Fájl nélküli rosszindulatú támadások, védelem és észlelés
A fájl nélküli rosszindulatú program(Fileless Malware) a legtöbb számára új kifejezés lehet, de a biztonsági ipar már évek óta ismeri. Tavaly világszerte több mint 140 vállalatot sújtott ez a fájl nélküli kártevő –(Fileless Malware –) köztük bankok, távközlési és kormányzati szervezetek. A fájl nélküli rosszindulatú program(Fileless Malware) , ahogy a neve is mutatja, egy olyan rosszindulatú program, amely nem érinti meg a lemezt, és nem használ fájlokat a folyamat során. Egy legitim folyamat keretében töltődik be. Egyes biztonsági cégek azonban azt állítják, hogy a fájl nélküli támadás egy kis binárist hagy a kompromittáló gazdagépben, amely elindítja a rosszindulatú programtámadást. Az ilyen támadások számottevő növekedést mutattak az elmúlt néhány évben, és kockázatosabbak, mint a hagyományos rosszindulatú támadások.
Fájl nélküli rosszindulatú támadások
Fájl nélküli rosszindulatú(Fileless Malware) támadások, más néven nem malware támadások(Non-Malware attacks) . Tipikus technikák segítségével jutnak be a rendszerbe anélkül, hogy észlelhető rosszindulatú programokat használnának. Az elmúlt néhány évben a támadók okosabbak lettek, és számos különféle módszert fejlesztettek ki a támadás indítására.
A fájl nélküli(Fileless) rosszindulatú programok megfertőzik a számítógépeket, nem hagynak maguk után fájlt a helyi merevlemezen, kikerülve a hagyományos biztonsági és kriminalisztikai eszközöket.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
A fájl nélküli kártevő a számítógépes rendszer Random Access Memory -jában található, és egyetlen vírusirtó sem ellenőrzi közvetlenül a memóriát – így ez a legbiztonságosabb mód a támadók számára, hogy behatoljanak a számítógépbe, és ellopják az összes adatot. (Random Access Memory)Még a legjobb vírusirtó programok is néha hiányoznak a memóriában futó kártevőkről.
A legutóbbi Fileless Malware fertőzések közül néhány, amely világszerte megfertőzte a számítógépes rendszereket: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 stb.
Hogyan működik a Fileless Malware
A fájl nélküli rosszindulatú program, amikor a memóriába(Memory) kerül , telepítheti a natív és rendszeradminisztrációs Windows beépített eszközeit, például a PowerShell , SC.exe és netsh.exe fájlokat(netsh.exe) a rosszindulatú kód futtatásához és a rendszergazdai hozzáférés biztosításához a rendszerhez. kiadja a parancsokat, és ellopja az adatait. A fájl nélküli rosszindulatú programok néha a (Fileless Malware)rootkitekben(Rootkits)(Rootkits) vagy a Windows operációs rendszer Registry -jében is elrejtőzhetnek .
A támadók a Windows miniatűr(Windows Thumbnail) gyorsítótárát használják a rosszindulatú program mechanizmusának elrejtésére. A rosszindulatú programnak azonban továbbra is szüksége van egy statikus binárisra, hogy belépjen a gazdaszámítógépbe, és az e-mail a leggyakrabban használt adathordozó. Amikor a felhasználó rákattint a rosszindulatú mellékletre, az egy titkosított hasznos fájlt ír a Windows rendszerleíró adatbázisába(Windows Registry) .
Ismeretes, hogy a Fileless Malware(Fileless Malware) olyan eszközöket is használ, mint a Mimikatz és a Metaspoilt , hogy beillessze a kódot a számítógép memóriájába, és beolvassa az ott tárolt adatokat. Ezek az eszközök segítenek a támadóknak mélyebben behatolni a számítógépbe, és ellopni az összes adatot.
