Bezvýsledný malware může to být nový termín pro většinu, ale bezpečnostní průmysl to už roky zná. Začátkem tohoto roku bylo více než 140 podniků po celém světě zasaženo tímto malwarem Fileless - včetně bank, telekomunikací a vládních organizací. Fileless Malware, jak vysvětluje název, je druh malwaru, který se nedotkne disku nebo nepoužívá žádné soubory v procesu. Vkládá se do kontextu legitimního procesu. Nicméně, některé bezpečnostní firmy tvrdí, že bezpapírový útok opustí malý binární v kompromisním hostiteli, aby zahájil útok malware. Takové útoky zaznamenaly v posledních několika letech výrazný nárůst a jsou riskantnější než tradiční útoky škodlivého softwaru.

Fileless útoky škodlivého softwaru

Fileless Malware útoky také známé jako Negativní útoky. Používají typický soubor technik, které se dostanou do vašich systémů bez použití jakéhokoli detekovatelného souboru s malwarem. V uplynulých letech se útočníci stali chytřejšími a vyvinuli mnoho různých způsobů, jak spustit útok.

Malý škodlivý software infikuje počítače, které nezanechávají žádný soubor na místním pevném disku, čímž zabraňují tradičním bezpečnostním a forenzním nástrojům.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Malý škodlivý soubor se nachází v adresáři Paměť s náhodným přístupem vašeho počítačového systému a žádný antivirový program přímo kontroluje paměť - takže je to nejbezpečnější režim, kdy útočníci mohou narušit počítač a ukrást všechna data. Dokonce i ty nejlepší antivirové programy občas chybí malware spuštěný v paměti.

Některé z nedávných infikovaných malware, které mají infikované počítačové systémy po celém světě, jsou - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 atd.

Jak funguje Fileless Malware

Bezpilotní malware, když přistává do Paměť můžete nasadit své nativní a systémové administrativní Windows vestavěné nástroje, jako je PowerShell, SC.exe, a netsh.exe spustit škodlivý kód a získat administrátorský přístup k vašemu systému, abyste mohli provést příkazy a ukrást data. Bezplatný malware se někdy může také skrývat Rootkity nebo Registr operačního systému Windows.

Jakmile dojde, útočníci používají mezipaměť Windows Thumbnail pro skrytí škodlivého softwaru. Malware však stále potřebuje statické binární pro vstup do hostitelského počítače a e-mail je nejběžnějším médiem, které se používá pro toto. Když uživatel klepne na škodlivý přílohu, zapíše šifrovaný soubor užitečného zatížení do registru systému Windows.

Fileless Malware je také známo, že používá nástroje jako je Mimikatz a Metaspoilt vložte kód do paměti počítače a přečtěte si uložená data. Tyto nástroje pomáhají útočníkům proniknout hlouběji do počítače a ukrást všechna data.

Analýza chování a malý škodlivý software

Vzhledem k tomu, že většina běžných antivirových programů používá k identifikaci škodlivého softwaru podpisy, je špatně detekovatelný škodlivý software. Bezpečnostní firmy proto používají analytické nástroje pro detekci škodlivého softwaru. Toto nové řešení zabezpečení je navrženo tak, aby řešilo předchozí útoky a chování uživatelů a počítačů. Jakékoli abnormální chování, které odkazuje na škodlivý obsah, je pak upozorněno na upozornění.

Když žádné řešení koncového bodu nemůže detekovat bezproblémový malware, behaviorální analytika detekuje jakékoliv anomální chování, jako je podezřelá přihlašovací aktivita, neobvyklá pracovní doba nebo použití jakéhokoli atypického zdroje. Toto bezpečnostní řešení zachycuje data události během návštěv, kde uživatelé používají libovolnou aplikaci, procházejí webové stránky, hrají hry, komunikují se sociálními médii apod.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Jak chránit a detekovat bezproblémový malware

Postupujte podle základních bezpečnostních opatření k zabezpečení počítače se systémem Windows:

  • Použijte všechny nejnovější aktualizace systému Windows - zejména aktualizace zabezpečení operačního systému.
  • Ujistěte se, že veškerý nainstalovaný software je opravován a aktualizován na nejnovější verze
  • Použijte dobrý bezpečnostní produkt, který dokáže efektivně prohledat paměť vašich počítačů a také zablokovat škodlivé webové stránky, které mohou hostitele využívat. Mělo by nabízet sledování chování, skenování paměti a ochranu boot sektoru.
  • Před stahováním všech příloh e-mailů buďte opatrní. To má zabránit stahování užitečného zatížení.
  • Použijte silnou bránu firewall, která vám umožní efektivně řídit provoz v síti.

Pokud potřebujete přečíst více informací o tomto tématu, přejděte na společnost Microsoft a podívejte se na tento whitepaper od společnosti McAfee.

Nejlepší Tipy:
Komentář: