Wat is bestandloze malware? Hoe het werkt en hoe het te stoppen

Malware bestaat al tientallen jaren en verstoort systemen en steelt gegevens op talloze manieren. Naarmate de verdediging van cyberbeveiliging geavanceerder wordt, worden de bedreigingen echter ook geavanceerder. Een van de nieuwste en meest geavanceerde soorten malware is bestandsloze malware. In tegenstelling tot traditionele malware die schadelijke bestanden op je computer installeert, werken bestandsloze aanvallen rechtstreeks in het geheugen, waardoor ze moeilijker te detecteren en te stoppen zijn.

In de afgelopen jaren zijn deze aanvallen steeds gebruikelijker geworden, gericht op bedrijven van alle groottes en met minimale sporen. Als je wilt begrijpen hoe bestandsloze malware werkt, waarom het zo gevaarlijk is en wat je kunt doen om je organisatie te beschermen, lees dan verder.

Wat is bestandloze malware?

Bestandsloze malware is een soort kwaadaardige code die volledig in het geheugen van een computersysteem werkt zonder bestanden op de harde schijf aan te maken. Traditionele malware, zoals virussen, trojans en computerwormen, zijn afhankelijk van bestanden om een systeem te infecteren en te verspreiden. 

Bestandsloze malware bevindt zich daarentegen in het RAM van het systeem, het register en andere vluchtige opslaggebieden, waardoor het moeilijk te detecteren is met conventionele antivirussoftware.

Bescherm tegen bestandsloze malware met PowerDMARC!

Hoe werkt bestandloze malware?

Malware die geen bestanden gebruikt, werkt door het geheugen van je computer binnen te dringen. Er komt dus nooit schadelijke code op je harde schijf terecht. Het komt je systeem binnen op een manier die opvallend veel lijkt op die van andere kwaadaardige software.

Een hacker kan een slachtoffer bijvoorbeeld misleiden door op een koppeling of bijlage in een phishing-e-mail. Om het slachtoffer op de bijlage of link te laten klikken, kan de aanvaller gebruikmaken van social engineering om op hun emoties te spelen. Daarna dringt de malware uw systeem binnen en verspreidt het zich van het ene apparaat naar het andere.

Aanvallers hebben toegang tot gegevens die ze kunnen stelen of misbruiken om de activiteiten van een organisatie te hinderen met behulp van bestandsloze malware. Bestandsloze malware verbergt zichzelf door gebruik te maken van tools die systeembeheerders doorgaans vertrouwen, zoals Windows scripttools of PowerShell. 

Ze worden vaak opgenomen in de toegestane lijst met applicaties van een bedrijf. Bestandsloze malware corrumpeert een betrouwbaar programma, waardoor het moeilijker te detecteren is dan kwaadaardige software die in een apart bestand op je harde schijf staat.

Bron

Veelvoorkomende voorbeelden van bestandsloze malware

In de loop der jaren hebben verschillende bestandsloze malware-aanvallen de krantenkoppen gehaald vanwege hun heimelijkheid en geavanceerdheid. Hier zijn enkele van de meest opvallende voorbeelden:

