Bezplikowe złośliwe oprogramowanie^{(Fileless Malware)} może być dla większości nowym terminem, ale branża bezpieczeństwa zna to od lat. W ubiegłym roku to bezplikowe złośliwe oprogramowanie zaatakowało ^{(Fileless Malware –)}ponad 140 przedsiębiorstw na całym świecie – w tym banki, firmy telekomunikacyjne i organizacje rządowe. Bezplikowe złośliwe oprogramowanie^{(Fileless Malware)} , jak sama nazwa wskazuje, jest rodzajem złośliwego oprogramowania, które nie dotyka dysku ani nie wykorzystuje żadnych plików w procesie. Jest ładowany w kontekście legalnego procesu. Jednak niektóre firmy zajmujące się bezpieczeństwem twierdzą, że atak bezplikowy pozostawia mały plik binarny w kompromitującym hoście, aby zainicjować atak złośliwego oprogramowania. Takie ataki odnotowały znaczny wzrost w ciągu ostatnich kilku lat i są bardziej ryzykowne niż tradycyjne ataki złośliwego oprogramowania.

Ataki bezplikowego złośliwego oprogramowania

Ataki bezplikowego złośliwego oprogramowania^{(Fileless Malware)} , znane również jako ataki bez złośliwego oprogramowania^{(Non-Malware attacks)} . Używają typowego zestawu technik, aby dostać się do systemów bez użycia wykrywalnego pliku złośliwego oprogramowania. W ciągu ostatnich kilku lat napastnicy stali się mądrzejsi i opracowali wiele różnych sposobów przeprowadzenia ataku.

Bezplikowe^(Fileless) złośliwe oprogramowanie infekuje komputery, nie pozostawiając żadnych plików na lokalnym dysku twardym, omijając tradycyjne narzędzia bezpieczeństwa i kryminalistyki.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Bezplikowe złośliwe oprogramowanie znajduje się w pamięci o dostępie swobodnym^{(Random Access Memory)} systemu komputerowego, a żaden program antywirusowy nie sprawdza pamięci bezpośrednio — jest to więc najbezpieczniejszy tryb, w którym atakujący mogą włamać się do komputera i ukraść wszystkie dane. Nawet najlepsze programy antywirusowe czasami pomijają złośliwe oprogramowanie działające w pamięci.

Niektóre z ostatnich infekcji Fileless Malware , które zainfekowały systemy komputerowe na całym świecie, to: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 itp.

Jak działa bezplikowe złośliwe oprogramowanie?

Bezplikowe złośliwe oprogramowanie, gdy wyląduje w pamięci^(Memory) , może wdrożyć natywne i systemowe wbudowane narzędzia administracyjne systemu Windows , takie jak ^(Windows)PowerShell , SC.exe i netsh.exe , aby uruchomić złośliwy kod i uzyskać dostęp administratora do systemu, aby przenieść wydawaj polecenia i kradnij dane. Bezplikowe złośliwe oprogramowanie^{(Fileless Malware)} może czasami ukrywać się w rootkitach^{(Rootkits)(Rootkits)} lub rejestrze^(Registry) systemu operacyjnego Windows.

Po wejściu osoby atakujące wykorzystują pamięć podręczną Windows Thumbnail , aby ukryć mechanizm złośliwego oprogramowania. Jednak złośliwe oprogramowanie nadal potrzebuje statycznego pliku binarnego, aby dostać się do komputera hosta, a e-mail jest najczęstszym medium używanym do tego samego. Gdy użytkownik kliknie złośliwy załącznik, zapisuje zaszyfrowany plik ładunku w rejestrze systemu Windows^{(Windows Registry)} .

Złośliwe oprogramowanie bezplikowe^{(Fileless Malware)} jest również znane z używania narzędzi takich jak Mimikatz i Metaspoilt do wstrzykiwania kodu do pamięci komputera i odczytywania przechowywanych tam danych. Narzędzia te pomagają atakującym wniknąć głębiej w Twój komputer i ukraść wszystkie Twoje dane.

