A fájl nélküli rosszindulatú program^{(Fileless Malware)} a legtöbb számára új kifejezés lehet, de a biztonsági ipar már évek óta ismeri. Tavaly világszerte több mint 140 vállalatot sújtott ez a fájl nélküli kártevő –^{(Fileless Malware –)} köztük bankok, távközlési és kormányzati szervezetek. A fájl nélküli rosszindulatú program^{(Fileless Malware)} , ahogy a neve is mutatja, egy olyan rosszindulatú program, amely nem érinti meg a lemezt, és nem használ fájlokat a folyamat során. Egy legitim folyamat keretében töltődik be. Egyes biztonsági cégek azonban azt állítják, hogy a fájl nélküli támadás egy kis binárist hagy a kompromittáló gazdagépben, amely elindítja a rosszindulatú programtámadást. Az ilyen támadások számottevő növekedést mutattak az elmúlt néhány évben, és kockázatosabbak, mint a hagyományos rosszindulatú támadások.

Fájl nélküli rosszindulatú támadások

Fájl nélküli rosszindulatú^{(Fileless Malware)} támadások, más néven nem malware támadások^{(Non-Malware attacks)} . Tipikus technikák segítségével jutnak be a rendszerbe anélkül, hogy észlelhető rosszindulatú programokat használnának. Az elmúlt néhány évben a támadók okosabbak lettek, és számos különféle módszert fejlesztettek ki a támadás indítására.

A fájl nélküli^(Fileless) rosszindulatú programok megfertőzik a számítógépeket, nem hagynak maguk után fájlt a helyi merevlemezen, kikerülve a hagyományos biztonsági és kriminalisztikai eszközöket.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

A fájl nélküli kártevő a számítógépes rendszer Random Access Memory -jában található, és egyetlen vírusirtó sem ellenőrzi közvetlenül a memóriát – így ez a legbiztonságosabb mód a támadók számára, hogy behatoljanak a számítógépbe, és ellopják az összes adatot. ^{(Random Access Memory)}Még a legjobb vírusirtó programok is néha hiányoznak a memóriában futó kártevőkről.

A legutóbbi Fileless Malware fertőzések közül néhány, amely világszerte megfertőzte a számítógépes rendszereket: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 stb.

Hogyan működik a Fileless Malware

A fájl nélküli rosszindulatú program, amikor a memóriába^(Memory) kerül , telepítheti a natív és rendszeradminisztrációs Windows beépített eszközeit, például a PowerShell , SC.exe és netsh.exe fájlokat^(netsh.exe) a rosszindulatú kód futtatásához és a rendszergazdai hozzáférés biztosításához a rendszerhez. kiadja a parancsokat, és ellopja az adatait. A fájl nélküli rosszindulatú programok néha a ^{(Fileless Malware)}rootkitekben^{(Rootkits)(Rootkits)} vagy a Windows operációs rendszer Registry -jében is elrejtőzhetnek .

A támadók a Windows miniatűr^{(Windows Thumbnail)} gyorsítótárát használják a rosszindulatú program mechanizmusának elrejtésére. A rosszindulatú programnak azonban továbbra is szüksége van egy statikus binárisra, hogy belépjen a gazdaszámítógépbe, és az e-mail a leggyakrabban használt adathordozó. Amikor a felhasználó rákattint a rosszindulatú mellékletre, az egy titkosított hasznos fájlt ír a Windows rendszerleíró adatbázisába^{(Windows Registry)} .

Ismeretes, hogy a Fileless Malware^{(Fileless Malware)} olyan eszközöket is használ, mint a Mimikatz és a Metaspoilt , hogy beillessze a kódot a számítógép memóriájába, és beolvassa az ott tárolt adatokat. Ezek az eszközök segítenek a támadóknak mélyebben behatolni a számítógépbe, és ellopni az összes adatot.

