Το Fileless Malware^{(Fileless Malware)} μπορεί να είναι ένας νέος όρος για τους περισσότερους, αλλά ο κλάδος της ασφάλειας το γνωρίζει εδώ και χρόνια. Πέρυσι, περισσότερες από 140 επιχειρήσεις παγκοσμίως χτυπήθηκαν με αυτό το κακόβουλο λογισμικό χωρίς αρχεία –^{(Fileless Malware –)} συμπεριλαμβανομένων τραπεζών, τηλεπικοινωνιών και κυβερνητικών οργανισμών. Το κακόβουλο λογισμικό χωρίς αρχεία^{(Fileless Malware)} , όπως εξηγεί το όνομα είναι ένα είδος κακόβουλου λογισμικού που δεν αγγίζει το δίσκο και δεν χρησιμοποιεί κανένα αρχείο στη διαδικασία. Φορτώνεται στο πλαίσιο μιας νόμιμης διαδικασίας. Ωστόσο, ορισμένες εταιρείες ασφαλείας ισχυρίζονται ότι η επίθεση χωρίς αρχεία αφήνει ένα μικρό δυαδικό αρχείο στον παραβιαστικό κεντρικό υπολογιστή για την έναρξη της επίθεσης κακόβουλου λογισμικού. Τέτοιες επιθέσεις έχουν σημειώσει σημαντική αύξηση τα τελευταία χρόνια και είναι πιο επικίνδυνες από τις παραδοσιακές επιθέσεις κακόβουλου λογισμικού.

Επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία

Επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία^{(Fileless Malware)} , γνωστές και ως επιθέσεις μη κακόβουλου λογισμικού^{(Non-Malware attacks)} . Χρησιμοποιούν ένα τυπικό σύνολο τεχνικών για να μπουν στα συστήματά σας χωρίς να χρησιμοποιούν οποιοδήποτε ανιχνεύσιμο αρχείο κακόβουλου λογισμικού. Τα τελευταία χρόνια, οι επιτιθέμενοι έχουν γίνει πιο έξυπνοι και έχουν αναπτύξει πολλούς διαφορετικούς τρόπους για να εξαπολύσουν την επίθεση.

Το^(Fileless) κακόβουλο λογισμικό χωρίς αρχεία μολύνει τους υπολογιστές χωρίς να αφήνει κανένα αρχείο στον τοπικό σκληρό δίσκο, παρακάμπτοντας τα παραδοσιακά εργαλεία ασφάλειας και εγκληματολογίας.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Το κακόβουλο λογισμικό χωρίς αρχεία βρίσκεται στη μνήμη τυχαίας πρόσβασης^{(Random Access Memory)} του συστήματος του υπολογιστή σας και κανένα πρόγραμμα προστασίας από ιούς δεν επιθεωρεί απευθείας τη μνήμη – επομένως είναι η ασφαλέστερη λειτουργία για τους εισβολείς να εισβάλλουν στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας. Ακόμη και τα καλύτερα προγράμματα προστασίας από ιούς μερικές φορές χάνουν το κακόβουλο λογισμικό που εκτελείται στη μνήμη.

Μερικές από τις πρόσφατες μολύνσεις από κακόβουλο λογισμικό χωρίς αρχείο^{(Fileless Malware)} που έχουν μολύνει συστήματα υπολογιστών παγκοσμίως είναι – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 , κ.λπ.

Πώς λειτουργεί το Fileless Malware

Το κακόβουλο λογισμικό χωρίς αρχεία όταν προσγειωθεί στη Μνήμη^(Memory) μπορεί να αναπτύξει τα εγγενή και διαχειριστικά εργαλεία των Windows , όπως το ^(Windows)PowerShell , το SC.exe και το netsh.exe^(netsh.exe) για να εκτελέσει τον κακόβουλο κώδικα και να αποκτήσει πρόσβαση διαχειριστή στο σύστημά σας, έτσι ώστε να μεταφέρει έξω τις εντολές και κλέψτε τα δεδομένα σας. Το κακόβουλο λογισμικό χωρίς αρχεία^{(Fileless Malware)} κάποια στιγμή μπορεί επίσης να κρύβεται στα Rootkits ή στο Μητρώο^(Registry) του λειτουργικού συστήματος Windows.

