Bezplikowe ataki złośliwego oprogramowania, ochrona i wykrywanie
Bezplikowe złośliwe oprogramowanie(Fileless Malware) może być dla większości nowym terminem, ale branża bezpieczeństwa zna to od lat. W ubiegłym roku to bezplikowe złośliwe oprogramowanie zaatakowało (Fileless Malware –)ponad 140 przedsiębiorstw na całym świecie – w tym banki, firmy telekomunikacyjne i organizacje rządowe. Bezplikowe złośliwe oprogramowanie(Fileless Malware) , jak sama nazwa wskazuje, jest rodzajem złośliwego oprogramowania, które nie dotyka dysku ani nie wykorzystuje żadnych plików w procesie. Jest ładowany w kontekście legalnego procesu. Jednak niektóre firmy zajmujące się bezpieczeństwem twierdzą, że atak bezplikowy pozostawia mały plik binarny w kompromitującym hoście, aby zainicjować atak złośliwego oprogramowania. Takie ataki odnotowały znaczny wzrost w ciągu ostatnich kilku lat i są bardziej ryzykowne niż tradycyjne ataki złośliwego oprogramowania.
Ataki bezplikowego złośliwego oprogramowania
Ataki bezplikowego złośliwego oprogramowania(Fileless Malware) , znane również jako ataki bez złośliwego oprogramowania(Non-Malware attacks) . Używają typowego zestawu technik, aby dostać się do systemów bez użycia wykrywalnego pliku złośliwego oprogramowania. W ciągu ostatnich kilku lat napastnicy stali się mądrzejsi i opracowali wiele różnych sposobów przeprowadzenia ataku.
Bezplikowe(Fileless) złośliwe oprogramowanie infekuje komputery, nie pozostawiając żadnych plików na lokalnym dysku twardym, omijając tradycyjne narzędzia bezpieczeństwa i kryminalistyki.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Bezplikowe złośliwe oprogramowanie znajduje się w pamięci o dostępie swobodnym(Random Access Memory) systemu komputerowego, a żaden program antywirusowy nie sprawdza pamięci bezpośrednio — jest to więc najbezpieczniejszy tryb, w którym atakujący mogą włamać się do komputera i ukraść wszystkie dane. Nawet najlepsze programy antywirusowe czasami pomijają złośliwe oprogramowanie działające w pamięci.
Niektóre z ostatnich infekcji Fileless Malware , które zainfekowały systemy komputerowe na całym świecie, to: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 itp.
Jak działa bezplikowe złośliwe oprogramowanie?
Bezplikowe złośliwe oprogramowanie, gdy wyląduje w pamięci(Memory) , może wdrożyć natywne i systemowe wbudowane narzędzia administracyjne systemu Windows , takie jak (Windows)PowerShell , SC.exe i netsh.exe , aby uruchomić złośliwy kod i uzyskać dostęp administratora do systemu, aby przenieść wydawaj polecenia i kradnij dane. Bezplikowe złośliwe oprogramowanie(Fileless Malware) może czasami ukrywać się w rootkitach(Rootkits)(Rootkits) lub rejestrze(Registry) systemu operacyjnego Windows.
Po wejściu osoby atakujące wykorzystują pamięć podręczną Windows Thumbnail , aby ukryć mechanizm złośliwego oprogramowania. Jednak złośliwe oprogramowanie nadal potrzebuje statycznego pliku binarnego, aby dostać się do komputera hosta, a e-mail jest najczęstszym medium używanym do tego samego. Gdy użytkownik kliknie złośliwy załącznik, zapisuje zaszyfrowany plik ładunku w rejestrze systemu Windows(Windows Registry) .
Złośliwe oprogramowanie bezplikowe(Fileless Malware) jest również znane z używania narzędzi takich jak Mimikatz i Metaspoilt do wstrzykiwania kodu do pamięci komputera i odczytywania przechowywanych tam danych. Narzędzia te pomagają atakującym wniknąć głębiej w Twój komputer i ukraść wszystkie Twoje dane.
