T1055 führt die Liste der 1,1 Millionen analysierten malware an, und 80 % der zehn häufigsten Techniken zielen darauf ab, die Abwehrmechanismen zu umgehen.Dateilose malware zu den am schnellsten wachsenden und am schwersten zu erkennenden Bedrohungskategorien, mit denen Sicherheitsteams heute konfrontiert sind. Im Gegensatz zu herkömmlicher malware , die ausführbare Dateien auf der Festplatte ablegt, missbrauchen dateilose Angriffe vertrauenswürdige Betriebssystem-Tools – PowerShell, WMI, .NET –, um bösartigen Code direkt im Arbeitsspeicher auszuführen. Das Ergebnis ist ein Angriff, der nur minimale forensische Spuren hinterlässt, signaturbasierte Antivirenprogramme umgeht und sich nahtlos in legitime Systemaktivitäten einfügt. Laut der Studie „State of Endpoint Risk“ des Ponemon Institute aus dem Jahr 2017 waren dateilose Angriffe etwa zehnmal erfolgreicher als dateibasierte Angriffe – eine Erkenntnis, die zwar veraltet ist, aber nach wie vor der am häufigsten zitierte Maßstab bleibt, da keine aktualisierte Studie sie ersetzt hat. Neuere Daten zeigen, dass sich das Problem verschärft. Dateilose malware haben von 2024 bis 2026 um 78 % zugenommen, und dateilose sowie In-Memory-Techniken sind im Jahresvergleich um etwa 30 % gestiegen. Dieser Leitfaden bietet einen umfassenden, evidenzbasierten Überblick darüber, wie dateilose malware , welche realen Kampagnen die aktuelle Bedrohungslandschaft prägen und welche mehrschichtigen Erkennungsstrategien tatsächlich gegen speicherresidente Bedrohungen wirken.
Dateilose malware eine Kategorie bösartiger Aktivitäten, bei der native, legitime, in ein Betriebssystem integrierte Tools – wie PowerShell, WMI und .NET – genutzt werden, um Cyberangriffe auszuführen, ohne herkömmliche ausführbare Dateien auf die Festplatte zu schreiben. Dabei agiert sie hauptsächlich im Arbeitsspeicher über vertrauenswürdige Systemprozesse und umgeht so die signaturbasierte Erkennung.
Diese Definition ist zwar klar, vereinfacht jedoch eine vielschichtige Realität zu sehr. Der Begriff „fileless“ ist ein Kontinuum. Microsofts maßgebliche Taxonomie für fileless Bedrohungen unterteilt diese in drei Typen:
Möglicherweise stoßen Sie in der Praxis auch auf synonyme Begriffe. malware wie malware,malware , „Zero-Footprint-Angriffe“ und „Living-off-the-Land“-Techniken (LOTL) beschreiben allesamt sich überschneidende Konzepte innerhalb dieser Bedrohungskategorie. Der wesentliche Unterschied besteht darin, dass „fileless malware eine übergeordnete Kategorie malware , während LOTL eine spezifische Untergruppe dieser Kategorie ist.
Dateilose malware kein Virus im herkömmlichen Sinne. Herkömmliche Viren vermehren sich, indem sie sich an Dateien anhängen. Dateilose malware legitime Systemprozesse aus und stellt somit eine grundlegend andere Bedrohungskategorie dar, die andere Erkennungsansätze erfordert.
Tabelle: Wesentliche Unterschiede zwischen dateiloser und herkömmlicher malware
Dateilose malware einem mehrstufigen Angriffsablauf. Das Verständnis jeder einzelnen Stufe – und der von Angreifern missbrauchten Tools – ist für die Entwicklung einer wirksamen Erkennung von entscheidender Bedeutung.
Typischer Ablauf einer dateilosen Angriffskette:
PowerShell ist nach wie vor das wichtigste Mittel zur dateilosen Ausführung unter Windows. Angreifer nutzen Base64-kodierte Befehle, die direkt in PowerShell weitergeleitet werden, um Payloads herunterzuladen und auszuführen, ohne jemals eine Datei zu schreiben. Die T1059.001 Diese Technik ist eine der am häufigsten beobachteten in realen Kampagnen.