Μόλις εισέλθουν, οι εισβολείς χρησιμοποιούν την προσωρινή μνήμη μικρογραφιών των Windows^{(Windows Thumbnail)} για να κρύψουν τον μηχανισμό κακόβουλου λογισμικού. Ωστόσο, το κακόβουλο λογισμικό εξακολουθεί να χρειάζεται ένα στατικό δυαδικό αρχείο για να εισέλθει στον κεντρικό υπολογιστή και το email είναι το πιο κοινό μέσο που χρησιμοποιείται για το ίδιο. Όταν ο χρήστης κάνει κλικ στο κακόβουλο συνημμένο, γράφει ένα κρυπτογραφημένο αρχείο ωφέλιμου φορτίου στο μητρώο των Windows^{(Windows Registry)} .

Το Fileless Malware^{(Fileless Malware)} είναι επίσης γνωστό ότι χρησιμοποιεί εργαλεία όπως το Mimikatz^(Mimikatz) και το Metaspoilt^(Metaspoilt) για να εισάγει τον κώδικα στη μνήμη του υπολογιστή σας και να διαβάζει τα δεδομένα που είναι αποθηκευμένα εκεί. Αυτά τα εργαλεία βοηθούν τους εισβολείς να εισβάλουν βαθύτερα στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας.

Αναλύσεις συμπεριφοράς και κακόβουλο^(Fileless) λογισμικό χωρίς αρχεία

Δεδομένου ότι τα περισσότερα από τα κανονικά προγράμματα προστασίας από ιούς χρησιμοποιούν υπογραφές για την αναγνώριση ενός αρχείου κακόβουλου λογισμικού, το κακόβουλο λογισμικό χωρίς αρχεία είναι δύσκολο να εντοπιστεί. Έτσι, οι εταιρείες ασφαλείας χρησιμοποιούν αναλύσεις συμπεριφοράς για τον εντοπισμό κακόβουλου λογισμικού. Αυτή η νέα λύση ασφαλείας έχει σχεδιαστεί για να αντιμετωπίσει τις προηγούμενες επιθέσεις και τη συμπεριφορά των χρηστών και των υπολογιστών. Οποιαδήποτε μη φυσιολογική συμπεριφορά που οδηγεί σε κακόβουλο περιεχόμενο ειδοποιείται στη συνέχεια με ειδοποιήσεις.

Όταν καμία λύση τερματικού σημείου δεν μπορεί να ανιχνεύσει το κακόβουλο λογισμικό χωρίς αρχεία, η ανάλυση συμπεριφοράς εντοπίζει οποιαδήποτε ανώμαλη συμπεριφορά, όπως ύποπτη δραστηριότητα σύνδεσης, ασυνήθιστες ώρες εργασίας ή χρήση οποιουδήποτε άτυπου πόρου. Αυτή η λύση ασφαλείας καταγράφει τα δεδομένα συμβάντων κατά τη διάρκεια των περιόδων σύνδεσης όπου οι χρήστες χρησιμοποιούν οποιαδήποτε εφαρμογή, περιηγούνται σε έναν ιστότοπο, παίζουν παιχνίδια, αλληλεπιδρούν στα μέσα κοινωνικής δικτύωσης κ.λπ.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Πώς να προστατευτείτε από και να ανιχνεύσετε κακόβουλο λογισμικό χωρίς αρχεία^{(Fileless Malware)}

Ακολουθήστε τις βασικές προφυλάξεις για να ασφαλίσετε τον υπολογιστή σας με Windows^{(precautions to secure your Windows computer)} :

