeven maken van extra binaire bestanden.
Anderen richten zich op bestandsloze ransomwarewaarbij een deel van de encryptie- en communicatielogica direct in het geheugen wordt uitgevoerd. Hoewel er op een gegeven moment een schijfcomponent kan verschijnen om een groot aantal bestanden te manipuleren, worden het initiële laden en de controle van de aanval uitgevoerd met bestandsloze technieken om vroege detectie te voorkomen.
Aanvallers kunnen ook installeren rootkits of geavanceerde RAT's Eenmaal geïnstalleerd, gebruiken deze tools bestandsloze kanalen om commando's te ontvangen, over het netwerk te verzenden en modules bij te werken. Omdat ze geïntegreerd zijn in systeemprocessen of kritieke services, zijn deze tools bijzonder moeilijk te verwijderen.
Op economisch vlak vertaalt de impact zich in: Gegevensverlies, serviceonderbrekingen, boetes van toezichthouders en reputatieschade.Omdat deze inbraken vaak maandenlang onopgemerkt blijven, kan de hoeveelheid gestolen informatie en de omvang van het datalek enorm zijn.
Fasen van een aanval met bestandsloze malware
Hoewel de technische aspecten verschillen, is de levenscyclus van een fileless-aanval vrijwel gelijk aan die van elke andere geavanceerde inbraak. Wat wel verandert, is de mechanismen die in elke fase worden gebruikt en de manier waarop ze zich camoufleren.
In het stadium van eerste toegangDe aanvaller heeft een eerste toegangspunt nodig: een klik op een phishinglink, het openen van een document met macro's, het exploiteren van een kwetsbare server of het hergebruiken van gecompromitteerde inloggegevens. Van daaruit is het doel om code uit te voeren binnen het doelsysteem.
Zodra die stap is gezet, begint de volgende fase. uitvoering in het geheugenHier komen PowerShell, WMI, mshta, rundll32, VBScript, JScript of andere interpreters in beeld om de payload te laden en te activeren zonder permanente uitvoerbare bestanden op de schijf te genereren. De code is doorgaans geobfusceerd of versleuteld en wordt alleen in het RAM-geheugen ontsleuteld.
Dan begint de achtervolging. volhardingHoewel veel malware zonder bestanden verdwijnt bij het opnieuw opstarten van de computer, combineren geavanceerde aanvallers scripts die in het RAM-geheugen aanwezig zijn met registersleutels, geplande taken of WMI-abonnementen. Hierdoor wordt de code opnieuw uitgevoerd telkens wanneer aan een specifieke voorwaarde wordt voldaan, zoals het opstarten van het systeem of het inloggen van een gebruiker.
Tot slot, de einddoelstellingen De acties van de aanvaller omvatten: diefstal en exfiltratie van gegevens, versleuteling van informatie, het verspreiden van meer malware, voortdurende spionage en sabotage van kritieke systemen. Dit alles gebeurt terwijl de aanvaller probeert zo min mogelijk op te vallen om vroegtijdige waarschuwingen en forensisch onderzoek te voorkomen.
Waarom is het zo moeilijk te detecteren?
Het grote probleem met malware die geen bestanden bevat, is dat Het doorbreekt het klassieke verdedigingsmodel dat gebaseerd is op bestanden en handtekeningen.Als er geen verdacht uitvoerbaar bestand is om te analyseren, blijven veel antivirusprogramma's blind voor wat er in het geheugen en in legitieme processen gebeurt.
De afwezigheid van bestanden op de schijf impliceert dat Er zijn geen objecten om periodiek te scannen. op zoek naar bekende patronen. Bovendien wordt, door gebruik te maken van binaire bestanden die door het besturingssysteem zelf zijn ondertekend, zoals PowerShell.exe, wscript.exe of rundll32.exe, kwaadaardige activiteit gemaskeerd achter namen die de beheerder normaal gesproken vertrouwt.
Bovendien hebben veel geërfde producten een Beperkt inzicht in lopende processenZe richten zich op het bestandssysteem en netwerkverkeer, maar onderzoeken nauwelijks interne API-aanroepen, commandoregelparameters, scriptgedrag of registergebeurtenissen die een aanval zonder bestanden zouden kunnen verraden.
De aanvallers, zich bewust van deze beperkingen, nemen hun toevlucht tot technieken voor verduistering, versleuteling en codefragmentatieZe verdelen bijvoorbeeld een kwaadaardig script in verschillende fragmenten die in realtime worden samengevoegd, of ze verbergen instructies in afbeeldingen, ingebedde bronnen of ogenschijnlijk onschuldige tekenreeksen.
