Neizmantota ļaunprogramma var būt jauns termins lielākajai daļai, bet drošības nozare to ir zināms gadiem. Šogad šogad vairāk nekā 140 uzņēmumi visā pasaulē tika pakļauti šai Bezfilmētajām ļaunprogrammām, tostarp bankām, telekomunikācijām un valsts iestādēm. Fails bez ļaunprogrammas, kā skaidroja nosaukums, ir ļaunprātīgas programmatūras veids, kas nepieskaras diska diskam vai neizmanto nevienu failu šajā procesā. Tas tiek ielādēts likumīgā procesa kontekstā. Tomēr daži drošības uzņēmumi apgalvo, ka neuzrādītais uzbrukums kompromitējošā uzņēmējā atstāj nelielu bināro ierīci, lai uzsāktu ļaunprogrammatūras uzbrukumu. Šādi uzbrukumi pēdējo gadu laikā ir ievērojami palielinājušies, un tie ir riskanti nekā tradicionālie ļaundabīgo programmu uzbrukumi.
Bezsaistes ļaunprogrammatūras uzbrukumi
Failless Malware uzbrukumi zināmi arī kā Bez ļaunprātīgas programmatūras uzbrukumiem. Viņi izmanto tipisku metožu kopumu, lai iekļūtu jūsu sistēmās, neizmantojot nevienu atklātošu ļaundabīgo programmu failu. Pēdējos gados uzbrucēji ir kļuvuši gudrāki un ir izstrādājuši daudz dažādus uzbrukuma uzsākšanas veidus.
Bezsaistes ļaunprogrammatūra inficē datorus, kas neatstāj vietējā cietajā diskā nekādus failus, nošķiežot tradicionālos drošības un kriminālistikas rīkus.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Failu ļaunprogramma atrodas Brīvpiekļuves atmiņa no jūsu datorsistēmas, un pretvīrusu programma nav tieši pārbaudījusi atmiņu - tāpēc drošākais veids, kā uzbrucēji iejaukties savā datorā un nozagt visus jūsu datus. Pat labākās antivīrusu programmas dažkārt pazūd malā, kas darbojas atmiņā.
Dažas no pēdējām Fileless Malware inficētām inficētām datoru sistēmām pasaulē ir - Kovter, USB zaglis, PowerSniff, Poweliks, PhaseBot, Duqu2 utt.
Kā Fileless Malware darbojas
Failu malware, kad tā nonāk Atmiņa var izmantot vietējos un sistēmas administratīvos Windows iebūvētos rīkus, piemēram, PowerShell, SC.exe, un netsh.exe lai palaistu ļaunprātīgu kodu un iegūtu admin piekļuvi jūsu sistēmai, lai veiktu komandas un nozagtu savus datus. Bezsaistes malware dažkārt var arī paslēpties Rootkits vai Kanceleja no Windows operētājsistēmas.
Pēc tam uzbrucēji izmanto Windows sīktēlu kešatmiņu, lai paslēptu ļaundabīgo programmu mehānismu. Tomēr ļaunprātīgai programmatūrai joprojām ir nepieciešams statisks binārs, lai ievadītu saimniekdatoru, un e-pasts ir visbiežāk lietotā vide, kas tiek lietota vienam un tam pašam. Kad lietotājs noklikšķina uz ļaunprātīgā pielikuma, tas Windows reģistrā raksta šifrētu kravnesības failu.
Neizmantota ļaunprogramma arī izmanto tādus rīkus kā Mimikatz un Metaspoilt ievadīt kodu datora atmiņā un izlasīt tajā saglabātos datus. Šie rīki palīdz uzbrucējiem ieiet dziļāk savā datorā un nozagt visus jūsu datus.
Uzvedības analītika un bezsaistes ļaundabīgās programmas
Tā kā lielākā daļa parasto antivīrusu programmu izmanto parakstus, lai identificētu ļaunprātīgas programmatūras failu, ir grūti noteikt nepiederošo ļaundabīgo programmu. Tādējādi drošības firmas izmanto uzvedības analīzi, lai noteiktu ļaunprogrammatūru. Šis jaunais drošības risinājums ir paredzēts, lai novērstu iepriekšējos lietotāju un datoru uzbrukumus un uzvedību. Tad tiek brīdināti visi brīdinājumi par neparastu uzvedību, kas norāda uz ļaunprātīgu saturu.
Ja bez galarezultāta risinājuma nevar atklāt bezjēdzīgas ļaundabīgās programmas, uzvedības analītika atklāj jebkādu anomālu uzvedību, piemēram, aizdomīgas pieteikšanās aktivitātes, neparastas darba stundas vai jebkura netipiska resursa izmantošanu. Šajā drošības risinājumā ietverti notikumu dati sesiju laikā, kad lietotāji izmanto jebkuru programmu, pārlūko vietni, spēlē spēles, mijiedarbojas ar sociālo tīklu utt.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Kā aizsargāt pret un atklāt Fileless Malware
Lai aizsargātu Windows datoru, ievērojiet šādus piesardzības pasākumus:
- Piesakies visiem jaunākajiem Windows atjauninājumiem - jo īpaši drošības operētājsistēmas drošības atjauninājumiem.
- Pārliecinieties, ka visas jūsu instalētās programmatūras ir ielīmētas un atjauninātas līdz to jaunākajām versijām
- Izmantojiet labu drošības produktu, kas var efektīvi skenēt datora atmiņu, kā arī bloķēt ļaunprātīgas tīmekļa lapas, kuras var tikt mitinātas lietošanai. Tam vajadzētu piedāvāt uzvedības uzraudzību, atmiņas skenēšanu un sāknēšanas sektora aizsardzību.
- Pirms e-pasta pielikumu lejupielādes uzmanieties. Tas ir, lai izvairītos no lietotās kravas ielādes.
- Izmantojiet spēcīgu ugunsmūri, kas ļauj efektīvi kontrolēt tīkla trafiku.
Ja jums ir nepieciešams lasīt vairāk par šo tēmu, dodieties uz Microsoft un iepazīstieties ar šo McAfee brošūru.
