Fileless Malware môže byť novým termínom pre väčšinu, ale bezpečnostný priemysel ho už roky poznal. Začiatkom tohto roka bolo s týmto Fileless Malware - vrátane bánk, telekomunikácií a vládnych organizácií - zasiahnutých viac ako 140 podnikov na celom svete. Fileless Malware, ako vysvetľuje názov, je druh malware, ktorý sa nedotýka disku alebo nepoužíva žiadne súbory v procese. To sa načíta v kontexte legitímneho procesu. Niektoré bezpečnostné firmy však tvrdia, že bezpriečinný útok zanecháva malý binárny súbor v kompromisnom hostiteľovi na iniciovanie útoku so škodlivým softvérom. Takéto útoky zaznamenali v posledných rokoch významný nárast a sú rizikovejšími ako klasické útoky škodlivého softvéru.
Fileless útoky škodlivého softvéru
Fileless Malware útoky tiež známy ako Útoky, ktoré nie sú škodlivé, Používajú typickú sadu techník, aby sa dostali do vašich systémov bez použitia akéhokoľvek detekovateľného súboru so škodlivým softvérom. V uplynulých rokoch sa útočníci stali múdrejšími a vyvinuli mnoho rôznych spôsobov, ako spustiť útok.
Bezplatný škodlivý softvér infikuje počítače a nezostáva žiadny súbor na lokálnom pevnom disku, čím sa vyhýbajú tradičným bezpečnostným a forenzným nástrojom.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Malý škodlivý súbor sa nachádza v priečinku Náhodný vstup do pamäťe vášho počítačového systému a žiadny antivírusový program priamo nekontroluje pamäť, takže je to najbezpečnejší spôsob, aby útočníci mohli narušiť počítač a ukradnúť všetky vaše dáta. Dokonca aj tie najlepšie antivírusové programy niekedy chýbajú malware v pamäti.
Niektoré z nedávnych infekcií bez zlého obsahu, ktoré majú infikované počítačové systémy na celom svete, sú - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 atď.
Ako funguje Fileless Malware
Malware bez súborov pri vstupe do priečinku Pamäť môže nasadiť svoje natívne a systémové administratívne Windows vstavané nástroje, ako je PowerShell, SC.exe, a Netsh.exe spustiť škodlivý kód a získať administrátorský prístup do vášho systému, aby ste vykonali príkazy a ukradli vaše údaje. Súčasný škodlivý softvér sa niekedy môže tiež skrývať rootkity alebo registre operačného systému Windows.
Po úniku útočníci používajú vyrovnávaciu pamäť miniatúr Windows, aby skryli škodlivý mechanizmus. Avšak malware stále potrebuje statické binárne pre vstup do hostiteľského počítača a e-mail je najbežnejším používaným médiom pre toto. Keď používateľ klikne na škodlivú prílohu, zapíše šifrovaný súbor užitočnej záťaže do registra Windows.
Fileless Malware je tiež známe, že používa nástroje ako Mimikatz a Metaspoilt vložte kód do pamäte počítača a prečítajte si uložené dáta. Tieto nástroje pomáhajú útočníkom vniknúť hlbšie do počítača a ukradnúť všetky vaše dáta.
Behaviorálna analýza a malý škodlivý softvér
Keďže väčšina bežných antivírusových programov používa na identifikáciu súboru so škodlivým softvérom podpisy, malware bez súborov je ťažko rozpoznateľný. Preto bezpečnostné firmy používajú behaviorálne analýzy na detekciu škodlivého softvéru. Toto nové bezpečnostné riešenie je navrhnuté tak, aby riešilo predchádzajúce útoky a správanie používateľov a počítačov. Akékoľvek abnormálne správanie, ktoré poukazuje na škodlivý obsah, je potom oznámené s upozorneniami.
Keď žiadne riešenie koncového bodu nedokáže rozpoznať bezproblémový malware, analytické správanie zistí, že akékoľvek anomálne správanie, ako je podozrivá aktivita pri prihlasovaní, neobvyklá pracovná doba alebo použitie akéhokoľvek atypického zdroja. Toto bezpečnostné riešenie zachytáva údaje o udalostiach počas relácií, v ktorých užívatelia používajú akúkoľvek aplikáciu, prehliadajú webové stránky, hrajú hry, interagujú so sociálnymi médiami atď.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Ako chrániť proti detekcii bezfrekvenčného škodlivého softvéru
Postupujte podľa základných bezpečnostných opatrení, ako zabezpečiť počítač so systémom Windows:
- Použite všetky najnovšie aktualizácie systému Windows - najmä aktualizácie zabezpečenia pre váš operačný systém.
- Uistite sa, že celý nainštalovaný softvér je opravený a aktualizovaný na najnovšie verzie
- Použite dobrý bezpečnostný produkt, ktorý dokáže efektívne skenovať pamäť vašich počítačov a tiež blokovať škodlivé webové stránky, ktoré môžu hostiť Exploity. Mala by ponúkať sledovanie správania, skenovanie pamäte a ochranu zavádzacieho sektora.
- Buďte opatrní pred stiahnutím akýchkoľvek e-mailových príloh. To má zabrániť sťahovaniu užitočného zaťaženia.
- Použite silnú bránu firewall, ktorá vám umožní efektívne riadiť sieťový prenos.
Ak potrebujete viac informácií o tejto téme, obráťte sa na spoločnosť Microsoft a pozrite si tento dokument aj na McAfee.
