Excubits Logo
burger-menu Menü

 

Dateilose Schadprogramme (Fileless Malware)

Unter dateilosen Schadprogrammen (fileless malware) versteht man digitale Schädlinge, die einen Computer infizieren, ohne direkt offensichtliche Spuren im Dateisystem zu hinterlassen. Üblicherweise werden Schadprogramme über ausführbare EXE-, Bibliotheks-, Skript- oder Makro-Dateien auf einem Computer zur Ausführung gebracht. Sie liegen somit als Datei vor, die bei einer forensichen Analyse meist direkt gefunden werden kann. Auch Antivirenprogramme sind dadurch beispielsweise in der Lage, die Schadprogramme zu erkennen und Gegenmaßnahmen einzuleiten. Liegt allerdings keine Datei vor, kann auch nichts gefunden werden und der Schädling bewegt sich unter dem Radar von Analysen und Schutzprogrammen. Das ist für Angreifer vorteilhaft, weil der Schadcode dann über lange Zeit versteckt operieren kann. Daher nutzen Angreifer immer öfter diese Technik, um ihre Angriffe zu verschleiern.

Rein technisch gesehen wird auch bei dateilosen Schadprogrammen der Schädling im System gespeichert. Mittels forensischer Analysen lässt sich der Code letzlich auch immer identifizieren. Häufig nutzen Angreifer die Systemkonfiguration, um ihren Schadcode darin zu verstecken. Der Schadcode verhält sich wie ein Parasit und schleicht sich sozusagen huckepack in das System, um seine schädliche Wirkung zu entfalten.

Häufig wird bei dateilosen Schadprogrammen auch die Technik von In-Memory Malware und Code-Injection kombiniert. In diesen Fällen ist der Schadcode nur im Arbeitsspeicher aktiv oder er wird in andere - legitime Prozesse - eingeschleust, um sich vor Entdeckung zu schützen.