Επιθέσεις, προστασία και ανίχνευση κακόβουλου λογισμικού χωρίς αρχεία
Το Fileless Malware(Fileless Malware) μπορεί να είναι ένας νέος όρος για τους περισσότερους, αλλά ο κλάδος της ασφάλειας το γνωρίζει εδώ και χρόνια. Πέρυσι, περισσότερες από 140 επιχειρήσεις παγκοσμίως χτυπήθηκαν με αυτό το κακόβουλο λογισμικό χωρίς αρχεία –(Fileless Malware –) συμπεριλαμβανομένων τραπεζών, τηλεπικοινωνιών και κυβερνητικών οργανισμών. Το κακόβουλο λογισμικό χωρίς αρχεία(Fileless Malware) , όπως εξηγεί το όνομα είναι ένα είδος κακόβουλου λογισμικού που δεν αγγίζει το δίσκο και δεν χρησιμοποιεί κανένα αρχείο στη διαδικασία. Φορτώνεται στο πλαίσιο μιας νόμιμης διαδικασίας. Ωστόσο, ορισμένες εταιρείες ασφαλείας ισχυρίζονται ότι η επίθεση χωρίς αρχεία αφήνει ένα μικρό δυαδικό αρχείο στον παραβιαστικό κεντρικό υπολογιστή για την έναρξη της επίθεσης κακόβουλου λογισμικού. Τέτοιες επιθέσεις έχουν σημειώσει σημαντική αύξηση τα τελευταία χρόνια και είναι πιο επικίνδυνες από τις παραδοσιακές επιθέσεις κακόβουλου λογισμικού.
Επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία
Επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία(Fileless Malware) , γνωστές και ως επιθέσεις μη κακόβουλου λογισμικού(Non-Malware attacks) . Χρησιμοποιούν ένα τυπικό σύνολο τεχνικών για να μπουν στα συστήματά σας χωρίς να χρησιμοποιούν οποιοδήποτε ανιχνεύσιμο αρχείο κακόβουλου λογισμικού. Τα τελευταία χρόνια, οι επιτιθέμενοι έχουν γίνει πιο έξυπνοι και έχουν αναπτύξει πολλούς διαφορετικούς τρόπους για να εξαπολύσουν την επίθεση.
Το(Fileless) κακόβουλο λογισμικό χωρίς αρχεία μολύνει τους υπολογιστές χωρίς να αφήνει κανένα αρχείο στον τοπικό σκληρό δίσκο, παρακάμπτοντας τα παραδοσιακά εργαλεία ασφάλειας και εγκληματολογίας.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Το κακόβουλο λογισμικό χωρίς αρχεία βρίσκεται στη μνήμη τυχαίας πρόσβασης(Random Access Memory) του συστήματος του υπολογιστή σας και κανένα πρόγραμμα προστασίας από ιούς δεν επιθεωρεί απευθείας τη μνήμη – επομένως είναι η ασφαλέστερη λειτουργία για τους εισβολείς να εισβάλλουν στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας. Ακόμη και τα καλύτερα προγράμματα προστασίας από ιούς μερικές φορές χάνουν το κακόβουλο λογισμικό που εκτελείται στη μνήμη.
Μερικές από τις πρόσφατες μολύνσεις από κακόβουλο λογισμικό χωρίς αρχείο(Fileless Malware) που έχουν μολύνει συστήματα υπολογιστών παγκοσμίως είναι – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 , κ.λπ.
Πώς λειτουργεί το Fileless Malware
Το κακόβουλο λογισμικό χωρίς αρχεία όταν προσγειωθεί στη Μνήμη(Memory) μπορεί να αναπτύξει τα εγγενή και διαχειριστικά εργαλεία των Windows , όπως το (Windows)PowerShell , το SC.exe και το netsh.exe(netsh.exe) για να εκτελέσει τον κακόβουλο κώδικα και να αποκτήσει πρόσβαση διαχειριστή στο σύστημά σας, έτσι ώστε να μεταφέρει έξω τις εντολές και κλέψτε τα δεδομένα σας. Το κακόβουλο λογισμικό χωρίς αρχεία(Fileless Malware) κάποια στιγμή μπορεί επίσης να κρύβεται στα Rootkits ή στο Μητρώο(Registry) του λειτουργικού συστήματος Windows.
Μόλις εισέλθουν, οι εισβολείς χρησιμοποιούν την προσωρινή μνήμη μικρογραφιών των Windows(Windows Thumbnail) για να κρύψουν τον μηχανισμό κακόβουλου λογισμικού. Ωστόσο, το κακόβουλο λογισμικό εξακολουθεί να χρειάζεται ένα στατικό δυαδικό αρχείο για να εισέλθει στον κεντρικό υπολογιστή και το email είναι το πιο κοινό μέσο που χρησιμοποιείται για το ίδιο. Όταν ο χρήστης κάνει κλικ στο κακόβουλο συνημμένο, γράφει ένα κρυπτογραφημένο αρχείο ωφέλιμου φορτίου στο μητρώο των Windows(Windows Registry) .
Το Fileless Malware(Fileless Malware) είναι επίσης γνωστό ότι χρησιμοποιεί εργαλεία όπως το Mimikatz(Mimikatz) και το Metaspoilt(Metaspoilt) για να εισάγει τον κώδικα στη μνήμη του υπολογιστή σας και να διαβάζει τα δεδομένα που είναι αποθηκευμένα εκεί. Αυτά τα εργαλεία βοηθούν τους εισβολείς να εισβάλουν βαθύτερα στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας.