• Εφαρμόστε^(Apply) όλες τις πιο πρόσφατες ενημερώσεις των Windows –^{(Windows Updates –)} ειδικά τις ενημερώσεις ασφαλείας στο λειτουργικό σας σύστημα.
• Βεβαιωθείτε^(Make) ότι όλο το εγκατεστημένο λογισμικό είναι επιδιορθωμένο και ενημερωμένο στις πιο πρόσφατες εκδόσεις του
• Χρησιμοποιήστε ένα καλό προϊόν ασφαλείας που μπορεί να σαρώσει αποτελεσματικά τη μνήμη του υπολογιστή σας και επίσης να αποκλείσει κακόβουλες ιστοσελίδες που ενδέχεται να φιλοξενούν Exploits . Θα πρέπει να προσφέρει παρακολούθηση συμπεριφοράς^(Behavior) , σάρωση μνήμης και προστασία ^(Memory)τομέα εκκίνησης^{(Boot Sector)} .
• Να είστε προσεκτικοί πριν κάνετε λήψη τυχόν συνημμένων email^{(downloading any email attachments)} . Αυτό γίνεται για να αποφευχθεί η λήψη του ωφέλιμου φορτίου.
• Χρησιμοποιήστε ένα ισχυρό τείχος προστασίας^(Firewall) που σας επιτρέπει να ελέγχετε αποτελεσματικά την κυκλοφορία δικτύου^(Network) .

Διαβάστε παρακάτω^{(Read next)} : Τι είναι οι επιθέσεις Living Off The Land^{(Living Off The Land attacks)} ;

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL

• Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;

• Τι είναι το Remote Access Trojan; Πρόληψη, Ανίχνευση & Αφαίρεση

• Κυβερνοεπιθέσεις - Ορισμός, Τύποι, Πρόληψη

• Το Crystal Security είναι ένα δωρεάν εργαλείο ανίχνευσης κακόβουλου λογισμικού που βασίζεται στο Cloud για υπολογιστή

• Τι είναι ο ιός IDP.generic και πώς να τον αφαιρέσετε;

• Αποτρέψτε τις λήψεις Drive-by και τις σχετικές επιθέσεις κακόβουλου λογισμικού

• Επιθέσεις κακόβουλης διαφήμισης: Ορισμός, παραδείγματα, προστασία, ασφάλεια

• Πώς να χρησιμοποιήσετε το Malwarebytes Anti-Malware για να αφαιρέσετε κακόβουλο λογισμικό

• Rogue Security Software or Scareware: Πώς να ελέγξετε, να αποτρέψετε, να αφαιρέσετε;

• Τι είναι το έγκλημα στον κυβερνοχώρο; Πώς να το αντιμετωπίσετε;

• Τι είναι μια επίθεση με παρασκήνια; Σημασία, Παραδείγματα, Ορισμοί

• Πιθανώς ανεπιθύμητα προγράμματα ή εφαρμογές. Αποφύγετε την εγκατάσταση PUP/PUA

• Εργαλεία απομακρυσμένης διαχείρισης: Κίνδυνοι, Απειλές, Πρόληψη

• Τι είναι το Rootkit; Πώς λειτουργούν τα Rootkits; Τα Rootkit εξηγούνται.

• Τι είναι το Win32:BogEnt και πώς να το αφαιρέσετε;

• Διεργασία με το λογότυπο των Microsoft Windows στη Διαχείριση εργασιών. Είναι ιός;

• Πώς να ελέγξετε εάν ένα αρχείο είναι κακόβουλο ή όχι στα Windows 11/10

• Εισβολή προγράμματος περιήγησης και δωρεάν εργαλεία αφαίρεσης του αεροπειρατή προγράμματος περιήγησης

• Πώς αναγνωρίζει η Microsoft κακόβουλο λογισμικό και δυνητικά ανεπιθύμητες εφαρμογές