Fileless Malware

Fileless Malware: Bei Fileless Malware werden Dateien nicht auf einem Zielsystem abgelegt, sondern nur im Arbeitsspeicher ausgeführt. Die Ausführung der Malware findet in einem bereits bestehenden, vom System als legitim angesehenen Prozess statt. Die Spuren der Malware werden vom System entfernt, indem das System abgeschaltet oder der betroffene Prozess beendet wird. Fileless Malware stellt eine spezielle Hürde in der IT-Forensik dar, da sie keine zu analysierenden oder zu untersuchenden Spuren in Form von Dateien hinterlässt. Es ist sehr vorteilhaft, Live-Forensik Analysen durchzuführen, um RAM-Inhalte und Informationen überlaufende Prozesse und Netzwerkverbindungen so vollständig wie möglich zu analysieren. Bei Post-Mortem Analysen ist der Angriff deutlich schwerer – und wenn überhaupt meist nur indirekt – nachzuvollziehen.