Ein typisches Muster besteht darin, dass curl.exe oder Invoke-WebRequest ein Skript von einem Remote-Server abruft und es direkt an powershell.exe -EncodedCommand für die Ausführung im Arbeitsspeicher. Das Antimalware Scan Interface (AMSI) wurde entwickelt, um diese Befehle zur Laufzeit zu überprüfen, aber Angreifer entwickeln weiterhin Umgehungstechniken — was AMSI zu einer wichtigen, aber nicht perfekten Verteidigungsschicht macht.
Der Missbrauch von WMI eröffnet eine weitere Dimension. Angreifer richten WMI-Ereignisabonnements ein – permanente Auslöser, die Code ausführen, sobald bestimmte Systembedingungen erfüllt sind. Die POSHSPY-Backdoor von APT29 speicherte verschlüsselte PowerShell-Befehle direkt im WMI-Repository, wobei ein WMI-Filter die regelmäßige Ausführung auslöste. Wie die Analyse von Mandiant belegte, verschaffte dies APT29 einen dauerhaften, dateilosen Zugriff unter dem SYSTEM-Benutzer, ohne dass außerhalb des WMI-Repositorys Spuren zurückblieben.
Prozessinjektion (T1055) ist die am häufigsten verwendete MITRE ATT&CK . Der Picus Red Report 2026, in dem 1,1 Millionen malware analysiert wurden, stufte sie als Nummer eins ein – und stellte fest, dass 80 % der zehn häufigsten Techniken auf die Umgehung von Abwehrmaßnahmen, Persistenz und Command-and-Control ausgerichtet sind.
Angreifer schleusen bösartigen Code in den Speicherbereich vertrauenswürdiger laufender Prozesse ein – RuntimeBroker.exe, svchost.exe, OneDrive.exe –, sodass die böswillige Aktivität im Kontext einer legitimen, signierten Binärdatei ausgeführt wird. Die DEAD#VAX-Kampagne vom Februar 2026 demonstrierte dies mit einer vierstufigen Verschleierung und Prozessinjektion in vertrauenswürdige Windows-Prozesse, wobei IPFS-gehostete VHD-Dateien verwendet wurden, um Mark-of-the-Web-Schutzmaßnahmen vollständig zu umgehen.
Bei der registrierungsbasierten Persistenz werden verschlüsselte Nutzdaten in Registrierungsschlüsseln gespeichert, wodurch deren Fortbestand auch nach einem Neustart gewährleistet ist, während die Nutzdaten gleichzeitig aus dem Dateisystem ferngehalten werden. Das Sideloading von DLLs – bei dem Angreifer eine schädliche DLL neben einer legitimen, digital signierten Anwendung platzieren – hat sich zu einer beliebten Technik entwickelt. Storm-0249 missbrauchte eine von SentinelOne signierte Binärdatei genau zu diesem Zweck und verwandelte den eigenen Prozess eines Sicherheitstools in einen Angriffsvektor.
Dateilose malware längst kein Problem mehr, das nur Windows betrifft. Linux-Umgebungen – in denen der Großteil cloud von Unternehmen gehostet wird – sehen sich mit einer Reihe eigener dateiloser Techniken konfrontiert:
Die filelose Cryptomining-Kampagne gegen PostgreSQL im April 2025 kompromittierte mithilfe der Memfd-Technik über 1.500 Server und demonstrierte damit, dass filelose Angriffe auf Linux-Infrastrukturen mittlerweile im großen Stil der Cyberkriminalität stattfinden. Die Angreifer nutzten eine Diversifizierung der Binär-Hashes pro Ziel, um reputationsbasierte Erkennung zu umgehen – ein Maß an Raffinesse, das bislang nur mit Advanced Persistent Threats(APT) in Verbindung gebracht wurde.
Das Verständnis der Klassifizierung von dateiloser malware Sicherheitsteams malware , für jede Variante geeignete Erkennungsmechanismen zu entwickeln. Die folgende Tabelle kombiniert die Typ-I/II/III-Taxonomie von Microsoft mit technikbasierten Kategorien und neuen cloud .
Tabelle: Klassifizierung von dateiloser malware Ausführungsart und Persistenzmechanismus
Die Ausweitung dateiloser Techniken auf cloud stellt eine erhebliche Sicherheitslücke in der gesamten Cybersicherheitsbranche dar – und eine rasch wachsende Bedrohung. Cloud sind besonders anfällig, da Container von Natur aus kurzlebig sind, was bedeutet, dass herkömmliche dateibasierte Scans selbst bei konventioneller malware nur von begrenztem Nutzen sind.
