Fileless Malware voi olla uusi termi useimmille, mutta turvallisuusteollisuus on tuntenut sen jo vuosia. Aiemmin tänä vuonna yli 140 yritystä joutui kärsimään tämän Fileless Malware -ohjelmiston - pankkien, televiestinnän ja julkisten organisaatioiden kanssa. Fileless Malware, kuten nimi kertoo, on eräänlainen haittaohjelma, joka ei kosketa levyä tai käytä tiedostoja prosessissa. Se on ladattu laillisen prosessin yhteydessä. Jotkut tietoturva-alan yritykset väittävät kuitenkin, että fileless-hyökkäys jättää pienen binäärin kompromissiryhmälle käynnistämään haittaohjelmien hyökkäyksen. Tällaiset hyökkäykset ovat nähty viime vuosina huomattavasti, ja ne ovat riskialttiimpia kuin perinteiset haittaohjelmat.
Fileless-haittaohjelmien hyökkäykset
Fileless Malware-iskuja tunnetaan myös nimellä Ei-haittaohjelmien hyökkäykset. He käyttävät tyypillisiä tekniikoita päästäkseen järjestelmään käyttämättä havaittavia haittaohjelmatiedostoja. Viime vuosina hyökkääjät ovat tulleet älykkäämpiä ja kehittäneet monia erilaisia tapoja käynnistää hyökkäys.
Fileless-haittaohjelma tarttuu tietokoneisiin jättäen mitään tiedostoa paikalliselta kiintolevyltä, sivuuttamalla perinteiset tietoturva- ja rikostekniset työkalut.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Fileless haittaohjelma sijaitsee RAM-muisti eikä mikään virustentorjuntaohjelma tarkasta muistia suoraan - joten se on turvallisin tapa hyökkääjien tunkeutua tietokoneeseesi ja varastaa kaikki tietosi. Jopa parhaat virustentorjuntaohjelmat kadottavat joskus haavoittuvuuksia, jotka toimivat muistissa.
Jotkut viimeaikaisista Fileless Malware -infektioista, jotka ovat saastuttaneet tietokonejärjestelmiä maailmanlaajuisesti ovat - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 jne.
Miten Fileless Malware toimii
Fileless haittaohjelma, kun se laskeutuu Muisti voi asentaa älykkäitä ja järjestelmän hallinnollisia Windowsin sisäänrakennettuja työkaluja PowerShell, Sc.exe, ja netsh.exe haitallisen koodin suorittaminen ja järjestelmänvalvojan käyttöoikeus järjestelmän suorittamiseen, jotta komennot voidaan suorittaa ja varastaa tietosi. Fileless Malware saattaa joskus piiloutua rootkitit tai kirjaamo Windows-käyttöjärjestelmästä.
Kun hyökkääjät käyttävät Windows Thumbnail-välimuistia piilottaakseen haittaohjelmamekanismin. Haittaohjelmat tarvitsevat kuitenkin staattisen binäärin päästäkseen isäntätietokoneeseen, ja sähköposti on tavallisimmin käytettävä väline. Kun käyttäjä napsauttaa haitallista liitetiedostoa, se kirjoittaa salakirjoitetun hyötykuormatiedoston Windowsin rekisteriin.
Fileless Malware tunnetaan myös käyttämään työkaluja kuten Mimikatz ja Metaspoilt pistää koodi tietokoneen muistiin ja lue siellä tallennetut tiedot. Nämä työkalut auttavat hyökkääjiä syventämään tietokoneeseen ja varastamaan kaikki tietosi.
Käyttäytymistietotiedosto ja Fileless-haittaohjelmat
Koska useimmat säännölliset virustentorjuntaohjelmat käyttävät allekirjoituksia haittaohjelmatiedoston tunnistamiseksi, paljastetusta haittaohjelmasta on vaikea havaita. Turvallisuusyritykset käyttävät siten käyttäytymistarkastuksia havaitsemaan haittaohjelmat. Tämä uusi tietoturvaratkaisu on suunniteltu käsittelemään käyttäjien ja tietokoneiden aiempia hyökkäyksiä ja käyttäytymistä. Kaikki epänormaalit käyttäytyminen, joka viittaa haitalliseen sisältöön, ilmoitetaan sitten hälytyksillä.
Kun mikään loppupistelatkaisu ei tunnista tuettuja haittaohjelmia, käyttäytymisen analyysit havaitsevat epätavallisen käyttäytymisen, kuten epäilyttävän kirjautumistoiminnan, epätavallisen työajan tai minkä tahansa epätyypillisen resurssin käytön. Tämä tietoturvaratkaisu tallentaa tapahtumatiedot istuntojen aikana, joissa käyttäjät käyttävät mitä tahansa sovellusta, selaa verkkosivustoa, pelata pelejä, vuorovaikutteisia sosiaalisen median kanssa jne.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Kuinka suojata ja havaita Fileless-haittaohjelmat
Seuraa perusvarotoimenpiteitä, joilla voit suojata Windows-tietokoneesi:
- Käytä kaikkia uusimpia Windows-päivityksiä - erityisesti käyttöjärjestelmän tietoturvapäivityksiä.
- Varmista, että kaikki asennettu ohjelmisto on päivitetty ja päivitetty uusimpaan versioon
- Käytä hyvä tietoturvatuote, joka pystyy tehokkaasti skannaamaan tietokoneesi muistin ja estävät myös vahingolliset verkkosivut, jotka saattavat palvella Exploits-palvelua. Sen pitäisi tarjota käyttäytymisen valvonta, muistin skannaus ja käynnistyssektorin suojaus.
- Ole varovainen ennen sähköpostin liitteiden lataamista. Näin vältetään hyötykuorman lataaminen.
- Käytä vahvaa palomuuria, jonka avulla voit tehokkaasti hallita verkkoliikennettä.
Jos haluat lukea lisää tästä aiheesta, siirry Microsoftille ja tutustu tämä McAfee -tietokantaan.
