Fileless malware (bezsouborový malware) je typ malwaru, který je navržen tak, aby fungoval v paměti nebo v rámci legitimních systémových procesů, nikoli jako samostatné spustitelné soubory, což znesnadňuje jeho odhalení a odstranění.

Co je to fileless malware?

Fileless malware je typ škodlivého kódu, který neukládá soubory na disk jako běžný malware, ale běží přímo v paměti nebo využívá legitimní systémové nástroje, jako je PowerShell nebo WMI. Díky tomu je obtížně detekovatelný tradičním antivirem a může zůstat neodhalený i při standardních kontrolách. Jeho cílem je získat přístup do systému, šířit se dál nebo odcizit citlivá data.

Jak se fileless malware projevuje v praxi

Příklady využití fileless malwaru v reálném prostředí:

• Útočník pošle e-mail s odkazem na škodlivý skript, který spustí PowerShell přímo v paměti počítače.
• Malware zneužije známý bezpečnostní nástroj (např. PsExec) ke vzdálenému spuštění škodlivého kódu bez instalace souboru.
• Interní uživatel spustí makro ve Word dokumentu, které aktivuje bezsouborový útok a otevře zadní vrátka.
• Útočník zneužije Windows Management Instrumentation (WMI) k tichému sběru informací z podnikové sítě.
• Malware využije dočasné registry a RAM k exekuci bez stopy na pevném disku.

Fileless malware se v praxi obtížně odhaluje, protože často napodobuje běžnou administrativní činnost. Útočníci tímto způsobem cílí na firmy, které se spoléhají pouze na klasické ochranné nástroje.

Jaký je rozdíl mezi fileless malwarem a souvisejícími termíny?

• Fileless malware – běží v paměti, nezanechává stopy na disku.
• Klasický malware – ukládá soubory na disk (např. trojany, viry).
• Living-off-the-land (LotL) útoky – zneužívají předinstalované nástroje a skripty v systému (často součást fileless útoků).

Rozdíl spočívá hlavně v metodě exekuce a detekovatelnosti. Fileless útoky jsou často kombinací technik a mohou být součástí sofistikovanější kampaně. Pro běžné antiviry jsou problematické, protože není co skenovat – žádný soubor není uložen.

Jak se ve firmě bránit proti fileless malwaru

Kroky pro ochranu před fileless malwarem:

1. Vypněte nebo omezte PowerShell a WMI pro běžné uživatele.
2. Monitorujte chování systémových nástrojů (např. skriptování, spouštění bez souborů).
3. Nasazujte pokročilou detekci na bázi chování (EDR/XDR nástroje).
4. Školte zaměstnance v oblasti phishingu a škodlivých příloh.
5. Pravidelně vyhodnocujte neobvyklé procesy a záznamy v paměti.

Bez hlubší analýzy běžící paměti a systému nemusí firma fileless malware vůbec zaznamenat. Mnoho organizací se stále spoléhá na tradiční ochranu, která proti těmto typům hrozeb nestačí. Aktivní monitoring a prevence jsou nezbytné.