Viselkedéselemzés és fájl nélküli(Fileless) rosszindulatú programok
Mivel a legtöbb hagyományos víruskereső program aláírásokat használ a rosszindulatú programok azonosítására, a fájl nélküli rosszindulatú programokat nehéz felismerni. Így a biztonsági cégek viselkedéselemzést használnak a rosszindulatú programok észlelésére. Ezt az új biztonsági megoldást a felhasználók és számítógépek korábbi támadásainak és viselkedésének leküzdésére tervezték. Minden olyan rendellenes viselkedésről, amely rosszindulatú tartalomra utal, figyelmeztetést kap.
Ha egyetlen végponti megoldás sem képes észlelni a fájl nélküli kártevőt, a viselkedéselemzés minden rendellenes viselkedést észlel, például gyanús bejelentkezési tevékenységet, szokatlan munkaidőt vagy bármilyen atipikus erőforrás használatát. Ez a biztonsági megoldás rögzíti az eseményadatokat a munkamenetek során, amikor a felhasználók bármilyen alkalmazást használnak, weboldalakat böngésznek, játszanak, interakcióba lépnek a közösségi médiában stb.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Hogyan lehet védekezni a fájl nélküli rosszindulatú programok ellen és észlelni azokat(Fileless Malware)
Kövesse az alapvető óvintézkedéseket Windows számítógépe biztonsága érdekében(precautions to secure your Windows computer) :
- Alkalmazza(Apply) az összes legújabb Windows-frissítést –(Windows Updates –) különösen az operációs rendszer biztonsági frissítéseit.
- Győződjön(Make) meg arról, hogy az összes telepített szoftver javítva van, és frissítve van a legújabb verzióra
- Használjon jó biztonsági terméket, amely hatékonyan képes átvizsgálni számítógépe memóriáját, és blokkolja azokat a rosszindulatú weboldalakat, amelyek exploitokat(Exploits) tartalmazhatnak . Viselkedésfigyelést(Behavior) , memóriaellenőrzést(Memory) és rendszerindítási szektor(Boot Sector) védelmet kell kínálnia .
- Legyen óvatos az e- mail mellékletek letöltése(downloading any email attachments) előtt . Ezzel elkerülhető a hasznos teher letöltése.
- Használjon erős tűzfalat , amely lehetővé teszi a (Firewall)hálózati(Network) forgalom hatékony szabályozását .
Olvassa el a következőt(Read next) : Mik azok a Living Off The Land támadások(Living Off The Land attacks) ?
Related posts
DLL-eltérítési sebezhetőségi támadások, megelőzés és észlelés
Hogyan kerülhetjük el az adathalász csalásokat és támadásokat?
Mi az a Remote Access Trojan? Megelőzés, észlelés és eltávolítás
Kibertámadások – meghatározás, típusok, megelőzés
A Crystal Security egy ingyenes, felhő alapú kártevő-észlelő eszköz PC-hez
Hogyan lehet ellenőrizni a rendszerleíró adatbázisban rosszindulatú programokat a Windows 11/10 rendszerben
Hogyan távolítsuk el a vírusriasztást a Microsoftból Windows PC-n
A Malwarebytes Anti-Malware használata rosszindulatú programok eltávolítására
A Chromium Virus eltávolítása a Windows 11/10 rendszerből
potenciálisan nemkívánatos programok vagy alkalmazások; Kerülje a PUP/PUA telepítését
Mi az a Rootkit? Hogyan működnek a rootkitek? Rootkits elmagyarázta.
A Chrome böngésző beépített Malware Scanner & Cleanup Tooljának használata
A megadott modul nem található hiba a Windows 11/10 rendszeren
A legjobb vírus- és rosszindulatú programkeresők GARANTÁLTAN A Nuke Any Virus ellen
Ellenőrizze, hogy számítógépét nem fertőzte-e meg az ASUS Update Malware
Mi az a kiberbűnözés? Hogyan kezeljük?
Rosszindulatú támadások: meghatározás, példák, védelem, biztonság
Bundleware: Meghatározás, megelőzés, eltávolítási útmutató
Mi az a FileRepMalware? El kell távolítani?
A sikertelen keresési hiba javítása a Chrome Malware Scanner futtatásakor