1. Astaroth (Guildma): Astaroth is een beruchte bestandsloze malware die zich voornamelijk richt op financiële instellingen en overheidsorganisaties in Latijns-Amerika en Europa. Het verspreidt zich via schadelijke koppelingen of phishing-e-mails en maakt gebruik van legitieme Windows-hulpprogramma's, zoals WMIC en PowerShell, om opdrachten rechtstreeks in het geheugen uit te voeren. Door te vertrouwen op vertrouwde systeemhulpprogramma's wordt voorkomen dat traditionele antivirusbescherming wordt geactiveerd.
2. Kovter: Kovter werd oorspronkelijk ontwikkeld als klikfraude-malware, maar ontwikkelde zich tot een volledig bestandsloze bedreiging die zelfs na het opnieuw opstarten van het systeem kan blijven bestaan. Het verbergt zijn schadelijke code in het Windows-register, waardoor het opdrachten kan uitvoeren zonder bestanden op schijf op te slaan. Kovter is gebruikt om ransomware en advertentie-fraudecampagnes uit te voeren, meestal gericht op bedrijven via phishing en schadelijke advertenties.
3. PowerGhost: PowerGhost is een cryptojacking-malware die bedrijfsnetwerken infecteert om cryptocurrency te delven met behulp van de computerbronnen van het slachtoffer. Het verspreidt zich via exploits en externe beheertools en maakt gebruik van PowerShell en Windows Management Instrumentation (WMI) voor uitvoering. Doordat het volledig in het geheugen draait, kan het geruisloos werken en lange tijd onopgemerkt blijven.
4. Poweliks: Poweliks was een van de eerste bekende voorbeelden van echt bestandsloze malware. Het slaat zijn payload op in het Windows-register en gebruikt legitieme systeemprocessen om schadelijke activiteiten uit te voeren, zoals het downloaden van aanvullende malware of het stelen van gegevens. De stealth- en hardnekkigheidstechnieken vormen de basis voor toekomstige bestandsloze aanvallen.

Aanvalsketen voor bestandsloze malware

Bestandsloze malware werkt in het geheugen en maakt gebruik van vertrouwde technologieën, waardoor antivirussoftware die handtekeningen gebruikt en inbraakdetectiesystemen het vaak aanzien voor onschuldige software.

Door de mogelijkheid om heimelijk te werk te gaan, aanhoudend te zijn en onopgemerkt te blijven door doelorganisaties die niet over de benodigde hulpmiddelen beschikken, zorgt het er in wezen voor dat ze zich niet bewust zijn van een voortdurende inbraak.

De afhankelijkheid van bedrijven van op handtekeningen gebaseerde oplossingen om hun netwerken te beschermen is een belangrijke factor die CTA's aanmoedigt om bestandsloze malwareaanvallen op netwerken uit te voeren.

Soorten bestandsloze malware

Hier wordt uitgelegd hoe Fileless Malware zich verspreidt door verschillende typen:

1. Bestandsloze malware op basis van het geheugen is het meest voorkomende type bestandsloze malware, die zich in het RAM van het systeem en andere vluchtige opslaggebieden bevindt.
2. Scriptgebaseerde bestandsloze malware maakt gebruik van scripttalen, zoals PowerShell of JavaScript, om kwaadaardige code uit te voeren in het geheugen van een doelsysteem.
3. Macro-gebaseerde bestandsloze malware gebruikt macro's die zijn ingesloten in documenten, zoals Microsoft Office-bestanden of PDF's, om kwaadaardige code uit te voeren in het geheugen van een doelsysteem.
4. Registergebaseerde bestandsloze malware Bevindt zich in het register van het systeem, een database waarin configuratie-informatie voor het besturingssysteem en geïnstalleerde software wordt opgeslagen.

Malware zonder bestand detecteren

Bestandsloze malware opsporen is een uitdaging omdat het niet de gebruikelijke tekenen van infectie achterlaat. Er worden geen verdachte bestanden op de schijf opgeslagen en er zijn geen duidelijke installatiesporen zichtbaar. Deze aanvallen draaien direct in het systeemgeheugen en maken gebruik van legitieme tools, zoals PowerShell, WMI of macro's, om onopgemerkt te blijven. Traditionele antivirussoftware detecteert ze vaak niet omdat deze zich richt op het scannen van bestanden op bekende handtekeningen.

Moderne cyberbeveiligingstools maken gebruik van verschillende strategieën die zich richten op gedragsanalyse, geheugenactiviteit en real-time monitoring, in plaats van statische bestandsanalyse.

