Vraag van de week: Wat is fileless malware en hoe werkt het?

Deze podcast is AI-gegeneerd. (Engels)

Afgelopen week kwam er een vraag binnen op de website Cybercrimeinfo: 'Wat is fileless malware en hoe werkt het?' Deze vraag weerspiegelt de toenemende bezorgdheid over een van de meest geavanceerde en moeilijk te detecteren vormen van cyberdreigingen die organisaties tegenwoordig kunnen treffen. Fileless malware is een type schadelijke software die geen fysieke bestanden achterlaat op een systeem, waardoor het veel moeilijker te detecteren is met traditionele beveiligingssoftware. In dit artikel gaan we dieper in op hoe fileless malware werkt, waarom het zo gevaarlijk is, en hoe je jezelf en je organisatie kunt beschermen tegen deze geavanceerde dreiging.

Wat is fileless malware en waarom is het gevaarlijk?

Fileless malware is een vorm van schadelijke software die geen fysieke bestanden op een systeem achterlaat. In plaats van traditionele malware, die als een bestand op de harde schijf van een computer wordt gedownload, maakt fileless malware gebruik van legitieme systeemtools om kwaadaardige activiteiten uit te voeren. Deze techniek maakt het voor traditionele antivirussoftware uiterst lastig om de aanval te detecteren, aangezien er geen verdachte bestanden zijn om te scannen.

In plaats van bestanden op te slaan, voert fileless malware kwaadaardige code uit in het geheugen van een systeem. Dit betekent dat de aanval vaak niet zichtbaar is op de harde schijf van de computer en zelfs na een herstart van het systeem kan verdwijnen. Dit maakt het bijzonder moeilijk om de aanval op te sporen en te stoppen, vooral omdat fileless malware vaak gebruik maakt van vertrouwde systemen zoals PowerShell, Windows Management Instrumentation (WMI) en andere ingebouwde tools van het besturingssysteem.

Een veelvoorkomende manier waarop fileless malware zich verspreidt, is via phishing-aanvallen. Hierbij wordt de gebruiker misleid om een schadelijke link te openen of een kwaadaardig bestand te downloaden. Zodra de aanvaller toegang heeft, kan hij gebruik maken van tools die al op het systeem aanwezig zijn om de kwaadaardige code in het geheugen uit te voeren, zonder dat er een bestand op de schijf wordt opgeslagen.

Hoe fileless malware werkt: een stap voor stap uitleg

De werking van fileless malware kan complex lijken, maar doorgaans volgt een aanval een aantal specifieke stappen. De aanval begint meestal met een phishing-aanval of het misbruiken van kwetsbaarheden in software om toegang te krijgen tot het systeem van het slachtoffer. Eenmaal binnen, maakt de aanvaller gebruik van legitieme systeemtools zoals PowerShell of WMI om kwaadaardige code uit te voeren in het systeemgeheugen.

Een typisch voorbeeld van fileless malware is de "Living off the Land Binaries" (LOLBins) techniek. Hierbij maakt de aanvaller gebruik van vertrouwde systeemtools, zoals mshta.exe of InstallUtil.exe, om kwaadaardige code uit te voeren zonder nieuwe bestanden te creëren. Aangezien deze tools al op het systeem aanwezig zijn en normaal gesproken onschadelijk zijn, is het moeilijk om kwaadaardige activiteiten van legitiem systeemgebruik te onderscheiden.

Bijvoorbeeld, een aanvaller kan een script in PowerShell injecteren dat op zijn beurt een kwaadaardig bestand in het geheugen laadt, zonder dat het ooit op de harde schijf verschijnt. Dit betekent dat er geen fysieke tekenen van de aanval zijn, wat de detectie enorm bemoeilijkt. Bovendien kan de aanvaller via tools zoals WMI zelfs na een herstart van het systeem de aanval opnieuw uitvoeren, wat de aanval persistent maakt.

De gevaren van fileless malware voor bedrijven

Fileless malware vormt een bijzonder gevaar voor bedrijven, omdat de aanval in feite "onzichtbaar" is. Aangezien de malware geen bestanden op de schijf achterlaat, kunnen traditionele antivirusprogramma's en andere beveiligingstools de aanval vaak niet detecteren. Dit betekent dat de aanval onopgemerkt kan blijven, terwijl de aanvaller toegang heeft tot vertrouwelijke gegevens, of zelfs volledige controle over de geïnfecteerde systemen.