In omgevingen waar systemen zelden opnieuw worden opgestart (kritieke servers, productieterminals, enz.), kan in het geheugen aanwezige malware zich verspreiden. weken of maandenlang actief blijven zonder opgemerkt te worden, vooral als je voorzichtig te werk gaat en de verkeersdrukte of opvallende acties minimaliseert.
Beperkingen van traditionele verdedigingsmechanismen
De eerste reactie van veel aanbieders op deze dreiging was om te proberen Beperk of blokkeer tools zoals PowerShell of Office-macro's.Hoewel het sommige risicofactoren kan verminderen, is het in de meeste organisaties geen realistische of complete oplossing.
PowerShell is uitgegroeid tot een essentieel onderdeel voor Windows-systeembeheerTaakautomatisering, software-implementatie en serverbeheer. Het volledig blokkeren ervan zou IT-workflows lamleggen en talloze interne processen opnieuw moeten uitvoeren.
Bovendien zijn er vanuit het oogpunt van de aanvaller meerdere manieren om het omzeilen van een eenvoudig blokkeringsbeleidEr bestaan technieken om de PowerShell-engine vanuit bibliotheken (dll) te laden met behulp van rundll32, scripts om te zetten in uitvoerbare bestanden met tools zoals PS2EXE, aangepaste kopieën van PowerShell.exe te gebruiken, of zelfs PowerShell-scripts in PNG-afbeeldingen in te sluiten en deze uit te voeren met versleutelde opdrachtregels.
Iets soortgelijks gebeurt met Office-macro's: Veel bedrijven zijn ervan afhankelijk. Om rapporten, berekeningen en bedrijfsprocessen te automatiseren. Het wereldwijd uitschakelen ervan kan interne applicaties verstoren, terwijl het uitsluitend vertrouwen op statische analyse van VBA-code vaak resulteert in een moeilijk te beheersen percentage valse positieven en valse negatieven.
Daarnaast zijn er enkele benaderingen gebaseerd op cloudgebaseerde detectie-als-een-service Ze vereisen een constante verbinding en werken soms met een te grote vertraging om de initiële uitvoering van de malware te voorkomen. Als de blokkeringsbeslissing seconden of minuten later wordt genomen, kan de schade al zijn aangericht.
De focus verschuift: van bestanden naar gedrag.
Aangezien het bestand niet langer het belangrijkste element is, richten moderne verdedigingsoplossingen zich op... het gedrag van de processen monitoren In plaats van alleen de inhoud van de bestanden te inspecteren. Het idee is dat, hoewel er duizenden malwarevarianten bestaan, de patronen van kwaadaardige activiteiten veel minder divers zijn.
Deze aanpak is gebaseerd op motoren van gedragsanalyse en machinaal leren die continu monitoren wat elk proces doet: welke commando's het uitvoert, welke systeembronnen het gebruikt, hoe het communiceert met de buitenwereld en welke veranderingen het probeert aan te brengen in de omgeving.
Een Office-proces kan bijvoorbeeld als verdacht worden gemarkeerd als voert een versleutelde PowerShell-opdracht uit met parameters om beveiligingsbeleid uit te schakelen en code te downloaden van een verdacht domein. Of een proces dat, zonder duidelijke reden, plotseling toegang krijgt tot honderden gevoelige bestanden of cruciale registersleutels wijzigt.
De nieuwste generatie EDR-systemen en XDR-platformen verzamelen Gedetailleerde telemetrie van eindpunten, servers en netwerken zijn in staat om complete verhalen (soms StoryLines genoemd) te reconstrueren over hoe een incident is ontstaan, welke processen erbij betrokken waren en welke veranderingen de getroffen machine heeft ondergaan.
Een goede gedragsanalyse-engine detecteert niet alleen de dreiging, maar kan ook Kwaadaardige acties beperken of automatisch ongedaan maken.Betrokken processen beëindigen, de computer isoleren, versleutelde bestanden herstellen, wijzigingen in het register ongedaan maken en de communicatie met command-and-control-domeinen verbreken.
Technologieën en bronnen van belangrijke gebeurtenissen in Windows
Om bedreigingen zonder bestanden in Windows te analyseren, is het met name handig om gebruik te maken van... native telemetriemechanismen van het besturingssysteem, die er al zijn en veel informatie bieden over wat er achter de schermen gebeurt.
Aan de ene kant is Event Tracing voor Windows (ETW)ETW is een framework waarmee zeer gedetailleerde gebeurtenissen met betrekking tot procesuitvoering, API-aanroepen, geheugentoegang en andere interne systeemaspecten kunnen worden vastgelegd. Veel EDR-oplossingen maken gebruik van ETW om afwijkend gedrag in realtime te detecteren.