Zu den spezifischen Angriffsvektoren für cloud -Angriffe gehören:
VoidLink, ein KI-gestütztes, cloud, dateiloses Framework, das im Januar 2026 entdeckt wurde, ist ein Beispiel für diese Entwicklung. VoidLink wurde von einem einzigen Entwickler mit Hilfe eines großen Sprachmodells erstellt – wobei Berichten zufolge rund 88.000 Zeilen Code generiert wurden – und zielt auf cloud ab, wobei die dateilosen Ausführungsabläufe speziell darauf ausgelegt sind, Schutzplattformen cloud zu umgehen.
Praxisbeispiele aus den Jahren 2025 und 2026 zeigen, wie dateilose Techniken auf allen wichtigen Angriffsflächen eingesetzt werden. Diese Beispiele – die deutlich aktueller sind als die veralteten Verweise auf Poweliks (2014) und Kovter, die in den meisten konkurrierenden Leitfäden zu finden sind – spiegeln den aktuellen Stand der dateilosen Bedrohungen wider.
Tabelle: Aktuelle malware mit dateiloser malware von 2025 bis 2026
Die Integration dateiloser Techniken in ransomware beschleunigt sich. Laut Recorded Future stieg die Zahl ransomware öffentlich gemeldeten ransomware im Jahr 2025 auf 7.200, verglichen mit 4.900 im Jahr 2024 – ein Anstieg um 47 %. Die Anzahl malware dateilosen malware in ransomware ist um 40 % gestiegen (Gitnux, 2026), und 93 % der Unternehmen haben in den letzten 24 Monaten mindestens einen ransomwareAngriff erlebt.
Die Kampagne von Storm-0249 im Dezember 2025 veranschaulicht dieses Muster. Die Angriffskette nutzt ClickFix-Social-Engineering, um Benutzer dazu zu verleiten, einen PowerShell-Befehl auszuführen. Dieser Befehl lädt eine dateilose Payload über curl.exe herunter und führt sie aus, wobei die Ausgabe über eine Pipe an PowerShell weitergeleitet wird – es wird zu keinem Zeitpunkt eine Datei auf die Festplatte geschrieben. Die Payload nutzt anschließend das Sideloading von DLLs über eine rechtmäßig signierte Sicherheitsbinärdatei, um Persistenz herzustellen und ransomware zu installieren. Jede Phase vor der endgültigen Verschlüsselungs-Payload nutzt dateilose Techniken, wodurch die frühzeitige Erkennung eher von Verhaltensanalysen als von Dateiscans abhängt.
Die Erkennung von dateiloser malware einen grundlegenden Wandel von einer dateibasierten hin zu einer verhaltensbasierten Sicherheit. Herkömmliche Antivirenprogramme – die darauf beruhen, Dateien auf bekannte Signaturen zu scannen – können keinen Code erkennen, der nie als Datei existiert. Aus diesem Grund nutzten 79 % der gezielten Angriffe im Jahr 2023 „Living-off-the-Land“-Binärdateien (KnowBe4, 2025) und werden zwar 54 % der Angreiferaktivitäten protokolliert, aber nur 14 % lösen Warnmeldungen aus (Picus Blue Report, 2025). Die Erkennungslücke ist real, lässt sich aber mit dem richtigen Ansatz schließen.
Die verhaltensbasierte Bedrohungserkennung überwacht Prozessverhalten, Befehlsparameter und Systemänderungen anstelle von Dateisignaturen. Die folgenden Indikatoren sind spezifisch für malware dateiloser malware .
Tabelle: Verhaltensindikatoren für dateilose malware Zuordnungen zu Erkennungsmethoden
Hier ist die entscheidende Erkenntnis, die in keinem anderen Leitfaden ausreichend behandelt wird: Dateilose malware endpoint – genau das ist ihr Zweck. Dennoch erzeugt dateilose malware Netzwerkverkehr. Jede C&C-Kommunikation, jeder Versuch einer lateralen Bewegung und jeder Vorfall von Datenexfiltration führt zu beobachtbaren Verhaltensmustern im Netzwerk.
Network Detection and Response (NDR) bietet eine ergänzende Erkennungsschicht, die das aufgreift, was endpoint übersehen:
Durch die Kombination von EDR und NDR wird Transparenz sowohl auf der Ebene endpoint als auch auf der Ebene der Netzwerkkommunikation geschaffen – wodurch die Lücke geschlossen wird, die dateilose malware .
