Fileless Malware Attacks, Protection and Detection

Innholdsfortegnelse:

Fileless Malware Attacks, Protection and Detection
Fileless Malware Attacks, Protection and Detection
Anonim

Fileless Malware Kan være et nytt begrep for de fleste, men sikkerhetsindustrien har kjent det i mange år. Tidligere i år ble over 140 bedrifter over hele verden rammet av dette Fileless Malware - inkludert banker, telekom og statlige organisasjoner. Fileless Malware, som navnet forklarer, er en slags skadelig programvare som ikke berører disken eller bruker filer i prosessen. Den er lastet i sammenheng med en legitim prosess. Imidlertid hevder noen sikkerhetsfirmaer at det filløse angrepet forlater et lite binært i den kompromitterende verten for å starte malware-angrepet. Slike angrep har sett en betydelig økning de siste årene, og de er risikabeltere enn de tradisjonelle malwareangrepene.

Image
Image

Fileless Malware angrep

Fileless Malware angrep også kjent som Ikke-skadelige angrep. De bruker et typisk sett med teknikker for å komme inn i systemene dine uten å bruke noen påviselig malware-fil. I de siste årene har angriperne blitt smartere og har utviklet mange forskjellige måter å starte angrepet på.

Fileless malware infiserer datamaskinene som etterlater seg ingen fil på den lokale harddisken, og setter i gang de tradisjonelle sikkerhets- og rettsmedisinske verktøyene.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Fileless malware ligger i Tilfeldig tilgangshukommelse av datasystemet, og ingen antivirusprogram inspiserer hukommelsen direkte - så det er den sikreste modusen for at angriperne går inn i din PC og stjeler alle dataene dine. Selv de beste antivirusprogrammene savner kanskje malware som kjører i minnet.

Noen av de siste fileless malware infeksjonene som har infiserte datasystemer over hele verden er - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

Hvordan fungerer Fileless Malware

Den fileless malware når den lander inn i Hukommelse kan distribuere dine innfødte og systemadministrasive Windows-innebygde verktøy som Kraftskall, sc.exe, og Netsh.exe å kjøre den skadelige koden og få administrasjonen tilgang til systemet ditt, for å utføre kommandoene og stjele dataene dine. Fileless Malware en gang kan også skjule seg i rootkits eller Registry av Windows-operativsystemet.

En gang i bruker angriperne Windows Thumbnail-hurtigbufferen for å skjule malware-mekanismen. Imidlertid trenger malware fortsatt et statisk binært for å gå inn i verts-PCen, og e-post er det vanligste mediet som brukes til det samme. Når brukeren klikker på det ondsinnede vedlegget, skriver det en kryptert nyttelastfil i Windows-registret.

Fileless Malware er også kjent for å bruke verktøy som Mimikatz og Metaspoilt å injisere koden i PCens minne og lese dataene som er lagret der. Disse verktøyene hjelper angriperne å intrudere dypere inn i PCen din og stjele alle dataene dine.

Behavioral analytics og fileless malware

Siden de fleste av de vanlige antivirusprogrammene bruker signaturer til å identifisere en malware-fil, er fileless malware vanskelig å oppdage. Dermed bruker sikkerhetsfirmaene atferdsanalyser for å oppdage malware. Denne nye sikkerhetsløsningen er utformet for å takle tidligere angrep og oppførsel av brukere og datamaskiner. Eventuelle unormale oppføringer som peker på skadelig innhold, blir deretter varslet med varsler.

Når ingen endepunktsløsning kan oppdage fileless malware, oppdager atferdsanalyser noen uregelmessig oppførsel som mistenkelig påloggingsaktivitet, uvanlig arbeidstid eller bruk av noen atypisk ressurs. Denne sikkerhetsløsningen fanger hendelsesdataene under sesjonene der brukerne bruker et program, bla gjennom et nettsted, spill spill, samhandler på sosiale medier, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Hvordan beskytte mot og oppdage Fileless Malware

Følg de grunnleggende forholdsregler for å sikre Windows-datamaskinen:

  • Bruk alle de nyeste Windows-oppdateringene - spesielt sikkerhetsoppdateringene til operativsystemet.
  • Pass på at all installert programvare er oppdatert og oppdatert til de nyeste versjonene
  • Bruk et godt sikkerhetsprodukt som effektivt kan skanne datamaskinens minne og også blokkere ondsinnede nettsider som kan være hosting Utnyttelser. Det bør tilby oppførsel overvåking, minne skanning og oppstartssektor beskyttelse.
  • Vær forsiktig før du laster ned e-postvedlegg. Dette er for å unngå nedlasting av nyttelastet.
  • Bruk en sterk brannmur som lar deg effektivt kontrollere nettverkstrafikk.

Hvis du trenger å lese mer om dette emnet, går du over til Microsoft og sjekker ut denne vitboken av McAfee også.

Anbefalt: