24 september 2018 3 min Auteur: Erik Remmelzwaal

Fileless malware: zo detecteert u het onzichtbare

Fileless malware vormt een steeds groter probleem voor organisaties. Cybercriminelen maken er gretig gebruik van, en met de traditionele beveiligingsoplossingen is deze vorm van schadelijke software nauwelijks te detecteren. Hoe roept u fileless malware een halt toe?

Fileless malware is eigenlijk een containerbegrip voor allerlei trucjes die bedoeld zijn om bijvoorbeeld de traditionele antivirus te omzeilen. Zo misbruiken cybercriminelen vertrouwde systeemtools, webbrowsers en legitieme applicaties die vanuit het geheugen malafide software kunnen draaien. Hiermee laten ze het Windows-besturingssysteem acties uitvoeren die er op het eerste gezicht allerminst verdacht uitzien en daardoor onopgemerkt blijven.

Een ander belangrijk kenmerk is dat fileless malware zich rechtstreeks in het geheugen van het apparaat nestelt zonder bestanden achter te laten op de harde schijf. Antimalwaretechnologieën die alleen vertrouwen op het opsporen van kwaadaardige code in uitvoerbare bestanden zullen dus geen spoor vinden van de fileless malware.

Hardnekkig probleem

Met fileless malware blijven cybercriminelen succesvol onder de radar, zelfs bij IT-securitybedrijven. Zo bleek in 2015 dat het netwerk van Kaspersky Lab al maanden was besmet met Duqu 2.0. Deze malware maakt gebruik van ‘fileless’ ontwijkingstechnieken en zou een creatie zijn van de NSA. Ook banken en grote bedrijven hebben te maken met deze relatief nieuwe dreiging. Zo slaagden cybercriminelen er begin 2017 in om bij 140 organisaties data te stelen zonder een spoor achter te laten.

Volgens onderzoek uitgevoerd door het Ponemon Institute krijgt 35 procent van de organisaties dit jaar te maken met fileless attacks. Maar ook malwarefamilies die niet in de boeken staan als ‘fileless’, maken voor infectie gebruik van in-memory technieken. Bij maar liefst 75 procent van alle succesvolle aanvallen in 2017 werden fileless methoden toegepast.

5 maatregelen

Hoogste tijd om de dreiging van fileless malware zoals Duqu 2.0, GhostMiner en de trojan Poweliks een halt toe te roepen. Deze 5 stappen kunnen daarbij helpen:

1. Blijf alert op verdachte bestanden

De term ‘fileless malware’ is niet altijd helemaal correct. De daadwerkelijke ‘payload’ kan wel degelijk met behulp van een file worden afgeleverd. Dat kan bijvoorbeeld een Office-document in een e-mail zijn met daarin een macro die het uiteindelijke werk doet in het geheugen van het besmette apparaat. Blijf dus alert op bijvoorbeeld Office-documenten die u niet had verwacht, zeker als ze afkomstig zijn van een onbekende afzender.

2. Breid filtering uit

Het filteren van .exe-bestanden is bij de meeste organisaties wel geregeld. In de strijd tegen fileless malware is het echter ook verstandig om scriptbestanden te blokkeren die worden gebruikt om het besmette systeem commando’s uit te laten voeren.

3. Scherp configuraties aan

Voor de aanval en de daarop volgende datadiefstal gebruiken inbrekers tools die al op het systeem aanwezig zijn. Denk hierbij aan PowerShell, het Remote Desktop Protocol (RDP) en Windows Management Instrumentation (WMI). Maakt u hier geen gebruik van? Schakel ze dan uit. Hiermee ontneemt u cybercriminelen een mogelijkheid om onveilige code te draaien op uw systemen. Dezelfde afweging kan worden gemaakt als gebruikers geen behoefte hebben aan macro’s.

4. Investeer in monitoring

Is er bijvoorbeeld sprake van communicatie tussen uw netwerk en een ‘bad guy’? Hier komt u achter door de logfiles van bijvoorbeeld de firewalls en intrusion prevention-systemen te controleren op ongeautoriseerd verkeer. Maar ook monitoring van de activiteiten op de endpoints zelf leidt tot nuttige inzichten. KPN-dochterbedrijf DearBytes ontwikkelt hiervoor een oplossing die gebaseerd is op meerdere opensourcetools.

5. Gebruik Endpoint Detection and Response

Traditionele oplossingen voor endpointsecurity leggen de focus op preventie. Fileless malware is echter lastig buiten de deur te houden. Endpoint Detection and Response (EDR) is daarom gericht op de dreigingen die juist niet worden gedetecteerd. Met een EDR-oplossing kunnen securityprofessionals gericht zoeken naar bijvoorbeeld verdachte processen of nieuwe malware op endpoints.   

Het is misschien een beetje veel gevraagd om direct alle stappen te zetten, maar organisaties doen er verstandig aan om in ieder geval een begin te maken. Wie vertrouwt op alleen antivirus, wordt al snel getroffen door malware die moeiteloos door de beveiliging glipt.

Gerelateerde artikelen