Viselkedéselemzés és fájl nélküli^(Fileless) rosszindulatú programok

Mivel a legtöbb hagyományos víruskereső program aláírásokat használ a rosszindulatú programok azonosítására, a fájl nélküli rosszindulatú programokat nehéz felismerni. Így a biztonsági cégek viselkedéselemzést használnak a rosszindulatú programok észlelésére. Ezt az új biztonsági megoldást a felhasználók és számítógépek korábbi támadásainak és viselkedésének leküzdésére tervezték. Minden olyan rendellenes viselkedésről, amely rosszindulatú tartalomra utal, figyelmeztetést kap.

Ha egyetlen végponti megoldás sem képes észlelni a fájl nélküli kártevőt, a viselkedéselemzés minden rendellenes viselkedést észlel, például gyanús bejelentkezési tevékenységet, szokatlan munkaidőt vagy bármilyen atipikus erőforrás használatát. Ez a biztonsági megoldás rögzíti az eseményadatokat a munkamenetek során, amikor a felhasználók bármilyen alkalmazást használnak, weboldalakat böngésznek, játszanak, interakcióba lépnek a közösségi médiában stb.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Hogyan lehet védekezni a fájl nélküli rosszindulatú programok ellen és észlelni azokat^{(Fileless Malware)}

Kövesse az alapvető óvintézkedéseket Windows számítógépe biztonsága érdekében^{(precautions to secure your Windows computer)} :

• Alkalmazza^(Apply) az összes legújabb Windows-frissítést –^{(Windows Updates –)} különösen az operációs rendszer biztonsági frissítéseit.
• Győződjön^(Make) meg arról, hogy az összes telepített szoftver javítva van, és frissítve van a legújabb verzióra
• Használjon jó biztonsági terméket, amely hatékonyan képes átvizsgálni számítógépe memóriáját, és blokkolja azokat a rosszindulatú weboldalakat, amelyek exploitokat^(Exploits) tartalmazhatnak . Viselkedésfigyelést^(Behavior) , memóriaellenőrzést^(Memory) és rendszerindítási szektor^{(Boot Sector)} védelmet kell kínálnia .
• Legyen óvatos az e- mail mellékletek letöltése^{(downloading any email attachments)} előtt . Ezzel elkerülhető a hasznos teher letöltése.
• Használjon erős tűzfalat , amely lehetővé teszi a ^(Firewall)hálózati^(Network) forgalom hatékony szabályozását .

Olvassa el a következőt^{(Read next)} : Mik azok a Living Off The Land támadások^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• DLL-eltérítési sebezhetőségi támadások, megelőzés és észlelés

• Hogyan kerülhetjük el az adathalász csalásokat és támadásokat?

• Mi az a Remote Access Trojan? Megelőzés, észlelés és eltávolítás

• Kibertámadások – meghatározás, típusok, megelőzés

• A Crystal Security egy ingyenes, felhő alapú kártevő-észlelő eszköz PC-hez

• Hogyan lehet ellenőrizni a rendszerleíró adatbázisban rosszindulatú programokat a Windows 11/10 rendszerben

• Hogyan távolítsuk el a vírusriasztást a Microsoftból Windows PC-n

• A Malwarebytes Anti-Malware használata rosszindulatú programok eltávolítására

• A Chromium Virus eltávolítása a Windows 11/10 rendszerből

• potenciálisan nemkívánatos programok vagy alkalmazások; Kerülje a PUP/PUA telepítését

• Mi az a Rootkit? Hogyan működnek a rootkitek? Rootkits elmagyarázta.

• A Chrome böngésző beépített Malware Scanner & Cleanup Tooljának használata

• A megadott modul nem található hiba a Windows 11/10 rendszeren

• A legjobb vírus- és rosszindulatú programkeresők GARANTÁLTAN A Nuke Any Virus ellen

• Ellenőrizze, hogy számítógépét nem fertőzte-e meg az ASUS Update Malware

• Mi az a kiberbűnözés? Hogyan kezeljük?

• Rosszindulatú támadások: meghatározás, példák, védelem, biztonság

• Bundleware: Meghatározás, megelőzés, eltávolítási útmutató

• Mi az a FileRepMalware? El kell távolítani?

• A sikertelen keresési hiba javítása a Chrome Malware Scanner futtatásakor