Zwar gibt es keine einzelne Maßnahme, die dateilose malware vollständig abwehren kann, doch die folgenden Maßnahmen erhöhen den Aufwand für Angreifer erheblich:
Beachten Sie bei der Reaktion auf Vorfälle, dass bei dateiloser malware die Erfassung flüchtiger Beweise malware . Der Speicherforensik muss Vorrang eingeräumt werden, da bei einer reinen Festplattenforensik die wichtigsten Artefakte übersehen werden. Spezifische IR-Playbooks für dateilose Malware sollten die Speicheraufzeichnung als erste Maßnahme vorsehen.
Zuordnung dateiloser Techniken zum MITRE ATT&CK Framework ermöglicht eine strukturierte Entwicklung von Erkennungsmechanismen. Anstatt nach einzelnen Angriffen zu suchen, können Sicherheitsteams eine Erkennungsabdeckung gegen die spezifischen Techniken aufbauen, auf malware dateilose malware – und so dauerhafte Abwehrmechanismen schaffen, die nicht nur gegen bekannte, sondern auch gegen zukünftige Kampagnen wirken. Dieser Ansatz steht im Einklang mit der Cyber-Kill-Chain-Methodik, Angriffe in jeder Phase zu unterbinden.
Tabelle: MITRE ATT&CK , die häufig bei malware mit dateiloser malware zum Einsatz kommen
malware dateiloser malware entsprechen direkt den Compliance -Anforderungen der wichtigsten Rahmenwerke.
Tabelle: Vergleich der Compliance-Rahmenwerke für Kontrollmaßnahmen malware dateiloser malware
Die Erkennungslandschaft entwickelt sich als Reaktion auf dateilose Bedrohungen weiter. Drei sich überschneidende Trends verändern die Art und Weise, wie Unternehmen sich gegen Angriffe schützen, die im Arbeitsspeicher stattfinden.
Erstens, XDR -Integration führt Signale endpoint, Netzwerken und Identitäten in einer einheitlichen Erkennungs-Pipeline zusammen. Dateilose Angriffe, die einzelne Erkennungsschichten umgehen, erzeugen dennoch beobachtbare Verhaltensmuster über mehrere Schichten hinweg. Die Korrelation einer anomalen PowerShell-Ausführung auf einem endpoint ungewöhnlichem ausgehendem C2-Datenverkehr im Netzwerk liefert ein Signal mit hoher Zuverlässigkeit, das keine der beiden Schichten allein erreichen würde.
Zweitens: KI-gestützte Verhaltensanalysen entwickeln sich über die einfache regelbasierte Erkennung hinaus weiter. Unternehmen, die KI-basierte Abwehrmaßnahmen einsetzen, sparen im Vergleich zu solchen ohne diese Maßnahmen durchschnittlich 1,9 Millionen US-Dollar pro Sicherheitsvorfall ein (Zusammenfassung von Sicherheitsforschungsergebnissen, 2025). Diese Systeme lernen Basisverhaltensmuster und kennzeichnen Abweichungen – genau der Ansatz, der gegen dateilose Bedrohungen benötigt wird, die sich in legitime Abläufe einfügen.
Drittens entwickelt sich die Bedrohung selbst weiter. Die Analyse „Cyber Insights 2026“ von SecurityWeek hebt KI-gestützte polymorphe, dateilose Angriffe als aufkommenden Trend hervor, wobei PromptFlux und PromptSteal die ersten bestätigten malware darstellen, malware LLM-Abfragen nutzen. Die Nutzung von LLM-Unterstützung bei der Framework-Entwicklung durch VoidLink – bei der rund 88.000 Zeilen Code erzeugt wurden – zeigt, dass KI die Hürden für die Entwicklung ausgefeilter dateiloser Tools senkt.
Der Ansatz Vectra AI zur malware dateiloser malware basiert auf der „Assume-Compromise“-Philosophie und Attack Signal Intelligence“. Anstatt sich auf Signaturen oder dateibasierte Indikatoren zu verlassen, analysiert die Plattform Verhaltensmuster in Netzwerk- und cloud , um die Command-and-Control-Kommunikation, laterale Bewegungen und Datenexfiltration zu identifizieren, die dateilose Angriffe unweigerlich erzeugen – selbst wenn endpoint umgangen werden. Diese Verhaltensanalyse auf Netzwerkebene, gestützt durch 35 KI-Patente und 12 Referenzen in MITRE D3FEND, bietet eine entscheidende Erkennungsschicht, die die EDR-Abdeckung ergänzt und die Sichtbarkeitslücke bei malware mit dateiloser malware schließt.
malware dateilosen malware tritt in eine neue Phase ein, die durch KI-Fähigkeiten auf beiden Seiten – bei Angreifern und Verteidigern – vorangetrieben wird. In den nächsten 12 bis 24 Monaten sollten sich Sicherheitsteams auf verschiedene Entwicklungen einstellen.
