Filenameettiset haittaohjelmat, suojaukset ja havaitseminen

Fileless Malware voi olla uusi termi useimmille, mutta turvallisuusteollisuus on tuntenut sen jo vuosia. Aiemmin tänä vuonna yli 140 yritystä joutui kärsimään tämän Fileless Malware -ohjelmiston - pankkien, televiestinnän ja julkisten organisaatioiden kanssa. Fileless Malware, kuten nimi kertoo, on eräänlainen haittaohjelma, joka ei käytä tiedostoja prosessissa. Jotkut tietoturva-alan yritykset väittävät kuitenkin, että fileless-hyökkäys jättää pienen binäärin kompromissiryhmälle käynnistämään haittaohjelmien hyökkäyksen.

Fileless Malware attacks

Fileless Malware attacks tunnetaan myös nimellä Non-Malware attacks . He käyttävät tyypillisiä tekniikoita päästäkseen järjestelmään käyttämättä havaittavia haittaohjelmatiedostoja. Viime päivinä hyökkääjät ovat muuttuneet älykkäämmiksi ja kehittäneet monia erilaisia ​​tapoja käynnistää hyökkäys.

Fileless-haittaohjelmat tarttuvat tietokoneisiin jättäen jälkeensä mitään tiedostoa paikalliselta kiintolevyltä, sivuuttamalla perinteiset tietoturva- ja rikostekniset työkalut.

Mikä on ainutlaatuinen tästä hyökkäyksestä, on paljon hienostuneiden haittaohjelmien käyttö, joka onnistui pysymään puhtaasti vaarassa olevan koneen muistissa jättämättä jälkiä koneen tiedostojärjestelmään. Fileless-haittaohjelmien avulla hyökkääjät voivat välttää havaitsemisen useimmilta loppukohtaisista tietoturvaratkaisuista, jotka perustuvat staattisten tiedostojen analyysiin (Anti-Viruses). Filippiinien haittaohjelmien viimeisin kehitys osoittaa, että kehittäjien keskittyminen siirtyi verkko-operaatioiden peittämisestä, jotta vältettäisiin havaitseminen sivuttamisen aikana uhrin infra- struktuurin sisällä, Microsoft sanoo.

Filenameettinen haittaohjelma on Random Access Memory , eikä mikään virustentorjuntaohjelma tarkasta muistia suoraan - joten se on turvallisin tapa, että hyökkääjät voivat tunkeutua tietokoneeseesi ja varastaa kaiken tietosi.

Jotkut viimeaikaisista Fileless Malware -infektioista, jotka ovat tartunnan saaneet tietokonejärjestelmät kaikkialla maailmassa ovat: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 jne.

Kuinka Fileless-haittaohjelmat toimivat

Tiedostohautomainen haittaohjelma, kun se laskeutuu Muisti voi ottaa käyttöön omat ja järjestelmänvalvojat Windowsin sisäänrakennetut työkalut, kuten PowerShell , SC.exe ja netsh.exe ajaaksesi haitallisen koodin ja antamalla järjestelmänvalvojan käyttöoikeuden järjestelmään, jotta voit suorittaa komennot ja varastaa tietosi. Fileless Malware voi joskus myös piilottaa Rootkits tai Registry Windows-käyttöjärjestelmässä.

Hyökkääjät käyttävät Windows Thumbnail-välimuistin piilottaakseen haittaohjelmamekanismin. Haittaohjelmat tarvitsevat kuitenkin staattisen binäärin syöttääkseen isäntätietokoneen ja sähköposti on yleisimmin käytettävä väline. Kun käyttäjä napsauttaa haitallista liitetiedostoa, se kirjoittaa salakirjoitetun hyötykuormatiedoston Windowsin rekisteriin.

Tiedostohakemattomien haittaohjelmien tiedetään myös käyttävän työkaluja, kuten Mimikatz ja Metaspoilt koodi tietokoneen muistiin ja lue siellä tallennetut tiedot. Nämä työkalut auttavat hyökkääjiä tunkeutumaan syvemmälle tietokoneeseen ja varastamaan kaikki tietosi.

Käyttäytymistietotiedostot ja Fileless-haittaohjelmat

Koska useimmat säännölliset virustentorjuntaohjelmat käyttävät allekirjoituksia haittaohjelmatiedoston tunnistamiseksi, tiedostojen haittaohjelmia on vaikea havaita. Turvallisuusyritykset käyttävät siten käyttäytymistarkastuksia havaitsemaan haittaohjelmat. Tämä uusi tietoturvaratkaisu on suunniteltu käsittelemään käyttäjien ja tietokoneiden aiempia hyökkäyksiä ja käyttäytymistä. Kaikki epänormaalit käyttäytyminen, joka viittaa haitalliseen sisältöön, ilmoitetaan sitten hälytyksillä.

Kun mikään endpoint-ratkaisu ei tunnista fileless-haittaohjelmia, käyttäytymistarkastelu havaitsee epätavallisen käyttäytymisen, kuten epäilyttävän kirjautumistoiminnan, epätavallisen työajan tai jonkin epätyypillisen resurssin käytön. Tämä tietoturvaratkaisu tallentaa tapahtumatiedot istuntojen aikana, joissa käyttäjät käyttävät mitä tahansa sovellusta, selailevat verkkosivustoa, pelaavat pelejä, vuorovaikutusta sosiaalisessa mediassa jne.

Fileless-haittaohjelmat tulevat vain älykkäämmiksi ja yleisemmiksi.

Suojaa ja havaita Fileless Malware

Seuraa perusvarotoimenpiteitä, joilla voit suojata Windows-tietokoneesi:

• Järjestelmälliset allekirjoituspohjaiset tekniikat ja työkalut vaikeuttavat tämän monimutkaisen,
• Käytä kaikkia viimeisimpiä Windows-päivityksiä - erityisesti käyttöjärjestelmäsi tietoturvapäivityksiä.
• Varmista, että kaikki asennetut ohjelmasi on päivitetty ja päivitetty uusimpaan versioonsa
• Käytä hyvä tietoturvatuote, joka pystyy tehokkaasti skannaamaan
• Ole varovainen ennen kuin lataat sähköpostin liitetiedostoja.

Käytä vahvaa palomuuria, jonka avulla voit tehokkaasti hallita verkkoliikennettä.