Analiza behawioralna i złośliwe(Fileless) oprogramowanie bez plików
Ponieważ większość zwykłych programów antywirusowych używa sygnatur do identyfikacji plików złośliwego oprogramowania, bezplikowe złośliwe oprogramowanie jest trudne do wykrycia. Dlatego firmy zajmujące się bezpieczeństwem wykorzystują analizy behawioralne do wykrywania złośliwego oprogramowania. To nowe rozwiązanie zabezpieczające ma na celu zwalczanie poprzednich ataków i zachowań użytkowników i komputerów. Każde nietypowe zachowanie, które wskazuje na złośliwą zawartość, jest następnie powiadamiane za pomocą alertów.
Gdy żadne rozwiązanie dla punktów końcowych nie jest w stanie wykryć bezplikowego złośliwego oprogramowania, analiza behawioralna wykrywa wszelkie nietypowe zachowanie, takie jak podejrzana aktywność logowania, nietypowe godziny pracy lub użycie dowolnego nietypowego zasobu. To rozwiązanie bezpieczeństwa przechwytuje dane o zdarzeniach podczas sesji, w których użytkownicy korzystają z dowolnej aplikacji, przeglądają witrynę internetową, grają w gry, wchodzą w interakcje w mediach społecznościowych itp.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Jak chronić się przed i wykrywać bezplikowe złośliwe oprogramowanie?(Fileless Malware)
Postępuj zgodnie z podstawowymi środkami ostrożności, aby zabezpieczyć komputer z systemem Windows(precautions to secure your Windows computer) :
- Zastosuj(Apply) wszystkie najnowsze aktualizacje systemu Windows —(Windows Updates –) zwłaszcza aktualizacje zabezpieczeń systemu operacyjnego.
- Upewnij(Make) się, że całe zainstalowane oprogramowanie jest poprawione i zaktualizowane do najnowszych wersji
- Używaj dobrego produktu zabezpieczającego, który może skutecznie skanować pamięć komputera, a także blokować złośliwe strony internetowe, które mogą zawierać exploity(Exploits) . Powinien oferować monitorowanie zachowania(Behavior) , skanowanie pamięci(Memory) i ochronę sektora rozruchowego .(Boot Sector)
- Zachowaj ostrożność przed pobraniem jakichkolwiek załączników do wiadomości e-mail(downloading any email attachments) . Ma to na celu uniknięcie pobierania ładunku.
- Użyj silnej zapory(Firewall) , która pozwala skutecznie kontrolować ruch sieciowy .(Network)
Czytaj dalej(Read next) : Czym są ataki Living Off The Land(Living Off The Land attacks) ?
Related posts
Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking
Jak uniknąć oszustw i ataków typu phishing?
Co to jest trojan zdalnego dostępu? Zapobieganie, wykrywanie i usuwanie
Cyberataki — definicja, rodzaje, zapobieganie
Crystal Security to bezpłatne narzędzie do wykrywania złośliwego oprogramowania w chmurze na komputery PC
Czym są ataki Living Off The Land? Jak zachować bezpieczeństwo?
Jak usunąć wirusa Chromium z systemu Windows 11/10?
Co to jest rootkit? Jak działają rootkity? Wyjaśnienie rootkitów.
Jak korzystać z wbudowanego skanera złośliwego oprogramowania i narzędzia do czyszczenia przeglądarki Chrome?
Jak zdobyć wirusa komputerowego, trojana, pracę, oprogramowanie szpiegujące lub złośliwe oprogramowanie?
Potencjalnie niechciane programy lub aplikacje; Unikaj instalowania PUP/PUA
Porywanie przeglądarki i bezpłatne narzędzia do usuwania porywacza przeglądarki
W jaki sposób firma Microsoft identyfikuje złośliwe oprogramowanie i potencjalnie niechciane aplikacje?
Jak usunąć Virus Alert z Microsoft na komputerze z systemem Windows?
Darmowe narzędzia do usuwania złośliwego oprogramowania do usuwania określonych wirusów w systemie Windows 11/10
Fałszywe oprogramowanie zabezpieczające lub Scareware: Jak sprawdzać, zapobiegać, usuwać?
Jak usunąć wirusa z Windows 11/10; Przewodnik usuwania złośliwego oprogramowania
Jak usunąć złośliwe oprogramowanie z telefonu z Androidem?
Przesyłanie złośliwego oprogramowania: gdzie przesyłać pliki złośliwego oprogramowania do firmy Microsoft i innych?
Jak usunąć złośliwe oprogramowanie z komputera w systemie Windows 10?