KI-gestützte filelose Angriffe werden immer raffinierter und leichter zugänglich. Die Entdeckung von PromptFlux und PromptSteal – den ersten bestätigten malware , die während ihres Betriebs aktiv große Sprachmodelle abfragen – signalisiert einen Wandel hin zu malware sich in Echtzeit anpasst. VoidLink hat gezeigt, dass ein einzelner Entwickler mit LLM-Unterstützung dateilose Frameworks auf Unternehmensniveau erstellen kann. Mit der zunehmenden Verbreitung dieser Tools wird die Zahl der dateilosen Angriffe steigen, während die für ihre Durchführung erforderlichen Kenntnisse abnehmen.
Cloud, dateilose Techniken werden an Bedeutung gewinnen. Da Unternehmen immer mehr Workloads in containerisierte und serverlose Umgebungen verlagern, werden Angreifer diesem Trend folgen. Die Ausnutzung von Container-Laufzeitumgebungen über memfd, der Missbrauch cloud und Angriffe, die speziell auf Kubernetes abzielen, stellen die nächste Entwicklungsstufe dateiloser malware dar. Unternehmen sollten ihre Strategien zum Schutz cloud überprüfen, um nicht nur dateibasierte Schwachstellen, sondern auch im Speicher residierende Bedrohungen zu erkennen.
Die regulatorischen Rahmenbedingungen werden die Anforderungen an die Erkennung komplexer Bedrohungen verschärfen. Die NIS2-Richtlinie der EU und die sich weiterentwickelnden Anforderungen des PCI DSS v4 erweitern bereits jetzt den Umfang dessen, was als angemessener malware gilt. Spezifische Erkennungsfunktionen für dateilose Malware – Verhaltensanalyse, Speicherscan, Erkennung von Netzwerkabweichungen – werden zunehmend zu Compliance-Anforderungen und sind nicht mehr nur optionale Erweiterungen.
malware zum Auslesen von Speicherinhalten malware sich zu einer eigenständigen Bedrohungskategorie entwickeln. Da Daten während der Verarbeitung zunehmend im Speicher verbleiben (einschließlich sensibler KI-Modelldaten), werden Angreifer direkt auf Speicherinhalte abzielen – sie werden den Speicher nicht mehr als Ausführungsumgebung nutzen, sondern als Ziel für die Datenextraktion betrachten.
Unternehmen, die jetzt in mehrschichtige Verhaltenserkennung investieren – über Endgeräte, Netzwerke und cloud hinweg –, sind in der Lage, diesen neuen Bedrohungen zu begegnen, ohne ihre gesamte Architektur grundlegend umgestalten zu müssen.
Dateilose malware eine der größten Herausforderungen für moderne Sicherheitsabteilungen malware . Durch den Missbrauch vertrauenswürdiger Betriebssystem-Tools und die Ausführung ausschließlich im Arbeitsspeicher umgehen diese Angriffe die dateibasierte Erkennung, auf die sich die Sicherheitsbranche jahrzehntelang verlassen hat. Die hier dokumentierten Kampagnen – von EggStreme über ShadowHS bis hin zu Storm-0249 – zeigen, dass dateilose Techniken mittlerweile Windows-, Linux- und cloud umfassen und sowohl von staatlich geförderten Akteuren als auch von gewöhnlichen Cyberkriminellen eingesetzt werden.
Die Abwehrstrategie ist klar, erfordert jedoch gezielte Investitionen. Unternehmen benötigen eine mehrschichtige Verhaltenserkennung, die endpoint mit Analysen auf Netzwerkebene verbindet. Signaturbasierte Tools allein vermitteln ein falsches Gefühl der Sicherheit. Verhaltensanalysen, NDR, proaktive threat hunting und MITRE ATT&CK strukturierte MITRE ATT&CK bieten die umfassende Erkennung, die dateilose malware .