Het gebruik van fileless malware in combinatie met andere vormen van cyberaanvallen, zoals datadiefstal, ransomware of het stelen van inloggegevens, maakt de dreiging nog groter. Eenmaal binnen het netwerk kan de aanvaller zich lateraal verspreiden naar andere systemen, waarbij zelfs systemen die als veilig werden beschouwd, kunnen worden geïnfecteerd. Dit kan leiden tot ernstige verstoringen van de bedrijfsvoering, verlies van gegevens of zelfs financiële schade.

Een ander risico van fileless malware is de lange tijd die nodig is om de aanval te detecteren en te verhelpen. Doordat de malware zich in het geheugen van een systeem bevindt en geen fysieke bestanden achterlaat, is het lastig om het spoor van de aanval te volgen. Dit betekent dat het vaak langer duurt om de aanval te stoppen, waardoor de schade die wordt aangericht aanzienlijk groter kan zijn.

Hoe je je kunt beschermen tegen fileless malware

Gezien de geavanceerde aard van fileless malware, is het belangrijk om verder te kijken dan de traditionele beveiligingsmaatregelen zoals antivirussoftware. Er zijn verschillende strategieën die bedrijven kunnen helpen om zich te beschermen tegen deze type aanvallen. Het is essentieel om verdachte gedragingen op systemen goed te monitoren. Dit kan bijvoorbeeld door het nauwlettend volgen van PowerShell-commando's of WMI-gebruik. Door afwijkingen van normaal gedrag te detecteren, kan een aanval in een vroeg stadium worden gestopt.

Daarnaast kunnen EDR-systemen (Endpoint Detection and Response) bedrijven helpen om afwijkend gedrag te detecteren, zelfs wanneer er geen fysieke malwarebestanden op de schijf staan. Ze kunnen bijvoorbeeld helpen bij het identificeren van ongebruikelijke activiteit in het geheugen, zoals het uitvoeren van PowerShell-scripts of het gebruik van vertrouwde systeemtools voor kwaadaardige doeleinden. Bovendien is het cruciaal om alle software up-to-date te houden en regelmatig beveiligingspatches toe te passen om te voorkomen dat aanvallers misbruik maken van bekende zwakheden in systemen.

Het is eveneens belangrijk om de toegang tot tools zoals PowerShell en WMI te beperken. Door de toegang tot deze kritieke tools te beperken, kan het risico dat aanvallers deze tools misbruiken, aanzienlijk worden verminderd. Het implementeren van strikte toegangscontrole en het beperken van machtigingen kan helpen om de mogelijkheden van de aanvaller te beperken.

Omdat fileless-aanvallen vaak beginnen met phishing of andere vormen van social engineering, is het ook van groot belang om medewerkers bewust te maken van de risico’s en hen te trainen in het herkennen van verdachte e-mails of links. Dit kan helpen om de kans op succesvolle aanvallen te verkleinen.

Het belang van samenwerking en snel reageren

Fileless malware is een geavanceerde dreiging die niet alleen vraagt om technische maatregelen, maar ook om snelle en gecoördineerde respons van alle betrokkenen. Het is van essentieel belang dat bedrijven een effectief incidentresponsplan hebben dat specifiek gericht is op de detectie en bestrijding van fileless-aanvallen. Dit plan moet protocollen bevatten voor het isoleren van geïnfecteerde systemen, het uitvoeren van forensisch onderzoek en het communiceren met externe belanghebbenden.

Door snel te kunnen reageren en goed samen te werken met IT-teams en andere afdelingen, kunnen bedrijven de impact van een fileless-aanval aanzienlijk verkleinen. Het inzetten van geavanceerde monitoringtools, zoals sandboxing-oplossingen, kan helpen bij het sneller identificeren van verdacht gedrag en het verminderen van de tijd die nodig is om de aanval te stoppen.

Fileless malware is een van de meest geavanceerde en moeilijk te detecteren vormen van cyberdreiging die organisaties vandaag de dag kunnen tegenkomen. Door gebruik te maken van legitieme systeemtools en technieken die niet afhankelijk zijn van fysieke bestanden, kunnen aanvallers hun kwaadaardige activiteiten jarenlang verborgen houden. Het is daarom van cruciaal belang dat bedrijven zich goed voorbereiden op deze dreiging door gedetailleerde monitoring, up-to-date software, en strikte toegangscontrole toe te passen. Alleen door proactief te zijn, kunnen bedrijven zich effectief beschermen tegen de verborgen gevaren van fileless malware.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt. Heb je advies of hulp nodig? Digiweerbaar.nl

Meer vraag van de week artikelen: