Mallware bezplikowy (fileless malware) to złośliwe oprogramowanie, które atakuje system wyłącznie poprzez standardowe funkcje i narzędzia systemowe, bez instalacji własnych plików. Z racji swoich założeń jest wyjątkowo trudny do wykrycia i przez to szczególnie niebezpieczny.
Techniki stosowane przez mallware bezplikowy to:
- zestawy eksploitów ("exploit kits")
- przejęte narzędzia systemowe
- instalacja w rejestrze systemu Windows
- instalacja wyłacznie w pamięci RAM ("memory-only malware")
- wykorzystanie skradzionych poświadczeń
Zestawy ekspolitów
Ekspolit to fragment kodu, będący częścią składową oprogramowania mallware, który wykorzystuje pojedyńczą, konkretną podatność systemu, w celu przejęcia nad nim kontroli. Zestawy ekspolitów wykorzystane są w początkowej fazie przejęcia kontroli przez włamywacza. Atakujący zazwyczaj nie wie z góry jakich podatności (słabości) może spodziewać się w atakowanym systemie. Dlatego też wykorzystuje nie jeden, a właśnie zestaw eksploitów z założeniem, że co najmniej jeden z nich pozwoli mu na realizację udanego włamania i przejęcia kontroli. Zestaw eksploitów działa dwufazowo: (1) przeprowadza skanowanie systemu w poszukiwaniu podatności; (2) znajdując potencjalną podatności próbuje wykorzystać ją w celu realizacji włamania. Zestaw eksploitów zazwyczaj aktywowany jest raz, po przejęciu kontroli nie jest już potrzebny.
Instalacja mallware w rejestrze systemu Windows
Niektóre rodzaje mallware wykorzystują rejestr systemowy w celu ukrycia swojej obecności. Typowy mallware instaluje swój kod w systemie plików - tak jak każde standardowe oprogramowanie, dzięki czemu jest podatny na wykrycie poprzez standardowy przegląd systemu plików. Mallware instalujący się w rejestrze jest trudniejszy do wykrycia, także dlatego, że aktywnie może przeciwdziałać próbom wykrycia go. Przykłady tego typu mallware to np: Poweliks, Kovter i GootKit.
Instalacja wyłącznie w pamięci RAM
Podobnie jak w poprzednim przypadku, ten typ złośliwego oprogramowania nie modyfikuje i nie instaluje plików, "przebywając" wyłącznie w pamięci operacyjnej. Mallware taki zostanie oczywiście usunięty przy pierwszym restarcie lub wyłączeniu komputera, jednak w przypadku serwerów pracujących w trybie non-stop może utrzymywać się i pozostawać aktywnym przez długi okres czasu. Przykładem tego typu mallware jest np: Duqu 2.0, który zaatakował komputery firmy Kaspersky w 2016.
