Бесфайловые вредоносные атаки, защита и обнаружение

Бесфайловое вредоносное ПО(Fileless Malware) может быть новым термином для большинства, но индустрия безопасности знает его уже много лет. В прошлом году это бесфайловое вредоносное ПО поразило (Fileless Malware –)более 140 предприятий по всему миру, включая банки, телекоммуникационные и правительственные организации. Бесфайловое вредоносное ПО(Fileless Malware) , как следует из названия, представляет собой разновидность вредоносного ПО, которое не касается диска и не использует в процессе какие-либо файлы. Он загружается в контексте законного процесса. Однако некоторые фирмы, занимающиеся безопасностью, утверждают, что бесфайловая атака оставляет небольшой двоичный файл на компрометирующем хосте, чтобы инициировать атаку вредоносного ПО. За последние несколько лет количество таких атак значительно возросло, и они более опасны, чем традиционные атаки вредоносных программ.

бесфайловое вредоносное ПО

Бесфайловые вредоносные атаки

Бесфайловые(Fileless Malware) атаки вредоносных программ, также известные как атаки без вредоносных программ(Non-Malware attacks) . Они используют типичный набор методов для проникновения в ваши системы без использования какого-либо обнаруживаемого вредоносного файла. За последние несколько лет злоумышленники стали умнее и разработали множество различных способов запуска атаки.

Бесфайловое(Fileless) вредоносное ПО заражает компьютеры, не оставляя файлов на локальном жестком диске, обходя традиционные инструменты безопасности и криминалистики.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Бесфайловое вредоносное ПО находится в оперативной памяти(Random Access Memory) вашей компьютерной системы, и ни одна антивирусная программа не проверяет память напрямую, поэтому для злоумышленников это самый безопасный способ проникнуть в ваш компьютер и украсть все ваши данные. Даже самые лучшие антивирусные программы иногда пропускают вредоносное ПО, работающее в памяти.

Некоторые из недавних бесфайловых вредоносных программ(Fileless Malware) , заразивших компьютерные системы по всему миру, — это Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 и т. д.

Как работает бесфайловое вредоносное ПО

Бесфайловое вредоносное ПО при попадании в память(Memory) может развернуть встроенные в Windows собственные и системные административные инструменты, такие как PowerShell , SC.exe и netsh.exe , для запуска вредоносного кода и получения административного доступа к вашей системе, чтобы нести из команд и украсть ваши данные. Бесфайловые вредоносные программы(Fileless Malware) иногда также могут скрываться в руткитах(Rootkits)(Rootkits) или реестре(Registry) операционной системы Windows.

Оказавшись внутри, злоумышленники используют кэш миниатюр Windows(Windows Thumbnail) , чтобы скрыть механизм вредоносного ПО. Тем не менее, вредоносному ПО по-прежнему требуется статический двоичный файл для проникновения на хост-компьютер, и электронная почта является наиболее распространенным средством, используемым для этого. Когда пользователь нажимает на вредоносное вложение, он записывает зашифрованный файл полезной нагрузки в реестр Windows(Windows Registry) .

Также известно, что бесфайловые вредоносные программы(Fileless Malware) используют такие инструменты, как Mimikatz и Metaspoilt , для внедрения кода в память вашего ПК и чтения хранящихся там данных. Эти инструменты помогают злоумышленникам проникнуть глубже в ваш компьютер и украсть все ваши данные.

Поведенческая аналитика и бесфайловые(Fileless) вредоносные программы

Поскольку большинство обычных антивирусных программ используют сигнатуры для идентификации файла вредоносного ПО, безфайловое вредоносное ПО трудно обнаружить. Таким образом, охранные фирмы используют поведенческую аналитику для обнаружения вредоносных программ. Это новое решение для обеспечения безопасности предназначено для борьбы с предыдущими атаками и поведением пользователей и компьютеров. Любое ненормальное поведение, указывающее на вредоносное содержимое, затем уведомляется с помощью предупреждений.

Когда никакое решение для конечных точек не может обнаружить бесфайловое вредоносное ПО, поведенческая аналитика обнаруживает любое аномальное поведение, такое как подозрительная активность при входе в систему, необычное рабочее время или использование любого нетипичного ресурса. Это решение для обеспечения безопасности собирает данные о событиях во время сеансов, когда пользователи используют любое приложение, просматривают веб-сайт, играют в игры, взаимодействуют в социальных сетях и т. д.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Как защититься от бесфайлового вредоносного ПО и обнаружить его(Fileless Malware)

Соблюдайте основные меры предосторожности, чтобы обезопасить свой компьютер с Windows(precautions to secure your Windows computer) :

  • Примените(Apply) все последние обновления Windows(Windows Updates –) , особенно обновления безопасности для вашей операционной системы.
  • Убедитесь(Make) , что все установленное программное обеспечение исправлено и обновлено до последних версий.
  • Используйте хороший продукт для обеспечения безопасности, который может эффективно сканировать память вашего компьютера, а также блокировать вредоносные веб-страницы, на которых могут размещаться эксплойты(Exploits) . Он должен предлагать мониторинг поведения(Behavior) , сканирование памяти(Memory) и защиту загрузочного сектора .(Boot Sector)
  • Будьте осторожны перед загрузкой каких-либо вложений электронной почты(downloading any email attachments) . Это делается для того, чтобы избежать загрузки полезной нагрузки.
  • Используйте надежный брандмауэр(Firewall) , который позволит вам эффективно контролировать сетевой(Network) трафик.

Читать дальше(Read next) : Что такое атаки Living Off The Land(Living Off The Land attacks) ?



About the author

Я инженер-программист с более чем 10-летним опытом работы в индустрии Xbox. Я специализируюсь на разработке игр и тестировании безопасности. Я также являюсь опытным обозревателем и работал над проектами для некоторых из самых известных игровых компаний, включая Ubisoft, Microsoft и Sony. В свободное время я люблю играть в видеоигры и смотреть сериалы.



Related posts