S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Malware

Fileless Malware

Schadsoftware, die ohne dauerhafte Dateien auskommt und ausschließlich im Arbeitsspeicher oder durch Missbrauch legitimer Systemwerkzeuge operiert.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Normaler Hacker: Lädt eine verdächtige Datei runter, die Antivirensoftware erkennt sie. Fileless Malware: Macht alles im RAM, ohne Dateien zu schreiben. Der Antivirus hat nichts zu scannen — die Malware ist nur im Speicher und verschwindet nach einem Neustart, hat aber bis dahin alles erledigt.

Ausführliche Erklärung

Fileless Malware hinterlässt keine Dateien auf der Festplatte und ist damit für klassische Antivirus-Lösungen (signaturbasiert) nahezu unsichtbar. Techniken: PowerShell-Missbrauch (Schadcode direkt in Memory geladen), Process Injection (Code in legitime Prozesse injiziert), Registry-basierte Persistenz, WMI-Missbrauch und Living-off-the-Land (LoL) Techniken (legitime Systemtools für bösartige Zwecke nutzen). Laut Studie sind fileless Angriffe bis zu 10x häufiger erfolgreich als dateibasierte.

>Wie funktioniert das?

1

Initialer Zugang: oft via Phishing-E-Mail mit Macro oder Exploit

2

Schadcode wird direkt in den Arbeitsspeicher geladen (kein File auf Festplatte)

3

Legitime Windows-Tools werden missbraucht: PowerShell, WMI, certutil, mshta

4

Persistenz via Registry oder WMI-Events (ohne sichtbare Dateien)

5

Aktionen (Lateral Movement, Datenexfiltration) werden ausschließlich im Memory ausgeführt.

?Häufig gestellte Fragen
Antwort

Hauptsächlich APT-Gruppen und professionelle Cyberkriminelle (Ransomware-Gruppen, Banking-Trojaner wie Emotet) die gezielt Erkennungssysteme umgehen wollen.

Antwort

"Living off the Land" (LoL) bedeutet ausschließlich legitime Systemtools nutzen: PowerShell, WMI, certutil, regsvr32 — diese sind vorinstalliert, signiert und werden von Antivirus nicht geblockt.

Antwort

EDR überwacht Prozessverhalten, PowerShell-Ausführung und Memory-Anomalien in Echtzeit — statt nach Datei-Signaturen zu suchen. Das ist der einzige effektive Schutz gegen Fileless-Techniken.

Antwort

Weil der RAM bei einem Neustart gelöscht wird. Daher nutzen Angreifer Registry-Keys oder WMI-Events für Persistenz — auch das ohne sichtbare ausführbare Dateien.

Antwort

Durch Überwachung von PowerShell- und WMI-Aktivitäten, Analyse von Prozess-Injection-Ereignissen, Memory-Forensik, Netzwerktraffic-Analyse und verhaltensbasierte EDR-Erkennung.

Quick Facts
KategorieMalware
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC