Безвреден злонамерен софтуер може да бъде нов термин за повечето, но индустрията за сигурност го е познавала от години. По-рано тази година над 140 предприятия по целия свят бяха засегнати от този Fileless Malware - включително банки, телекомуникации и правителствени организации. Fileless Malware, както обяснява името, е вид злонамерен софтуер, който не докосва диска или не използва никакви файлове в процеса. Той се зарежда в контекста на легитимен процес. Някои компании за сигурност твърдят обаче, че безпартийната атака оставя малка двоична версия в компрометиращия хост, за да инициира злонамерената атака. Подобни атаки са се увеличили значително през последните няколко години и са по-рискови от традиционните атаки на зловреден софтуер.
Безпарични атаки на зловреден софтуер
Fileless Malware атаки известен също като Не-Malware атаки, Те използват типичен набор от техники, за да влязат във вашите системи, без да използват никакъв откриваем злонамерен файл. През последните няколко години нападателите са станали по-умни и са разработили много различни начини за стартиране на атаката.
Fileless злонамерен софтуер заразява компютрите, които не оставят на твърдия диск локален файл, заобикаляйки традиционните инструменти за сигурност и криминалисти.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Безразрушим зловреден софтуер се намира в Оперативна памет на вашата компютърна система и никаква антивирусна програма не проверява директно паметта - затова е най-безопасният режим за нападателите да проникнат във вашия компютър и да откраднат всичките ви данни. Дори най-добрите антивирусни програми понякога пропускат злонамерения софтуер, който работи в паметта.
Някои от последните инфекции с Fileless Malware, които имат заразени компютърни системи по света са: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 и др.
Как работи Fileless Malware
Безразрушим злонамерен софтуер, когато се приземи в памет може да внедри вашите собствени и системни административни Windows вградени инструменти като PowerShell, SC.exe, и Netsh.exe за да стартирате злонамерения код и да получите администраторски достъп до системата си, за да изпълнявате командите и да открадвате данните си. Fileless Malware може също да се скрие в Rootkits или регистратура на операционната система Windows.
Веднъж, атакуващите използват кеш паметта на Windows Thumbnail, за да скрият злонамерения софтуер. Въпреки това, злонамереният софтуер все още се нуждае от статично двоично устройство, за да влезе в хост компютъра, а имейлът е най-често използваната среда за същото. Когато потребителят кликне върху злонамерения прикачен файл, той пише шифрован файл за полезно натоварване в регистъра на Windows.
Fileless Malware също е известно, че използва инструменти като Mimikatz и Metaspoilt за да вмъкнете кода в паметта на компютъра си и да прочетете съхранените там данни. Тези инструменти помагат на нападателите да навлязат по-навътре в компютъра ви и да откраднат всичките ви данни.
Поведенчески анализи и злонамерен софтуер без файлове
Тъй като повечето от обикновените антивирусни програми използват подписи за идентифициране на злонамерен файл, файловият злонамерен софтуер е трудно откриваем. По този начин фирмите за сигурност използват поведенчески анализи за откриване на злонамерен софтуер. Това ново решение за сигурност е предназначено да се справи с предишните атаки и поведение на потребителите и компютрите. Всяко ненормално поведение, което насочва към злонамерено съдържание, след това се известява с предупреждения.
Когато решение за крайна точка не може да открие зловреден софтуер без файлове, поведенческите анализи откриват каквото и да е аномално поведение, като подозрителна активност при влизане, необичайно работно време или използване на нетипичен ресурс. Това решение за сигурност заснема данните за събитията по време на сесиите, в които потребителите използват каквото и да е приложение, разглеждат уеб сайт, играят игри, взаимодействат със социалните медии и т.н.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Как да се предпазим от откриване и откриване на зловреден софтуер
Следвайте основните предпазни мерки, за да защитите компютъра си с Windows:
- Приложете всички последни актуализации на Windows - особено актуализациите за защита на вашата операционна система.
- Уверете се, че целият ви инсталиран софтуер е пълен и актуализиран до най-новите версии
- Използвайте добър продукт за сигурност, който може ефективно да сканира паметта на компютрите ви, както и да блокира злонамерени уеб страници, които могат да хостват експлойти. Той трябва да предлага мониторинг на поведението, сканиране на паметта и защита на базовия сектор.
- Бъдете внимателни, преди да изтеглите всички прикачени файлове. Това е, за да се избегне изтеглянето на полезния товар.
- Използвайте силна защитна стена, която ви позволява ефективно да управлявате мрежовия трафик.
Ако трябва да прочетете повече по тази тема, преминете към Microsoft и проверете тази whitepaper от McAfee също.
