Бесфайловое вредоносное ПО^{(Fileless Malware)} может быть новым термином для большинства, но индустрия безопасности знает его уже много лет. В прошлом году это бесфайловое вредоносное ПО поразило ^{(Fileless Malware –)}более 140 предприятий по всему миру, включая банки, телекоммуникационные и правительственные организации. Бесфайловое вредоносное ПО^{(Fileless Malware)} , как следует из названия, представляет собой разновидность вредоносного ПО, которое не касается диска и не использует в процессе какие-либо файлы. Он загружается в контексте законного процесса. Однако некоторые фирмы, занимающиеся безопасностью, утверждают, что бесфайловая атака оставляет небольшой двоичный файл на компрометирующем хосте, чтобы инициировать атаку вредоносного ПО. За последние несколько лет количество таких атак значительно возросло, и они более опасны, чем традиционные атаки вредоносных программ.

Бесфайловые вредоносные атаки

Бесфайловые^{(Fileless Malware)} атаки вредоносных программ, также известные как атаки без вредоносных программ^{(Non-Malware attacks)} . Они используют типичный набор методов для проникновения в ваши системы без использования какого-либо обнаруживаемого вредоносного файла. За последние несколько лет злоумышленники стали умнее и разработали множество различных способов запуска атаки.

Бесфайловое^(Fileless) вредоносное ПО заражает компьютеры, не оставляя файлов на локальном жестком диске, обходя традиционные инструменты безопасности и криминалистики.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Бесфайловое вредоносное ПО находится в оперативной памяти^{(Random Access Memory)} вашей компьютерной системы, и ни одна антивирусная программа не проверяет память напрямую, поэтому для злоумышленников это самый безопасный способ проникнуть в ваш компьютер и украсть все ваши данные. Даже самые лучшие антивирусные программы иногда пропускают вредоносное ПО, работающее в памяти.

Некоторые из недавних бесфайловых вредоносных программ^{(Fileless Malware)} , заразивших компьютерные системы по всему миру, — это Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 и т. д.

Как работает бесфайловое вредоносное ПО

Бесфайловое вредоносное ПО при попадании в память^(Memory) может развернуть встроенные в Windows собственные и системные административные инструменты, такие как PowerShell , SC.exe и netsh.exe , для запуска вредоносного кода и получения административного доступа к вашей системе, чтобы нести из команд и украсть ваши данные. Бесфайловые вредоносные программы^{(Fileless Malware)} иногда также могут скрываться в руткитах^{(Rootkits)(Rootkits)} или реестре^(Registry) операционной системы Windows.

Оказавшись внутри, злоумышленники используют кэш миниатюр Windows^{(Windows Thumbnail)} , чтобы скрыть механизм вредоносного ПО. Тем не менее, вредоносному ПО по-прежнему требуется статический двоичный файл для проникновения на хост-компьютер, и электронная почта является наиболее распространенным средством, используемым для этого. Когда пользователь нажимает на вредоносное вложение, он записывает зашифрованный файл полезной нагрузки в реестр Windows^{(Windows Registry)} .

Также известно, что бесфайловые вредоносные программы^{(Fileless Malware)} используют такие инструменты, как Mimikatz и Metaspoilt , для внедрения кода в память вашего ПК и чтения хранящихся там данных. Эти инструменты помогают злоумышленникам проникнуть глубже в ваш компьютер и украсть все ваши данные.

Поведенческая аналитика и бесфайловые^(Fileless) вредоносные программы

Поскольку большинство обычных антивирусных программ используют сигнатуры для идентификации файла вредоносного ПО, безфайловое вредоносное ПО трудно обнаружить. Таким образом, охранные фирмы используют поведенческую аналитику для обнаружения вредоносных программ. Это новое решение для обеспечения безопасности предназначено для борьбы с предыдущими атаками и поведением пользователей и компьютеров. Любое ненормальное поведение, указывающее на вредоносное содержимое, затем уведомляется с помощью предупреждений.

Когда никакое решение для конечных точек не может обнаружить бесфайловое вредоносное ПО, поведенческая аналитика обнаруживает любое аномальное поведение, такое как подозрительная активность при входе в систему, необычное рабочее время или использование любого нетипичного ресурса. Это решение для обеспечения безопасности собирает данные о событиях во время сеансов, когда пользователи используют любое приложение, просматривают веб-сайт, играют в игры, взаимодействуют в социальных сетях и т. д.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Как защититься от бесфайлового вредоносного ПО и обнаружить его^{(Fileless Malware)}

Соблюдайте основные меры предосторожности, чтобы обезопасить свой компьютер с Windows^{(precautions to secure your Windows computer)} :

• Примените^(Apply) все последние обновления Windows^{(Windows Updates –)} , особенно обновления безопасности для вашей операционной системы.
• Убедитесь^(Make) , что все установленное программное обеспечение исправлено и обновлено до последних версий.
• Используйте хороший продукт для обеспечения безопасности, который может эффективно сканировать память вашего компьютера, а также блокировать вредоносные веб-страницы, на которых могут размещаться эксплойты^(Exploits) . Он должен предлагать мониторинг поведения^(Behavior) , сканирование памяти^(Memory) и защиту загрузочного сектора .^{(Boot Sector)}
• Будьте осторожны перед загрузкой каких-либо вложений электронной почты^{(downloading any email attachments)} . Это делается для того, чтобы избежать загрузки полезной нагрузки.
• Используйте надежный брандмауэр^(Firewall) , который позволит вам эффективно контролировать сетевой^(Network) трафик.

Читать дальше^{(Read next)} : Что такое атаки Living Off The Land^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Как избежать Phishing Scams and Attacks?

• Что такое удаленный Access Trojan? Профилактика, Detection & Removal

• Cyber Attacks - Определение, Types, профилактика

• Crystal Security - бесплатный Cloud на основе Malware Detection Tool для ПК

• Проверьте, был ли ваш компьютер заражен ASUS Update Malware

• Отложить наложивание атак: Определение, примеры, защита, Безопасность

• Как удалить вирус из Windows 10; Malware Removal Guide

• Как проверить Registry для вредоносных программ в Windows 10

• Как удалить Malware с вашего ПК в Windows 10

• Как проверить, является ли файл злонамеренным или не на Windows 11/10

• Как Microsoft идентифицирует нежелательные приложения Malware & Potentially

• Советы по защите вашего компьютера против Thunderspy attack

• Как использовать INBUILT Chrome browser Malware Scanner & Cleanup Tool

• Rogue Security Software or Scareware: Как проверить, предотвратить, удалить?

• Что живут от атак Land? Как оставаться в безопасности?

• Что такое FileRepMalware? Должны ли вы удалить это?

• Как удалить Virus Alert от Microsoft на Windows PC

• Что такое Backdoor attack? Meaning, Examples, Definitions

• Что такое Win32: BogEnt и как его удалить?