Be failų kenkėjiška programa gali būti naujas terminas daugeliui, bet saugumo sektorius jį žinojo daugelį metų. Anksčiau šiais metais daugiau nei 140 įmonių visame pasaulyje buvo nukentėję nuo šios "Fileless" kenkėjiškų programų, įskaitant bankus, telekomunikacijas ir vyriausybines organizacijas. Kaip aprašoma pavadinime, "neapdorota" kenkėjiška programa yra kenkėjiška programa, kuri neliečia disko ir nenaudoja jokių proceso failų. Tai gestas įkeltas teisėto proceso kontekste. Tačiau kai kurios saugumo įmonės teigia, kad beviltiškas išpuolis palieka mažą dvejetainį failą, kuris gali sukelti kenkėjišką programinę įrangą. Per pastaruosius kelerius metus tokie išpuoliai pastebimai išaugo ir yra pavojingesni už tradicines kenkėjiškų programų išpuolius.
Bezsaloninės kenkėjiškos atakos
Be filialų kenkėjiškų atakų taip pat žinomas kaip Ne kenkėjiškos atakos. Jie naudoja įprastą metodų rinkinį, norėdami patekti į jūsų sistemas nenaudodami jokios aptinkamos kenkėjiškos programos failo. Per pastaruosius keletą metų užpuolikai tapo protingesni ir sukūrė daugybę būdų pradėti ataką.
Nepavojingos kenkėjiškos programos užkrėčia kompiuterius, kurių vietiniame kietajame diske nėra jokių failų, nukreipdamas į tradicinius saugumo ir teismo ekspertizės įrankius.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Failų kenkėjiškoji programinė įranga yra Laisvosios kreipties atmintis jūsų kompiuterio sistema, o ne antivirusinė programa tiesiogiai tikrina atmintį - taigi tai yra saugiausias būdas, kuriuo atakujams įsibrauti į jūsų kompiuterį ir pavogti visus jūsų duomenis. Net geriausios antivirusinės programos kartais praleidžia kenkėjišką programą, kuri veikia atmintyje.
Kai kurios naujausios "Fileless" kenkėjiškos infekcijos, užkrėstos kompiuterių sistemomis visame pasaulyje, yra "Kovter", "Thief", "PowerSniff", "Poweliks", "PhaseBot", "Duqu2" ir kt.
Kaip veikia "Fileless" kenkėjiška programa
Failų kenkėjiška programa, kai ji išeina į Atmintis gali dislokuoti savo gimtąją ir sistemos administracinius "Windows" integruotus įrankius, pvz " PowerShell", SC.exe, ir netsh.exe paleisti kenkėjišką kodą ir gauti administratoriaus prieigą prie jūsų sistemos, kad galėtumėte atlikti komandas ir pavogti savo duomenis. Be to, kenkėjiškų programų be rūpesčių gali taip pat pasislėpti Rootkitai arba Registras "Windows" operacinės sistemos.
Kai įeina, užpuolikai naudoja "Windows" miniatiūrų talpyklą, kad paslėptų kenkėjiškų programų mechanizmą. Tačiau kenkėjiškajai programai dar reikia statinio dvejetainio prisijungti prie pagrindinio kompiuterio, o el. Paštas yra labiausiai paplitusi priemonė, naudojama to paties. Kai vartotojas spustelėja kenkėjišką priedą, jis užrašo užkoduotą naudingosios apkrovos failą Windows registro.
Be filialų kenkėjiška programinė įranga taip pat žinoma, kad naudoja tokius įrankius kaip Mimikatz ir Metaspoilt įterpti kodą į savo kompiuterio atmintį ir nuskaityti ten saugomus duomenis. Šios priemonės padeda užpuolikams įsibrauti į jūsų kompiuterį ir pavogti visus jūsų duomenis.
Elgsenos analizė ir "Fileless" kenkėjiška programinė įranga
Kadangi dauguma įprastų antivirusinių programų naudoja parašus, kad būtų galima nustatyti kenkėjiškų programų failą, sunku nustatyti piktybišką kenkėjišką programinę įrangą. Taigi, saugumo tarnybos naudoja elgsenos analitiką, norėdami nustatyti kenkėjišką programinę įrangą. Šis naujas saugumo sprendimas skirtas spręsti ankstesnius naudotojų ir kompiuterių išpuolius ir elgesį. Po bet kokio neįprasto elgesio, kuris nurodo kenkėjišką turinį, pranešama apie perspėjimus.
Kai beveik nieko nenusileidžiančios kenkėjiškos programinės įrangos nepavyksta nustatyti, elgesio analizė aptinka bet kokį neįprastą elgesį, pvz., Įtartiną prisijungimo veiklą, neįprastą darbo laiką ar bet kokio netipiško šaltinio naudojimą. Šiame saugos sprendime fiksuojami įvykių duomenys sesijų metu, kai naudotojai naudoja bet kurią programą, naršo svetainę, žaidžia žaidimus, sąveikauja su socialine medija ir tt
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Kaip apsisaugoti ir aptikti "Fileless" kenkėjiškų programų
Vadovaukitės pagrindinėmis atsargumo priemonėmis, kad apsaugotumėte "Windows" kompiuterį:
- Taikykite visus naujausius "Windows" naujinius - ypač jūsų operacinės sistemos saugumo naujinimus.
- Įsitikinkite, kad visa įdiegta programinė įranga yra pataisyta ir atnaujinta pagal naujausias versijas
- Naudokite gerą apsaugos produktą, kuris gali efektyviai nuskaityti kompiuterio atmintį ir blokuoti kenkėjiškus tinklalapius, kurie gali būti naudojami "Exploits". Tai turėtų pasiūlyti elgesio stebėseną, atminties nuskaitymą ir paleidimo sektoriaus apsaugą.
- Būkite atsargūs prieš atsisiųsdami bet kokius el. Pašto priedus. Tai yra išvengti perkrovimo naudingosios apkrovos.
- Naudokite stiprią užkardą, kuri leidžia efektyviai valdyti tinklo srautą.
Jei norite sužinoti daugiau apie šią temą, eikite į "Microsoft" ir peržiūrėkite šį "McAfee" dokumentą.
