Bezplikowe ataki złośliwego oprogramowania, ochrona i wykrywanie

Bezplikowe złośliwe oprogramowanie(Fileless Malware) może być dla większości nowym terminem, ale branża bezpieczeństwa zna to od lat. W ubiegłym roku to bezplikowe złośliwe oprogramowanie zaatakowało (Fileless Malware –)ponad 140 przedsiębiorstw na całym świecie – w tym banki, firmy telekomunikacyjne i organizacje rządowe. Bezplikowe złośliwe oprogramowanie(Fileless Malware) , jak sama nazwa wskazuje, jest rodzajem złośliwego oprogramowania, które nie dotyka dysku ani nie wykorzystuje żadnych plików w procesie. Jest ładowany w kontekście legalnego procesu. Jednak niektóre firmy zajmujące się bezpieczeństwem twierdzą, że atak bezplikowy pozostawia mały plik binarny w kompromitującym hoście, aby zainicjować atak złośliwego oprogramowania. Takie ataki odnotowały znaczny wzrost w ciągu ostatnich kilku lat i są bardziej ryzykowne niż tradycyjne ataki złośliwego oprogramowania.

bezplikowe złośliwe oprogramowanie

Ataki bezplikowego złośliwego oprogramowania

Ataki bezplikowego złośliwego oprogramowania(Fileless Malware) , znane również jako ataki bez złośliwego oprogramowania(Non-Malware attacks) . Używają typowego zestawu technik, aby dostać się do systemów bez użycia wykrywalnego pliku złośliwego oprogramowania. W ciągu ostatnich kilku lat napastnicy stali się mądrzejsi i opracowali wiele różnych sposobów przeprowadzenia ataku.

Bezplikowe(Fileless) złośliwe oprogramowanie infekuje komputery, nie pozostawiając żadnych plików na lokalnym dysku twardym, omijając tradycyjne narzędzia bezpieczeństwa i kryminalistyki.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Bezplikowe złośliwe oprogramowanie znajduje się w pamięci o dostępie swobodnym(Random Access Memory) systemu komputerowego, a żaden program antywirusowy nie sprawdza pamięci bezpośrednio — jest to więc najbezpieczniejszy tryb, w którym atakujący mogą włamać się do komputera i ukraść wszystkie dane. Nawet najlepsze programy antywirusowe czasami pomijają złośliwe oprogramowanie działające w pamięci.

Niektóre z ostatnich infekcji Fileless Malware , które zainfekowały systemy komputerowe na całym świecie, to: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 itp.

Jak działa bezplikowe złośliwe oprogramowanie?

Bezplikowe złośliwe oprogramowanie, gdy wyląduje w pamięci(Memory) , może wdrożyć natywne i systemowe wbudowane narzędzia administracyjne systemu Windows , takie jak (Windows)PowerShell , SC.exe i netsh.exe , aby uruchomić złośliwy kod i uzyskać dostęp administratora do systemu, aby przenieść wydawaj polecenia i kradnij dane. Bezplikowe złośliwe oprogramowanie(Fileless Malware) może czasami ukrywać się w rootkitach(Rootkits)(Rootkits) lub rejestrze(Registry) systemu operacyjnego Windows.

Po wejściu osoby atakujące wykorzystują pamięć podręczną Windows Thumbnail , aby ukryć mechanizm złośliwego oprogramowania. Jednak złośliwe oprogramowanie nadal potrzebuje statycznego pliku binarnego, aby dostać się do komputera hosta, a e-mail jest najczęstszym medium używanym do tego samego. Gdy użytkownik kliknie złośliwy załącznik, zapisuje zaszyfrowany plik ładunku w rejestrze systemu Windows(Windows Registry) .

Złośliwe oprogramowanie bezplikowe(Fileless Malware) jest również znane z używania narzędzi takich jak Mimikatz i Metaspoilt do wstrzykiwania kodu do pamięci komputera i odczytywania przechowywanych tam danych. Narzędzia te pomagają atakującym wniknąć głębiej w Twój komputer i ukraść wszystkie Twoje dane.

Analiza behawioralna i złośliwe(Fileless) oprogramowanie bez plików

Ponieważ większość zwykłych programów antywirusowych używa sygnatur do identyfikacji plików złośliwego oprogramowania, bezplikowe złośliwe oprogramowanie jest trudne do wykrycia. Dlatego firmy zajmujące się bezpieczeństwem wykorzystują analizy behawioralne do wykrywania złośliwego oprogramowania. To nowe rozwiązanie zabezpieczające ma na celu zwalczanie poprzednich ataków i zachowań użytkowników i komputerów. Każde nietypowe zachowanie, które wskazuje na złośliwą zawartość, jest następnie powiadamiane za pomocą alertów.

Gdy żadne rozwiązanie dla punktów końcowych nie jest w stanie wykryć bezplikowego złośliwego oprogramowania, analiza behawioralna wykrywa wszelkie nietypowe zachowanie, takie jak podejrzana aktywność logowania, nietypowe godziny pracy lub użycie dowolnego nietypowego zasobu. To rozwiązanie bezpieczeństwa przechwytuje dane o zdarzeniach podczas sesji, w których użytkownicy korzystają z dowolnej aplikacji, przeglądają witrynę internetową, grają w gry, wchodzą w interakcje w mediach społecznościowych itp.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Jak chronić się przed i wykrywać bezplikowe złośliwe oprogramowanie?(Fileless Malware)

Postępuj zgodnie z podstawowymi środkami ostrożności, aby zabezpieczyć komputer z systemem Windows(precautions to secure your Windows computer) :

  • Zastosuj(Apply) wszystkie najnowsze aktualizacje systemu Windows —(Windows Updates –) zwłaszcza aktualizacje zabezpieczeń systemu operacyjnego.
  • Upewnij(Make) się, że całe zainstalowane oprogramowanie jest poprawione i zaktualizowane do najnowszych wersji
  • Używaj dobrego produktu zabezpieczającego, który może skutecznie skanować pamięć komputera, a także blokować złośliwe strony internetowe, które mogą zawierać exploity(Exploits) . Powinien oferować monitorowanie zachowania(Behavior) , skanowanie pamięci(Memory) i ochronę sektora rozruchowego .(Boot Sector)
  • Zachowaj ostrożność przed pobraniem jakichkolwiek załączników do wiadomości e-mail(downloading any email attachments) . Ma to na celu uniknięcie pobierania ładunku.
  • Użyj silnej zapory(Firewall) , która pozwala skutecznie kontrolować ruch sieciowy .(Network)

Czytaj dalej(Read next) : Czym są ataki Living Off The Land(Living Off The Land attacks) ?



About the author

Jestem inżynierem oprogramowania z ponad 10-letnim doświadczeniem na platformach Windows 11 i 10. Skupiam się na tworzeniu i utrzymywaniu wysokiej jakości oprogramowania zarówno dla Windows 7, jak i Windows 8. Pracowałem również nad wieloma innymi projektami, w tym między innymi Chrome, Firefox, Xbox One i plikami.



Related posts