Fülemtelen rosszindulatú támadások, védelem és észlelés

Fileless Malware lehet egy új kifejezés a legtöbb számára, de a biztonsági ipar már évek óta ismeri. Az idei év elején több mint 140 vállalat világszerte fellépett ezzel a Füzetlen Malware programmal - beleértve a bankokat, a távközlést és a kormányzati szervezeteket. A fúvókás rosszindulatú programok, amint azt a név megmagyarázza, egyfajta rosszindulatú program, amely nem használ fájlokat a folyamatban. Egyes biztonsági cégek azonban azt állítják, hogy a fájl nélküli támadás egy kis bináris számot hagy a kompromisszumos fogadóban, hogy elindítsa a rosszindulatú támadást. Az ilyen támadások az utóbbi években jelentősen emelkedtek, és a kockázatok nagyobbak, mint a hagyományos malware támadások.

Fájl nélküli rosszindulatú támadások

Füzetlen rosszindulatú támadások Nem-malware támadások . Egy tipikus technikát alkalmaznak, hogy bejussanak a rendszerbe anélkül, hogy észlelhető rosszindulatú fájlokat használnának. Az elmúlt néhány évben a támadók okosabbak voltak, és számos különböző módszert fejlesztettek ki a támadás elindítására.

A fúvott rosszindulatú programok megfertőzik a számítógépeket, amelyek nem hagynak semmiféle fájlt a helyi merevlemezen, elkerülve a hagyományos biztonsági és törvényszéki eszközöket.

A támadás egyedülálló eleme egy kifinomult rosszindulatú szoftver használata, amely kizárólag egy megrongálódott gép memóriájában maradt, és nem hagyott nyomot a gép fájlrendszerén. A rágcsálók nélküli rosszindulatú programok lehetővé teszik a támadók számára, hogy elkerüljék az észlelést a legtöbb végpontos biztonsági megoldásból, amelyek statikus fájlelemzésen alapulnak (Anti-Viruses). A Fileless rosszindulatú szoftverek legfrissebb fejlesztései azt mutatják, hogy a fejlesztők a hálózati műveletek elrejtéséig eltolódtak, hogy elkerüljék az észlelést az áldozat infrastruktúráján belüli oldalirányú mozgások végrehajtása során. "

A fájl nélküli malware a Véletlen hozzáférésű memóriában a számítógépes rendszert, és nincs víruskereső program közvetlenül ellenőrzi a memóriát - ezért a legbiztonságosabb mód a támadók számára a számítógépbe való behatoláshoz és az összes adata ellopásához. A legfrissebb víruskereső programok néha hiányoznak a rosszindulatú programokban, amelyek a memóriában futnak.

Az elmúlt években a fertőzött számítógépes rendszerek világszerte elterjedt Fájdalommentes Malware fertőzései - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 stb. A

Memória

beágyazott rosszindulatú kártevők telepíthetik a natív és rendszergazdai Windows beépített eszközöket, mint a PowerShell , SC.exe és netsh.exe futtatni a rosszindulatú kódot, és megkapni az adminisztrátori hozzáférést a rendszerhez, hogy végrehajtsa a parancsokat és ellopja az adatait. A fúvott rosszindulatú programok valamikor a Rootkits vagy a Registry operációs rendszer elrejtésére is vonatkoznak. A támadók a Windows Thumbnail gyorsítótárában elrejtik a rosszindulatú programot. Azonban a rosszindulatú programoknak még mindig statikus binárisra van szüksége ahhoz, hogy bejussanak a gazda számítógépbe, és az e-mail a legáltalánosabb használt eszköz. Amikor a felhasználó rákattint a rosszindulatú mellékletre, egy titkosított hasznos fájl fájlt ír a Windows rendszerleíró adatbázisba.

Fürtlen Malware is ismert, hogy olyan eszközöket használ, mint a

Mimikatz és Metaspoilt kódot a számítógép memóriájába, és olvassa el az ott tárolt adatokat. Ezek az eszközök segítenek a támadóknak mélyebben behatolni a számítógépébe, és ellopni minden adatot. Viselkedés analitika és Fájl nélküli rosszindulatú programok

Mivel a rendszeres víruskereső programok többsége aláírást használ a rosszindulatú fájlok azonosítására, a fájl nélküli rosszindulatú programokat nehéz észlelni. Így a biztonsági cégek viselkedési analitikát használnak a rosszindulatú programok észlelésére. Ez az új biztonsági megoldás célja a felhasználók és a számítógépek korábbi támadásainak és viselkedésének kezelése. A rosszindulatú tartalomra utaló rendellenes viselkedés akkor értesül a riasztásokról.

Ha a végpontoldali megoldás nem érzékeli a fájl nélküli rosszindulatú programokat, a viselkedési analitika észlel bármilyen rendellenes viselkedést, például gyanús bejelentkezési tevékenységet, szokatlan munkaidőt vagy bármilyen atipikus erőforrás használatát. Ez a biztonsági megoldás rögzíti az eseményadatokat az olyan munkamenetek során, ahol a felhasználók bármilyen alkalmazást használnak, böngésznek egy webhelyen, játszanak, kölcsönhatnak a közösségi médián stb.

A rágcsálók nélküli rosszindulatú programok csak okosabbak és gyakoribbak lesznek. A rendszeres aláírás-alapú technikák és eszközök sokkal nehezebben fogják felfedezni ezt a bonyolult, lopakodó típusú rosszindulatú programot, a Microsoft szerint.

Hogyan védekezhet a Fájl nélküli Malware

ellen? Kövesse az alapvető óvintézkedéseket a Windows számítógép biztonságossá tételéhez:

Alkalmazza az összes legújabb Windows frissítést - különösen az operációs rendszer biztonsági frissítéseit.

• Győződjön meg róla, hogy az összes telepített szoftver frissítve és frissítve van a legújabb verzióihoz
• Olyan jó biztonsági terméket használjon, a számítógépek memóriáját és blokkolja a rosszindulatú weboldalakat, amelyek a kizsákmányolást szolgálják.
• Vigyázz, mielőtt letöltené az e-mail mellékleteket.
• Erős tűzfal használata, amely hatékonyan szabályozza a hálózati forgalmat.
• Ha többet szeretne olvasni a témáról, menjen át a Microsoftba, és nézze meg ezt a fehérkönyvet a McAfee is.