Gedragsanalyse: Deze methode observeert hoe programma's zich gedragen in plaats van te zoeken naar specifieke malwarehandtekeningen. Beveiligingsteams worden gewaarschuwd wanneer ongebruikelijke acties worden gedetecteerd, zoals een Word-document dat PowerShell-opdrachten probeert uit te voeren of scripts die proberen onbevoegde netwerkverbindingen tot stand te brengen.

Geheugen scannen: Omdat bestandsloze malware in het RAM werkt, inspecteren geheugenscantools het systeemgeheugen op verdachte code of geïnjecteerde processen. Dit helpt bij het identificeren en stoppen van bedreigingen die alleen in het geheugen actief zijn voordat ze schade kunnen aanrichten.

EDR (Endpoint Detection and Response): EDR-oplossingen bewaken endpoints in realtime en verzamelen gegevens over systeemgebeurtenissen en gebruikersactiviteit. Ze maken gebruik van analyses en informatie over bedreigingen om abnormaal gedrag te identificeren, geïnfecteerde apparaten te isoleren en onmiddellijk beveiligingsteams te waarschuwen.

Met behulp van deze geavanceerde detectiemethoden kunnen organisaties bestandsloze bedreigingen identificeren, zelfs als er geen bestanden zijn om te scannen. Gewone antivirussoftware is niet genoeg om ze tegen te houden, dus detectie op basis van gedrag is nu essentieel voor moderne cyberbeveiliging.

Stadia van een bestandsloze aanval

Hieronder staan stappen die een aanvaller kan nemen tijdens een bestandsloze aanval:

Eerste toegang

De aanvaller krijgt aanvankelijk toegang tot het doelnetwerk via phishing of andere social engineering technieken.

Uitvoering

De aanvaller levert de kwaadaardige code aan een of meer computers in het doelnetwerk met behulp van verschillende technieken (zoals via een e-mailbijlage). De kwaadaardige code draait in het geheugen zonder de schijf aan te raken. Dit maakt het moeilijk voor antivirussoftware om de aanval te detecteren en te voorkomen dat deze slaagt.

Volharding

De aanvallers installeren tools (bijvoorbeeld PowerShell-scripts) waarmee ze toegang tot het netwerk kunnen houden, zelfs nadat ze hun oorspronkelijke ingangspunt hebben verlaten of nadat hun oorspronkelijke malware van alle geïnfecteerde apparaten is verwijderd.

Deze tools kunnen worden gebruikt om aanvallen uit te voeren op hetzelfde netwerk terwijl ze niet worden gedetecteerd door antivirussoftware omdat ze geen sporen achterlaten op schijf of in het geheugen zodra ze hun taak hebben voltooid om nieuwe malwarecomponenten te installeren of andere taken uit te voeren waarvoor beheerdersrechten nodig zijn op de doelsystemen.

Doelstellingen

Zodra een aanvaller persistentie heeft vastgesteld op de machine van een slachtoffer, kan hij beginnen te werken aan zijn uiteindelijke doel: het stelen van gegevens of geld van de bankrekeningen van slachtoffers, het exfiltreren van gevoelige gegevens of andere snode activiteiten.

De doelen van een bestandsloze aanval lijken vaak erg op die van traditionele aanvallen: wachtwoorden stelen, referenties stelen of op een andere manier toegang krijgen tot systemen binnen een netwerk; gegevens uit een netwerk exfiltreren; ransomware of andere malware op systemen installeren; op afstand opdrachten uitvoeren; enzovoort.

Hoe beschermen tegen bestandloze malware?

