Бесфайловые вредоносные атаки, защита и обнаружение
Бесфайловое вредоносное ПО(Fileless Malware) может быть новым термином для большинства, но индустрия безопасности знает его уже много лет. В прошлом году это бесфайловое вредоносное ПО поразило (Fileless Malware –)более 140 предприятий по всему миру, включая банки, телекоммуникационные и правительственные организации. Бесфайловое вредоносное ПО(Fileless Malware) , как следует из названия, представляет собой разновидность вредоносного ПО, которое не касается диска и не использует в процессе какие-либо файлы. Он загружается в контексте законного процесса. Однако некоторые фирмы, занимающиеся безопасностью, утверждают, что бесфайловая атака оставляет небольшой двоичный файл на компрометирующем хосте, чтобы инициировать атаку вредоносного ПО. За последние несколько лет количество таких атак значительно возросло, и они более опасны, чем традиционные атаки вредоносных программ.
Бесфайловые вредоносные атаки
Бесфайловые(Fileless Malware) атаки вредоносных программ, также известные как атаки без вредоносных программ(Non-Malware attacks) . Они используют типичный набор методов для проникновения в ваши системы без использования какого-либо обнаруживаемого вредоносного файла. За последние несколько лет злоумышленники стали умнее и разработали множество различных способов запуска атаки.
Бесфайловое(Fileless) вредоносное ПО заражает компьютеры, не оставляя файлов на локальном жестком диске, обходя традиционные инструменты безопасности и криминалистики.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Бесфайловое вредоносное ПО находится в оперативной памяти(Random Access Memory) вашей компьютерной системы, и ни одна антивирусная программа не проверяет память напрямую, поэтому для злоумышленников это самый безопасный способ проникнуть в ваш компьютер и украсть все ваши данные. Даже самые лучшие антивирусные программы иногда пропускают вредоносное ПО, работающее в памяти.
Некоторые из недавних бесфайловых вредоносных программ(Fileless Malware) , заразивших компьютерные системы по всему миру, — это Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 и т. д.
Как работает бесфайловое вредоносное ПО
Бесфайловое вредоносное ПО при попадании в память(Memory) может развернуть встроенные в Windows собственные и системные административные инструменты, такие как PowerShell , SC.exe и netsh.exe , для запуска вредоносного кода и получения административного доступа к вашей системе, чтобы нести из команд и украсть ваши данные. Бесфайловые вредоносные программы(Fileless Malware) иногда также могут скрываться в руткитах(Rootkits)(Rootkits) или реестре(Registry) операционной системы Windows.
Оказавшись внутри, злоумышленники используют кэш миниатюр Windows(Windows Thumbnail) , чтобы скрыть механизм вредоносного ПО. Тем не менее, вредоносному ПО по-прежнему требуется статический двоичный файл для проникновения на хост-компьютер, и электронная почта является наиболее распространенным средством, используемым для этого. Когда пользователь нажимает на вредоносное вложение, он записывает зашифрованный файл полезной нагрузки в реестр Windows(Windows Registry) .
Также известно, что бесфайловые вредоносные программы(Fileless Malware) используют такие инструменты, как Mimikatz и Metaspoilt , для внедрения кода в память вашего ПК и чтения хранящихся там данных. Эти инструменты помогают злоумышленникам проникнуть глубже в ваш компьютер и украсть все ваши данные.
Поведенческая аналитика и бесфайловые(Fileless) вредоносные программы
Поскольку большинство обычных антивирусных программ используют сигнатуры для идентификации файла вредоносного ПО, безфайловое вредоносное ПО трудно обнаружить. Таким образом, охранные фирмы используют поведенческую аналитику для обнаружения вредоносных программ. Это новое решение для обеспечения безопасности предназначено для борьбы с предыдущими атаками и поведением пользователей и компьютеров. Любое ненормальное поведение, указывающее на вредоносное содержимое, затем уведомляется с помощью предупреждений.
Когда никакое решение для конечных точек не может обнаружить бесфайловое вредоносное ПО, поведенческая аналитика обнаруживает любое аномальное поведение, такое как подозрительная активность при входе в систему, необычное рабочее время или использование любого нетипичного ресурса. Это решение для обеспечения безопасности собирает данные о событиях во время сеансов, когда пользователи используют любое приложение, просматривают веб-сайт, играют в игры, взаимодействуют в социальных сетях и т. д.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Как защититься от бесфайлового вредоносного ПО и обнаружить его(Fileless Malware)
Соблюдайте основные меры предосторожности, чтобы обезопасить свой компьютер с Windows(precautions to secure your Windows computer) :
- Примените(Apply) все последние обновления Windows(Windows Updates –) , особенно обновления безопасности для вашей операционной системы.
- Убедитесь(Make) , что все установленное программное обеспечение исправлено и обновлено до последних версий.
- Используйте хороший продукт для обеспечения безопасности, который может эффективно сканировать память вашего компьютера, а также блокировать вредоносные веб-страницы, на которых могут размещаться эксплойты(Exploits) . Он должен предлагать мониторинг поведения(Behavior) , сканирование памяти(Memory) и защиту загрузочного сектора .(Boot Sector)
- Будьте осторожны перед загрузкой каких-либо вложений электронной почты(downloading any email attachments) . Это делается для того, чтобы избежать загрузки полезной нагрузки.
- Используйте надежный брандмауэр(Firewall) , который позволит вам эффективно контролировать сетевой(Network) трафик.
Читать дальше(Read next) : Что такое атаки Living Off The Land(Living Off The Land attacks) ?
Related posts
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Как избежать Phishing Scams and Attacks?
Что такое удаленный Access Trojan? Профилактика, Detection & Removal
Cyber Attacks - Определение, Types, профилактика
Crystal Security - бесплатный Cloud на основе Malware Detection Tool для ПК
Проверьте, был ли ваш компьютер заражен ASUS Update Malware
Отложить наложивание атак: Определение, примеры, защита, Безопасность
Как удалить вирус из Windows 10; Malware Removal Guide
Как проверить Registry для вредоносных программ в Windows 10
Как удалить Malware с вашего ПК в Windows 10
Как проверить, является ли файл злонамеренным или не на Windows 11/10
Как Microsoft идентифицирует нежелательные приложения Malware & Potentially
Советы по защите вашего компьютера против Thunderspy attack
Как использовать INBUILT Chrome browser Malware Scanner & Cleanup Tool
Rogue Security Software or Scareware: Как проверить, предотвратить, удалить?
Что живут от атак Land? Как оставаться в безопасности?
Что такое FileRepMalware? Должны ли вы удалить это?
Как удалить Virus Alert от Microsoft на Windows PC
Что такое Backdoor attack? Meaning, Examples, Definitions
Что такое Win32: BogEnt и как его удалить?