Een ander belangrijk onderdeel is Antimalware-scaninterface (AMSI)AMSI is een API van Microsoft waarmee beveiligingsengines scripts en dynamische inhoud kunnen inspecteren vlak voordat ze worden uitgevoerd, zelfs als deze versleuteld zijn. AMSI is met name handig in combinatie met PowerShell, VBScript, JScript en andere scripttalen.
Bovendien worden moderne motoren periodiek geanalyseerd. gevoelige gebieden zoals het register, Taakplanner, WMI-abonnementen of beleidsregels voor scriptuitvoeringVerdachte veranderingen op deze gebieden zijn vaak een teken dat een aanval zonder bestanden zich heeft weten te vestigen.
Dit alles wordt aangevuld met heuristieken die niet alleen rekening houden met het huidige proces, maar ook met de uitvoeringscontextWaar het ouderproces vandaan komt, welke netwerkactiviteit ervoor en erna is waargenomen, of er sprake is geweest van vreemde storingen, afwijkende blokkades of andere signalen die samen de verdenking versterken.
Praktische detectie- en preventiestrategieën
In de praktijk komt het beschermen tegen deze bedreigingen neer op het combineren van verschillende factoren. technologie, processen en trainingHet is niet voldoende om een antivirusprogramma te installeren en er verder niet meer naar om te kijken; er is een gelaagde strategie nodig die is afgestemd op het daadwerkelijke gedrag van malware zonder bestanden.
Op technisch vlak is het essentieel om te implementeren EDR- of XDR-oplossingen Met mogelijkheden voor gedragsanalyse en inzicht op procesniveau. Deze tools moeten in staat zijn om activiteiten in realtime te registreren en te correleren, afwijkend gedrag te blokkeren en duidelijke forensische informatie aan het beveiligingsteam te verstrekken.
Het is ook handig Het beperken van het gebruik van PowerShell, WMI en andere interpreters. Beperk je tot wat strikt noodzakelijk is, door toegangscontrolelijsten, scriptondertekening (codeondertekening) en uitvoeringsbeleid toe te passen dat beperkt welke code kan worden uitgevoerd en met welke privileges.
Aan de gebruikerskant blijft training cruciaal: het is noodzakelijk om de training te versterken. Bewustzijn van phishing, verdachte links en onverwachte documentenDit is vooral belangrijk voor personeel met toegang tot gevoelige informatie of hoge bevoegdheden. Het verminderen van het aantal ondoordachte muisklikken verkleint het aanvalsoppervlak aanzienlijk.
Tot slot mag men de volgende zaken niet negeren: Patch- en software-updatecyclusVeel bestandsloze aanvalsketens beginnen met het misbruiken van bekende kwetsbaarheden waarvoor al patches bestaan. Door browsers, plug-ins, bedrijfsapplicaties en besturingssystemen up-to-date te houden, worden waardevolle toegangspoorten voor aanvallers afgesloten.
Beheerde services en dreigingsdetectie
In middelgrote en grote organisaties, waar de hoeveelheid gebeurtenissen enorm is, is het voor het interne team moeilijk om alles te overzien. Daarom worden ze steeds populairder. monitoring- en beheerde responsdiensten (MDR/EMDR) en externe beveiligingsoperatiecentra (SOC's).
Deze diensten combineren geavanceerde technologie met teams van analisten houden 24/7 toezicht. De systemen analyseren de omgevingen van hun klanten en correleren zwakke signalen die anders onopgemerkt zouden blijven. Het idee is om gedragingen die kenmerkend zijn voor bestandsloze malware te detecteren voordat er schade optreedt.
Veel SOC's maken gebruik van frameworks zoals MITRE ATT & CK om de tactieken, technieken en procedures (TTP's) van tegenstanders in kaart te brengen en specifieke regels op te stellen gericht op in-memory execution, misbruik van LoLBins, kwaadaardige WMI of heimelijke data-exfiltratiepatronen.
Naast continue monitoring omvatten deze diensten doorgaans ook het volgende: forensische analyse, incidentafhandeling en consultancy Om de beveiligingsarchitectuur te verbeteren, terugkerende lacunes te dichten en de controle op eindpunten en servers te versterken.
Voor veel bedrijven is het uitbesteden van een deel van deze functie de meest haalbare manier om dergelijke complexe bedreigingen het hoofd te bieden, aangezien niet iedereen zich een intern team kan veroorloven dat gespecialiseerd is in het opsporen van geavanceerde malware.
De realiteit is dat malware zonder bestanden de manier waarop we endpointbeveiliging begrijpen voorgoed heeft veranderd: Bestanden zijn niet langer de enige belangrijke indicator.En alleen een combinatie van diepgaand inzicht, gedragsanalyse, goede managementpraktijken en een uitgebreide cybersecuritycultuur kan het dagelijks in toom houden.
