Fileless malware attack

Een fileless malware attack is een type kwaadaardige aanval waarmee een hacker gebruik kan maken van toepassingen die al op een computer zijn geïnstalleerd. In tegenstelling tot andere malware-aanvallen waarbij software onbewust op het apparaat van de gebruiker wordt geïnstalleerd, maken bestandsloze malware-aanvallen gebruik van toepassingen die al zijn geïnstalleerd en waarvan wordt aangenomen dat ze veilig zijn. Daarom hoeven fileless malware-aanvallen geen schadelijke software of bestanden te installeren om een aanval te initiëren.

Een fileless malware-aanval kan beginnen door een door de gebruiker geïnitieerde actie, zoals het klikken op een banneradvertentie die een omleiding opent om Flash te openen, die vervolgens andere toepassingen op het apparaat gebruikt. Bestandsloze malwareaanvallen bevinden zich in het RAM van het apparaat en hebben meestal toegang tot standaard Windows-tools, zoals PowerShell en Windows Management Instrumentation (WMI), en injecteren daar kwaadaardige code in. Deze vertrouwde toepassingen kunnen systeemtaken uitvoeren voor meerdere eindpunten, waardoor ze ideale doelwitten zijn voor bestandsloze malwareaanvallen. De inbreuk bij Equifax werd bijvoorbeeld uitgevoerd met een bestandsloze malware-aanval waarbij gebruik werd gemaakt van de Apache Struts-toepassing.

Bestandsloze malware-aanvallen zijn doorgaans zeer moeilijk te voorkomen en te detecteren, omdat bestandsloze malware geen bestanden hoeft te downloaden. Zonder waarneembare handtekening kan het de effectiviteit van sommige antimalwarebeveiligingsdiensten of whitelists omzeilen.

Hoe bestandsloze malware-aanvallen te voorkomen en te detecteren

Hoewel bestandsloze malware-aanvallen moeilijk te voorkomen en te detecteren zijn, laten ze wel een aantal detecteerbare sporen achter. Een van die sporen is een aantasting van het systeemgeheugen van een apparaat. Netwerkpatronen moeten ook worden gecontroleerd om te zien of het apparaat verbinding maakt met botnetservers. Sommige antivirussoftware zoals McAfee bieden gedragsanalyses die kunnen detecteren wanneer een toepassing op hetzelfde moment wordt uitgevoerd als een toepassing zoals PowerShell. De dienst kan de toepassingen dan in quarantaine plaatsen of sluiten.

Als een bestandsloze malware-aanval toegang krijgt tot Microsoft Office, kunnen gebruikers macrofunctionaliteiten uitschakelen. In webbrowsers kunnen gebruikers JavaScript-uitvoeringen uitschakelen om aanvallen te voorkomen; hierdoor zullen de meeste websites echter waarschijnlijk niet meer goed werken.

Best Practices

Een paar best practices om fileless malware-aanvallen te voorkomen zijn:

  • Systeemeindpunten beveiligen.
  • Toepassings- en netwerkverkeer bewaken.
  • Ongebruikte of niet-kritieke applicaties verwijderen.
  • Overbodige functies van applicaties uitschakelen.
  • Als een aanval bekend is, systeemwachtwoorden wijzigen.
  • Herbooten van het endpoint-apparaat zal een inbreuk stoppen, aangezien het apparaat alleen gegevens in het RAM bewaart als het apparaat is ingeschakeld.