Sicherheitsteams, die bereit sind, die Lücke bei der Erkennung dateiloser Angriffe zu schließen, können sich darüber informieren, wie Attack Signal Intelligence Vectra AI Verhaltenserkennung in Hybrid- undcloud ermöglicht – und so Angriffe aufspürt, die andere Tools übersehen.
Dateilose malware eine Kategorie bösartiger Aktivitäten, bei der native, legitime Tools, die in ein Betriebssystem integriert sind – wie PowerShell, WMI und .NET –, genutzt werden, um Cyberangriffe auszuführen, ohne herkömmliche ausführbare Dateien auf die Festplatte zu schreiben. Anstatt auf malware zurückzugreifen, die von Antivirenprogrammen gescannt und erkannt werden können, nutzen Angreifer vertrauenswürdige Systemprozesse, um bösartigen Code direkt im Arbeitsspeicher auszuführen. Dieser Ansatz macht dateilose malware schwerer zu erkennen als herkömmliche malware es keine Datei-Hashes zum Abgleichen und keine statischen Dateien zur Analyse gibt und sich die böswilligen Aktivitäten nahtlos in legitime Systemvorgänge einfügen. Microsoft klassifiziert dateilose Bedrohungen in ein dreistufiges Spektrum (Typ I bis Typ III) und erkennt dabei an, dass der Begriff „dateilos“ unterschiedliche Grade der Interaktion mit dem Dateisystem umfasst. Die praktische Auswirkung für Sicherheitsteams besteht darin, dass signaturbasierte Erkennungstools im Wesentlichen keinen Schutz vor dateilosen Bedrohungen bieten, was eine Umstellung auf Verhaltensanalyse und Netzwerküberwachung erforderlich macht.
Dateilose malware gelangt malware über eine phishing , einen Exploit oder Social-Engineering-Techniken wie ClickFix in das System. Sobald der Angreifer sich den ersten Zugriff verschafft hat, nutzt er vertrauenswürdige Systemtools, um Befehle im Arbeitsspeicher auszuführen. PowerShell ist das am häufigsten verwendete Ausführungsmedium – Angreifer nutzen verschlüsselte Befehle, um Payloads herunterzuladen und auszuführen, ohne Dateien zu schreiben. Die Persistenz wird durch Mechanismen wie WMI-Ereignisabonnements oder Registrierungseinträge hergestellt, die bei Systemereignissen ausgelöst werden. Von dort aus nutzen Angreifer Prozessinjektion, um sich in vertrauenswürdigen Prozessen zu verstecken und sich mithilfe legitimer Verwaltungsprotokolle wie SMB, WMI oder WinRM lateral zu bewegen. Während dieser gesamten Kette läuft die bösartige Aktivität unter der Identität legitimer Systemprozesse ab, was es für dateibasierte Sicherheitswerkzeuge extrem schwierig macht, sie von normalen Vorgängen zu unterscheiden.
Dateilose malware kein Virus im herkömmlichen Sinne. Herkömmliche Computerviren sind dateibasierte Programme, die sich vermehren, indem sie sich an andere Dateien oder Bootsektoren anhängen. Dateilose malware ausführbaren Dateien auf die Festplatte und repliziert sich nicht auf dieselbe Weise. Stattdessen nutzt sie legitime Systemprozesse und Tools, die bereits auf dem Zielsystem vorhanden sind. Der Begriffmalware wird im weiteren Sinne verwendet, um jegliche schädliche Software zu umfassen, unabhängig davon, ob sie Dateien verwendet. Daher malware dateilose malware am besten als eigenständige Kategorie von Bedrohungen verstehen, die malware die böswillige Absicht herkömmlicher malware teilt, malware grundlegend andere Ausführungs- und Umgehungsmethoden nutzt.
Herkömmliche Antivirenprogramme und viele endpoint basieren darauf, Dateien auf der Festplatte auf bekannte Signaturen oder verdächtige Merkmale zu überprüfen. Dateilose malware diesen Ansatz völlig malware , da sie niemals herkömmliche Dateien erstellt. Der Schadcode wird im Arbeitsspeicher über vertrauenswürdige Systemtools wie PowerShell und WMI ausgeführt, und die daraus resultierenden Prozessaktivitäten verschmelzen mit legitimen Systemvorgängen. In vielen Fällen gibt es keine Datei-Hashes, die mit Bedrohungsdatenbanken abgeglichen werden könnten, keine statischen Dateien, die in einer Sandbox getestet oder ausgelöst werden könnten, und keine Artefakte auf der Festplatte für forensische Untersuchungen. Laut malware von ControlD für 2026 haben 54 % der Unternehmen Schwierigkeiten, dateilose Angriffe zu erkennen, die integrierte Betriebssystem-Tools ausnutzen. Der Picus Blue Report 2025 ergab, dass zwar 54 % der Angreiferaktivitäten protokolliert werden, aber nur 14 % tatsächlich Warnmeldungen auslösen – was eine massive Lücke zwischen Datenerfassung und umsetzbarer Erkennung verdeutlicht.