Analiza behawioralna i złośliwe^(Fileless) oprogramowanie bez plików

Ponieważ większość zwykłych programów antywirusowych używa sygnatur do identyfikacji plików złośliwego oprogramowania, bezplikowe złośliwe oprogramowanie jest trudne do wykrycia. Dlatego firmy zajmujące się bezpieczeństwem wykorzystują analizy behawioralne do wykrywania złośliwego oprogramowania. To nowe rozwiązanie zabezpieczające ma na celu zwalczanie poprzednich ataków i zachowań użytkowników i komputerów. Każde nietypowe zachowanie, które wskazuje na złośliwą zawartość, jest następnie powiadamiane za pomocą alertów.

Gdy żadne rozwiązanie dla punktów końcowych nie jest w stanie wykryć bezplikowego złośliwego oprogramowania, analiza behawioralna wykrywa wszelkie nietypowe zachowanie, takie jak podejrzana aktywność logowania, nietypowe godziny pracy lub użycie dowolnego nietypowego zasobu. To rozwiązanie bezpieczeństwa przechwytuje dane o zdarzeniach podczas sesji, w których użytkownicy korzystają z dowolnej aplikacji, przeglądają witrynę internetową, grają w gry, wchodzą w interakcje w mediach społecznościowych itp.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Jak chronić się przed i wykrywać bezplikowe złośliwe oprogramowanie?^{(Fileless Malware)}

Postępuj zgodnie z podstawowymi środkami ostrożności, aby zabezpieczyć komputer z systemem Windows^{(precautions to secure your Windows computer)} :

• Zastosuj^(Apply) wszystkie najnowsze aktualizacje systemu Windows —^{(Windows Updates –)} zwłaszcza aktualizacje zabezpieczeń systemu operacyjnego.
• Upewnij^(Make) się, że całe zainstalowane oprogramowanie jest poprawione i zaktualizowane do najnowszych wersji
• Używaj dobrego produktu zabezpieczającego, który może skutecznie skanować pamięć komputera, a także blokować złośliwe strony internetowe, które mogą zawierać exploity^(Exploits) . Powinien oferować monitorowanie zachowania^(Behavior) , skanowanie pamięci^(Memory) i ochronę sektora rozruchowego .^{(Boot Sector)}
• Zachowaj ostrożność przed pobraniem jakichkolwiek załączników do wiadomości e-mail^{(downloading any email attachments)} . Ma to na celu uniknięcie pobierania ładunku.
• Użyj silnej zapory^(Firewall) , która pozwala skutecznie kontrolować ruch sieciowy .^(Network)

Czytaj dalej^{(Read next)} : Czym są ataki Living Off The Land^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking

• Jak uniknąć oszustw i ataków typu phishing?

• Co to jest trojan zdalnego dostępu? Zapobieganie, wykrywanie i usuwanie

• Cyberataki — definicja, rodzaje, zapobieganie

• Crystal Security to bezpłatne narzędzie do wykrywania złośliwego oprogramowania w chmurze na komputery PC

• Czym są ataki Living Off The Land? Jak zachować bezpieczeństwo?

• Jak usunąć wirusa Chromium z systemu Windows 11/10?

• Co to jest rootkit? Jak działają rootkity? Wyjaśnienie rootkitów.

• Jak korzystać z wbudowanego skanera złośliwego oprogramowania i narzędzia do czyszczenia przeglądarki Chrome?

• Jak zdobyć wirusa komputerowego, trojana, pracę, oprogramowanie szpiegujące lub złośliwe oprogramowanie?

• Potencjalnie niechciane programy lub aplikacje; Unikaj instalowania PUP/PUA

• Porywanie przeglądarki i bezpłatne narzędzia do usuwania porywacza przeglądarki

• W jaki sposób firma Microsoft identyfikuje złośliwe oprogramowanie i potencjalnie niechciane aplikacje?

• Jak usunąć Virus Alert z Microsoft na komputerze z systemem Windows?

• Darmowe narzędzia do usuwania złośliwego oprogramowania do usuwania określonych wirusów w systemie Windows 11/10

• Fałszywe oprogramowanie zabezpieczające lub Scareware: Jak sprawdzać, zapobiegać, usuwać?

• Jak usunąć wirusa z Windows 11/10; Przewodnik usuwania złośliwego oprogramowania

• Jak usunąć złośliwe oprogramowanie z telefonu z Androidem?

• Przesyłanie złośliwego oprogramowania: gdzie przesyłać pliki złośliwego oprogramowania do firmy Microsoft i innych?

• Jak usunąć złośliwe oprogramowanie z komputera w systemie Windows 10?