Fileless Malware võib olla uus termin rohkem, kuid turvatööstus on seda juba aastaid teadnud. Selle aasta alguses tabas see Fileless Malware - sealhulgas pangad, telekommunikatsioon ja valitsusasutused - üle 140 ettevõtte kogu maailmas. Nagu on selgitatud nimega Fileless Malware, on selline pahavara, mis ei puutu kettale ega kasuta protsessi mis tahes faile. See on laaditud õigustatud protsessi kontekstis. Kuid mõned turvafirmad väidavad, et failivaba rünnak jätab kahjuliku hosti väikese binaarse, et käivitada pahavara rünnak. Sellised rünnakud on viimastel aastatel märkimisväärselt tõusnud ja nad on tavalisest ründamisest rünnakud.
Fileless Malware rünnakud
Fileless Malware rünnakud, mida tuntakse ka kui Mitte-pahavara rünnakud. Nad kasutavad tavapäraseid süsteeme, et siseneda teie süsteemidesse, ilma et oleks võimalik tuvastada pahavara faili. Viimasel paaril aastal on ründajad nutikamad ja on rünnaku käivitamiseks välja töötanud palju erinevaid viise.
Fileless pahavara nakatab arvutid, millel pole kohalikku kõvaketast ühtegi faili, jättes kõrvale tavapärased julgeoleku- ja kohtuekspertiisi vahendid.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Fileless pahavara asub aadressil Muutmälu teie arvutisüsteemist ja viirusetõrjeprogramm ei kontrolli mälu otse - see on turvalisim režiim, mis võimaldab ründajatel sissetungida oma arvutisse ja varastada kõik teie andmed. Isegi parimad viirusetõrjeprogrammid jätavad vahetevahel pahavara, mis töötab mällu.
Mõned hiljutised nakkused, mis on nakatunud kogu maailmas arvutisüsteemidega, on Fileless Malware infektsioonid - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 jne.
Kuidas Fileless Malware toimib
Fileless pahavara, kui see maandub Mälu saab kasutada oma emakeelseid ja süsteemi administratiivseid Windowsi sisseehitatud tööriistu nagu PowerShell, SC.exe, ja netsh.exe käivitada pahatahtlik kood ja saada administraatori juurdepääs teie süsteemile, et käske teha ja teie andmeid varastada. Võimalik, et ka failide malware võib varjata Rootkit või Registrit Windowsi operatsioonisüsteemist.
Kui see on sisse lülitatud, kasutavad ründajad pahavara mehhanismi peitmiseks Windowsi pisipildi vahemälu. Kuid pahavara vajab endiselt püsikomplekti sisenemiseks staatilist binaarfaili ja e-post on kõige sagedamini kasutatav keskmine. Kui kasutaja klõpsab pahatahtliku manuse korral, kirjutab see Windowsi registrisse krüpteeritud kasuliku faili faili.
Fileless Malware on ka teada, et kasutavad selliseid tööriistu nagu Mimikatz ja Metaspoilt süstida kood arvuti mällu ja lugeda seal salvestatud andmeid. Need tööriistad aitavad ründajad sissetungida sügavuti oma arvutisse ja varastada kõik teie andmed.
Käitumisanalüütika ja Fileless pahavara
Kuna enamik tavapäraseid viirusetõrjeprogramme kasutatakse pahavara failide tuvastamiseks allkirju, on faililehmatut raskesti tuvastatav. Nii kasutavad turvafirmad pahavara tuvastamiseks käitumisanalüütikat. See uus turvalahendus on mõeldud varasemate rünnakute ja kasutajate ja arvutite käitumisega tegelemiseks. Seejärel teavitatakse kõiki hoiatusi puudutavatest ebaharilikest käitumistest, mis viitavad pahatahtlikule sisule.
Juhul, kui ükski lõpp-punkti lahendus ei suuda tuvastada mittefailitavat pahavara, tuvastab käitumisanalüütika igasuguse anomaalse käitumise, näiteks kahtlaste sisselogimisaktiivide, ebatavaliste töötundide või ebatüüpiliste ressursside kasutamise. See turvavõimalus lööb sündmuste andmed seansside ajal, kus kasutajad kasutavad mis tahes rakendust, sirvivad veebisaiti, mängivad mänge, suhtlevad sotsiaalse meediaga jne.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Kuidas kaitsta ja tuvastada Fileless Malware
Windowsi arvuti turvalisuse tagamiseks järgige põhilisi ettevaatusabinõusid.
- Rakenda kõik uuemad Windowsi värskendused - eriti operatsioonisüsteemi turvavärskendused.
- Veenduge, et kogu teie installitud tarkvara on paigutatud ja uuendatud nende uusimatele versioonidele
- Kasutage head turvatoodet, mis võimaldab tõhusalt skannida arvuti mälu ja blokeerida pahatahtlikud veebisaidid, mis võivad olla hostitud. See peaks pakkuma käitumise jälgimist, mälu skaneerimist ja alglaadimissektori kaitset.
- Enne e-posti manuste allalaadimist olge ettevaatlik. Selle eesmärk on vältida kasuliku koormuse allalaadimist.
- Kasutage tugevat tulemüüri, mis võimaldab tõhusalt juhtida võrguliiklust.
Kui peate selle teema kohta lisateavet saatma, pöörduge Microsofti poole ja vaadake seda McAfee'i poolt.