Herkömmliche, signaturbasierte Antivirenprogramme können dateilose malware nicht erkennen, malware keine schädlichen Dateien zum Scannen vorhanden sind. Moderne endpoint mit Verhaltenserkennung, AMSI-Integration und Speicherscan können einige dateilose Techniken erkennen – insbesondere PowerShell-basierte Angriffe, bei denen AMSI den Skriptinhalt zur Laufzeit überprüft. Fortgeschrittene dateilose Angriffe, die Prozessinjektion, WMI-Persistenz oder die Ausführung von Linux-memfd nutzen, entziehen sich jedoch häufig der Erkennung endpoint. Der effektivste Ansatz kombiniert endpoint and Response (EDR) mit Network Detection and Response (NDR) und Verhaltensanalysen. So entsteht eine mehrschichtige Transparenz, die dateilose Bedrohungen anhand ihres beobachtbaren Verhaltens – C2-Kommunikation, laterale Bewegungsmuster und anomale Prozessaktivitäten – und nicht anhand von Dateisignaturen erkennt.
Prävention erfordert das Zusammenspiel mehrerer Verteidigungsebenen. Beginnen Sie mit endpoint : Aktivieren Sie die Protokollierung von PowerShell-Skripten und den eingeschränkten Sprachmodus, setzen Sie EDR mit Funktionen zur Verhaltenserkennung ein und implementieren Sie eine Anwendungs-Whitelist über WDAC oder AppLocker. Beschränken Sie den Zugriff auf Verwaltungstools nach dem Prinzip der geringsten Berechtigungen – legen Sie fest, wer PowerShell, WMI-Befehle und andere Verwaltungsprogramme ausführen darf. Überwachen Sie WMI-Ereignisabonnements kontinuierlich, da legitime WMI-Persistenz selten ist und neue Abonnements eine sofortige Untersuchung erfordern. Setzen Sie NDR ein, um C2-Kommunikation und laterale Bewegungen, die durch dateilose Angriffe erzeugt werden, auf Netzwerkebene zu erkennen. Segmentieren Sie Netzwerke, um den Ausbreitungsradius zu begrenzen. Führen Sie proaktive threat hunting durch, threat hunting auf dateilose Indikatoren threat hunting . Stellen Sie schließlich sicher, dass Playbooks für die Incident Response Speicherforensik als Erstmaßnahmen enthalten, da bei reiner Festplattenforensik primäre dateilose Artefakte übersehen werden.
Herkömmliche malware ausführbare Dateien auf die Festplatte, die von Sicherheitswerkzeugen gescannt, gehasht und anhand von Signaturen erkannt werden können. Dateilose malware hauptsächlich im Arbeitsspeicher unter Verwendung legitimer Systemtools und hinterlässt nur minimale oder gar keine Spuren auf der Festplatte. Dies führt zu grundlegend anderen Anforderungen an die Erkennung. Herkömmliche malware durch Antivirenprogramme erkannt werden, die Dateien im Ruhezustand oder während des Downloads scannen. Dateilose malware eine Verhaltensanalyse – die Überwachung, wie sich Prozesse verhalten, welche Befehle sie ausführen und welche Netzwerkverbindungen sie herstellen. Forensisch gesehen malware herkömmliche malware Dateipfade, PE-Header und Datei-Hashes als Beweismittel. Dateilose malware Speicherforensik und die Analyse von Ereignisprotokollen. Die Typ-I/II/III-Klassifizierung von Microsoft erkennt an, dass die Grenze nicht binär ist – viele Angriffe liegen auf einem Spektrum zwischen vollständig dateilos und vollständig dateibasiert und nutzen legitime Dateisystem-Artefakte wie Registrierungsschlüssel oder WMI-Repositorys für die Persistenz, während die aktive Nutzlast im Speicher verbleibt.