Fileless Malware lehet, hogy egy új kifejezés a legtöbb, de a biztonsági ipar már évek óta ismert. Az idei év elején több mint 140 vállalat világszerte fellépett ezzel a Füzetlen Malware programmal - beleértve a bankokat, a távközlést és a kormányzati szervezeteket. A fúvott rosszindulatú szoftverek, amint azt a név megmagyarázza, egyfajta rosszindulatú program, amely nem érinti a lemezt, és nem használ semmilyen fájlt a folyamatban. A legutóbbi eljárás keretében terhelt. Egyes biztonsági cégek azonban azt állítják, hogy a fájl nélküli támadás egy kis bináris számot hagy a kompromisszumos fogadóban, hogy elindítsa a rosszindulatú támadást. Az ilyen támadások az utóbbi években jelentős növekedést mutattak, és kockázatosabbak, mint a hagyományos malware támadások.
Féregtelen Malware támadások
Féregtelen Malware támadások is ismert Nem-malware támadások. Egy tipikus technikát alkalmaznak, hogy bejussanak a rendszerbe anélkül, hogy észlelhető rosszindulatú fájlokat használnának. Az elmúlt években a támadók okosabbak voltak, és számos különböző módszert fejlesztettek ki a támadás elindítására.
Fülektelen rosszindulatú szoftverek fertőzik meg a számítógépeket, amelyek nem hagynak semmilyen fájlt a helyi merevlemezen, elkerülve a hagyományos biztonsági és törvényszéki eszközöket.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
A lapatlan malware a Véletlen hozzáférésű memória és nincs víruskereső program közvetlenül ellenőrzi a memóriát - ezért ez a legbiztonságosabb módja annak, hogy a támadók behatoljanak a számítógépbe, és ellopják az összes adatot. Még a legjobb antivírus programok néha hiányoznak a memóriában futó rosszindulatú programokban.
A legutóbbi, nem fertőzött számítógéppel fertőzött nemrégiben bekövetkezett fertőzések közül néhányat - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 stb.
Hogyan működik a Fileless Malware?
A nem szándékos rosszindulatú szoftverek, amikor bejut a memória telepítheti a natív és rendszergazdai Windows beépített eszközöket, mint például PowerShell, SC.exe, és Netsh.exe hogy futtassa a rosszindulatú kódot, és megkapja az adminisztrátori hozzáférést a rendszeréhez, hogy végrehajtsa a parancsokat és ellopja adatait. A rácsos rosszindulatú szoftverek valamikor el is rejthetnek A rootkitek vagy a Iktató hivatal a Windows operációs rendszer.
A támadók a beolvasás során a Windows Thumbnail gyorsítótárat használják a rosszindulatú programok mechanizmusának elrejtésére. Azonban a rosszindulatú szoftvereknek statikus bináris fájlra van szüksége ahhoz, hogy belépjenek a gazda-számítógépbe, és az e-mail a leggyakrabban használt médium. Amikor a felhasználó rákattint a rosszindulatú mellékletre, egy titkosított hasznos fájlt ír a Windows rendszerleíró adatbázisba.
Féregtelen Malware is ismert, hogy olyan eszközöket, mint a Mimikatz és Metaspoilt beírja a kódot a számítógép memóriájába, és elolvassa az ott tárolt adatokat. Ezek az eszközök segítenek a támadóknak mélyebben behatolni a számítógépbe és ellopni az összes adatot.
Viselkedési analitika és Feltáratlan malware
Mivel a legtöbb rendszeres víruskereső program aláírást használ a rosszindulatú fájlok azonosítására, a fájl nélküli rosszindulatú programokat nehéz észlelni. Így a biztonsági cégek viselkedési analitikát használnak a rosszindulatú programok észlelésére. Ez az új biztonsági megoldás célja a felhasználók és a számítógépek korábbi támadásainak és viselkedésének kezelése. A rosszindulatú tartalomra utaló abnormális viselkedés a riasztásokkal értesítést kap.
Ha a végpontoldali megoldás nem érzékeli a fájl nélküli rosszindulatú programokat, a viselkedési analitika észlel minden olyan rendellenes viselkedést, mint a gyanús bejelentkezési tevékenység, szokatlan munkaidő vagy bármilyen atipikus erőforrás használata. Ez a biztonsági megoldás rögzíti az eseményadatokat az olyan munkamenetek során, ahol a felhasználók bármilyen alkalmazást használnak, böngészhetnek egy webhelyen, játszanak, kölcsönhatnak a közösségi médiában stb.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Hogyan védekezhetünk a fonálmentes malware ellen?
Kövesse az alapvető óvintézkedéseket a Windows számítógép biztonságossá tételéhez:
- Alkalmazza az összes legújabb Windows-frissítést - különösen az operációs rendszer biztonsági frissítéseit.
- Győződjön meg róla, hogy az összes telepített szoftver frissítve és frissítve van a legújabb verzióihoz
- Használjon egy jó biztonsági terméket, amely hatékonyan képes a számítógép memóriájának szkennelésére, és blokkolja a rosszindulatú weboldalakat, amelyek a kizsákmányolást szolgálják. Meg kell kínálnia a viselkedésellenőrzést, a memóriakeresést és a Boot Sector védelmet.
- Legyen óvatos, mielőtt letöltené az e-mail mellékleteket. Ezzel elkerülhető a hasznos teher letöltése.
- Használjon erős tűzfalat, amely hatékonyan szabályozza a hálózati forgalmat.
Ha többet szeretne olvasni erről a témáról, menjen át a Microsoftba, és nézze meg ezt a fehérkönyvet a McAfee-nél is.