Αναλύσεις συμπεριφοράς και κακόβουλο(Fileless) λογισμικό χωρίς αρχεία
Δεδομένου ότι τα περισσότερα από τα κανονικά προγράμματα προστασίας από ιούς χρησιμοποιούν υπογραφές για την αναγνώριση ενός αρχείου κακόβουλου λογισμικού, το κακόβουλο λογισμικό χωρίς αρχεία είναι δύσκολο να εντοπιστεί. Έτσι, οι εταιρείες ασφαλείας χρησιμοποιούν αναλύσεις συμπεριφοράς για τον εντοπισμό κακόβουλου λογισμικού. Αυτή η νέα λύση ασφαλείας έχει σχεδιαστεί για να αντιμετωπίσει τις προηγούμενες επιθέσεις και τη συμπεριφορά των χρηστών και των υπολογιστών. Οποιαδήποτε μη φυσιολογική συμπεριφορά που οδηγεί σε κακόβουλο περιεχόμενο ειδοποιείται στη συνέχεια με ειδοποιήσεις.
Όταν καμία λύση τερματικού σημείου δεν μπορεί να ανιχνεύσει το κακόβουλο λογισμικό χωρίς αρχεία, η ανάλυση συμπεριφοράς εντοπίζει οποιαδήποτε ανώμαλη συμπεριφορά, όπως ύποπτη δραστηριότητα σύνδεσης, ασυνήθιστες ώρες εργασίας ή χρήση οποιουδήποτε άτυπου πόρου. Αυτή η λύση ασφαλείας καταγράφει τα δεδομένα συμβάντων κατά τη διάρκεια των περιόδων σύνδεσης όπου οι χρήστες χρησιμοποιούν οποιαδήποτε εφαρμογή, περιηγούνται σε έναν ιστότοπο, παίζουν παιχνίδια, αλληλεπιδρούν στα μέσα κοινωνικής δικτύωσης κ.λπ.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Πώς να προστατευτείτε από και να ανιχνεύσετε κακόβουλο λογισμικό χωρίς αρχεία(Fileless Malware)
Ακολουθήστε τις βασικές προφυλάξεις για να ασφαλίσετε τον υπολογιστή σας με Windows(precautions to secure your Windows computer) :
- Εφαρμόστε(Apply) όλες τις πιο πρόσφατες ενημερώσεις των Windows –(Windows Updates –) ειδικά τις ενημερώσεις ασφαλείας στο λειτουργικό σας σύστημα.
- Βεβαιωθείτε(Make) ότι όλο το εγκατεστημένο λογισμικό είναι επιδιορθωμένο και ενημερωμένο στις πιο πρόσφατες εκδόσεις του
- Χρησιμοποιήστε ένα καλό προϊόν ασφαλείας που μπορεί να σαρώσει αποτελεσματικά τη μνήμη του υπολογιστή σας και επίσης να αποκλείσει κακόβουλες ιστοσελίδες που ενδέχεται να φιλοξενούν Exploits . Θα πρέπει να προσφέρει παρακολούθηση συμπεριφοράς(Behavior) , σάρωση μνήμης και προστασία (Memory)τομέα εκκίνησης(Boot Sector) .
- Να είστε προσεκτικοί πριν κάνετε λήψη τυχόν συνημμένων email(downloading any email attachments) . Αυτό γίνεται για να αποφευχθεί η λήψη του ωφέλιμου φορτίου.
- Χρησιμοποιήστε ένα ισχυρό τείχος προστασίας(Firewall) που σας επιτρέπει να ελέγχετε αποτελεσματικά την κυκλοφορία δικτύου(Network) .
Διαβάστε παρακάτω(Read next) : Τι είναι οι επιθέσεις Living Off The Land(Living Off The Land attacks) ;
Related posts
Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL
Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;
Τι είναι το Remote Access Trojan; Πρόληψη, Ανίχνευση & Αφαίρεση
Κυβερνοεπιθέσεις - Ορισμός, Τύποι, Πρόληψη
Το Crystal Security είναι ένα δωρεάν εργαλείο ανίχνευσης κακόβουλου λογισμικού που βασίζεται στο Cloud για υπολογιστή
Τι είναι ο ιός IDP.generic και πώς να τον αφαιρέσετε;
Αποτρέψτε τις λήψεις Drive-by και τις σχετικές επιθέσεις κακόβουλου λογισμικού
Επιθέσεις κακόβουλης διαφήμισης: Ορισμός, παραδείγματα, προστασία, ασφάλεια
Πώς να χρησιμοποιήσετε το Malwarebytes Anti-Malware για να αφαιρέσετε κακόβουλο λογισμικό
Rogue Security Software or Scareware: Πώς να ελέγξετε, να αποτρέψετε, να αφαιρέσετε;
Τι είναι το έγκλημα στον κυβερνοχώρο; Πώς να το αντιμετωπίσετε;
Τι είναι μια επίθεση με παρασκήνια; Σημασία, Παραδείγματα, Ορισμοί
Πιθανώς ανεπιθύμητα προγράμματα ή εφαρμογές. Αποφύγετε την εγκατάσταση PUP/PUA
Εργαλεία απομακρυσμένης διαχείρισης: Κίνδυνοι, Απειλές, Πρόληψη
Τι είναι το Rootkit; Πώς λειτουργούν τα Rootkits; Τα Rootkit εξηγούνται.
Τι είναι το Win32:BogEnt και πώς να το αφαιρέσετε;
Διεργασία με το λογότυπο των Microsoft Windows στη Διαχείριση εργασιών. Είναι ιός;
Πώς να ελέγξετε εάν ένα αρχείο είναι κακόβουλο ή όχι στα Windows 11/10
Εισβολή προγράμματος περιήγησης και δωρεάν εργαλεία αφαίρεσης του αεροπειρατή προγράμματος περιήγησης
Πώς αναγνωρίζει η Microsoft κακόβουλο λογισμικό και δυνητικά ανεπιθύμητες εφαρμογές