Nu maak je je vast zorgen over hoe je jezelf kunt beschermen tegen deze ernstige bedreiging. Hier lees je hoe je het zekere voor het onzekere kunt nemen:

• Houd uw software up-to-date: Bestandsloze malware vertrouwt op het uitbuiten van kwetsbaarheden in legitieme softwaretoepassingen. Door je software up-to-date te houden met de nieuwste beveiligingspatches en -updates kun je voorkomen dat aanvallers misbruik maken van bekende kwetsbaarheden.
• Gebruik antivirussoftware: Hoewel traditionele antivirussoftware mogelijk niet effectief is tegen bestandsloze malware, kunnen gespecialiseerde oplossingen voor eindpuntbescherming, zoals detectie op basis van gedrag of toepassingsbeheer, helpen bij het detecteren en voorkomen van aanvallen met bestandsloze malware.
• Gebruik zo min mogelijk privileges: Bestandsloze malware vereist vaak beheerdersrechten om aanvallen uit te voeren. Het gebruik van het principe van de laagste privileges, dat de toegang van gebruikers beperkt tot het minimumniveau dat vereist is om hun werk uit te voeren, kan helpen om de impact van aanvallen met bestandsloze malware te beperken.
• Implementeer netwerksegmentatie: Netwerksegmentatie bestaat uit het verdelen van een netwerk in kleinere, geïsoleerde segmenten, elk met hun eigen beveiligingsbeleid en toegangscontroles. Het implementeren van netwerksegmentatie kan helpen om de verspreiding van bestandsloze malware-aanvallen te beperken en zo hun impact op de organisatie te verkleinen.

Conclusie

Bestandsloze malware is een zeer geavanceerde cyberaanval die een aanzienlijke bedreiging vormt voor computersystemen en netwerken. In tegenstelling tot traditionele malware opereert bestandsloze malware volledig in het geheugen van een doelsysteem, waardoor het moeilijk te detecteren en verwijderen is met conventionele antivirussoftware. 

Om je te beschermen tegen bestandsloze malware is het essentieel om software up-to-date te houden, gespecialiseerde oplossingen voor de bescherming van eindpunten te gebruiken, het principe van de minste privileges toe te passen en netwerksegmentatie toe te passen. Omdat cyberbedreigingen zich steeds verder ontwikkelen, is het cruciaal om op de hoogte te blijven van de nieuwste aanvalstechnieken en proactieve maatregelen te nemen om onze gegevens en systemen te beschermen.

E-mail blijft ook een van de meest voorkomende toegangspunten voor bestandsloze malware en phishing-aanvallen. Het beschermen van uw e-maildomein met PowerDMARC kan helpen voorkomen dat aanvallers zich voordoen als uw organisatie en bestandsloze payloads lanceren via schadelijke e-mails. Met geavanceerde DMARC-, SPF- en DKIM-handhaving helpt PowerDMARC u bedreigingen tegen te houden voordat ze uw inbox bereiken.

Veelgestelde vragen

Kan bestandsloze malware worden verwijderd?

Ja, maar het is moeilijker te verwijderen dan traditionele malware. Omdat het in het geheugen draait, verdwijnen de sporen vaak na een herstart. Geavanceerde EDR-tools, volledige systeemscans en beveiligingsupdates zijn nodig om de infectie volledig uit te roeien.

Komt bestandsloze malware veel voor?

Ja. Bestandsloze aanvallen komen steeds vaker voor omdat hackers manieren zoeken om antivirustools te omzeilen. Bedrijven van elke omvang zien een gestage toename van deze sluipende bedreigingen.

Hoe verspreidt bestandsloze malware zich?

Het verspreidt zich vaak via phishingmails, schadelijke koppelingen of geïnfecteerde documenten. Eenmaal geopend, maakt het gebruik van ingebouwde Windows tools, zoals PowerShell of WMI, om direct in het geheugen te draaien en over systemen te transporteren.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• DMARC MSP-casestudy: hoe Pablo Herreros het beheer van DNS-records voor klanten vereenvoudigde met PowerDMARC - 10 december 2025
• SMB1001 & DMARC: wat kleine en middelgrote bedrijven moeten weten over naleving van e-mailbeveiliging - 8 december 2025
• Beste domeinanalysers voor e-mailbeveiliging in 2026 - 5 december 2025