Malware is kwaadaardige software die is ontworpen om nietsvermoedende slachtoffers digitaal aan te vallen, met als doel hun gegevens te stelen, beschadigen of vernietigen.
Enkele voorbeelden hiervan zijn ransomware, wiperware, virussen en, wormen. Sommige vormen zijn geavanceerder dan andere en ze maken gebruik van verschillende methoden van infectie of vermijding van detectie.
Bestandsloze malware is één van soorten die detecties goed kan ontwijken. De malware werkt uitsluitend in het geheugen van een computer, zonder fysieke sporen op de harde schijf achter te laten.
Betekent dit dat onze apparaten hierdoor extra kwetsbaar zijn voor deze malware? Niet helemaal.
Wat is bestandsloze malware?
De meeste malware werkt door een geïnfecteerde bijlage te openen, waardoor de code ongemerkt wordt uitgevoerd.
Hierdoor kan de malware zich vermenigvuldigen in verschillende delen van het systeem, keyloggers of spyware installeren, toegang tot bestanden blokkeren, of bijvoorbeeld kwaadaardige advertenties tonen. Zie het als een normaal programma op je pc, maar dan met kwaadaardige bedoelingen.
Bestandsloze malware werkt echter anders. In plaats van op de harde schijf te worden geïnstalleerd, opereert het in het werkgeheugen (RAM) van de computer. Het maakt gebruik van bestaande legitieme processen om het systeem te compromitteren, in plaats van een losstaand programma te draaien.
Je denkt misschien: "Maar ik moet het toch ergens downloaden, toch?" En dat klopt. Bestandsloze malware komt nog steeds jouw computer binnen via kwaadaardige links of bijlagen, maar de uitvoering werkt anders.
Voorbeelden van bestandsloze malware
Een goed voorbeeld is de Astaroth-campagne, waarbij Microsoft ontdekte dat deze malware zonder bestanden werkte en via een kwaadaardige e-maillink een infostealer afleverde. Hierbij werden legitieme Windows-processen zoals BITSAdmin en Internet Explorer gebruikt om zichzelf te laden.
De Kovter-malwarefamilie, gedetecteerd door ESET Research in 2018, gebruikte de Windows-registers om zijn kwaadaardige code te verbergen, en bleef zonder sporen achter op de harde schijf. Ook de GreyEnergy APT zorgde ervoor dat enkele van zijn modules alleen in het geheugen draaiden, wat detectie bemoeilijkte.
Dergelijke technieken zijn lastig te herkennen voor simpele antivirussoftware, die voornamelijk bestanden scant, zonder het gedrag van processen te monitoren. Maar dat betekent niet dat ze niet kunnen worden opgespoord.
Bescherming tegen bestandsloze dreigingen
ESET Endpoint Security biedt geavanceerde bescherming door middel van de meerlaagse benadering van beveiliging met onder andere een Advanced Memory Scanner. Deze werkt samen met onze Exploit Blocker om malware te detecteren die ontwijkend te werk gaat.
ESET Endpoint Security's meerdere ESET LiveSense lagen voor uitgebreide bescherming
Daarnaast zorgt geavanceerde machine learning ervoor dat valse meldingen worden verminderd. Alleen geheugenscans kunnen bestandsloze aanvallen detecteren die geen sporen achterlaten op het systeem, zoals bij Astaroth en zijn gebruik van Windows-tools. Bovendien zorgt het ESET HIPS-systeem met Deep Behavioral Inspection voor het monitoren van verdachte activiteiten, waardoor malware zoals Kovter zich moeilijk kan verbergen in het Windows-register.
Hoewel de beveiliging steeds beter wordt tegen geavanceerde dreigingen zoals bestandsloze malware, blijft één ding belangrijk: klik nooit op verdachte links of bijlagen in vreemde e-mails.