Επιθέσεις αφαίρεσης κακόβουλου λογισμικού, προστασία και ανίχνευση

Το Fileless Malware μπορεί να είναι ένας νέος όρος για τους περισσότερους, αλλά η βιομηχανία ασφαλείας το γνωρίζει εδώ και χρόνια. Νωρίτερα φέτος, πάνω από 140 επιχειρήσεις παγκοσμίως χτυπήθηκαν με αυτό το Fileless Malware - συμπεριλαμβανομένων τραπεζών, τηλεπικοινωνιών και κυβερνητικών οργανώσεων. Το Fileless Malware, όπως εξηγεί το όνομα, είναι ένα είδος κακόβουλου λογισμικού το οποίο δεν χρησιμοποιεί κανένα αρχείο στη διαδικασία. Ωστόσο, κάποιες εταιρείες ασφάλειας ισχυρίζονται ότι η άτακτη επίθεση αφήνει ένα μικρό δυαδικό αρχείο στον συμβιβασμό που φιλοξενεί την εκκίνηση της επίθεσης malware. Τέτοιες επιθέσεις έχουν σημειώσει σημαντική αύξηση τα τελευταία χρόνια και είναι πιο επικίνδυνες από τις παραδοσιακές επιθέσεις κακόβουλου λογισμικού.

Επιθέσεις κακόβουλου λογισμικού αρχείων

Οι επιθέσεις κακόβουλου λογισμικού Fileless είναι επίσης γνωστές ως επιθέσεις μη κακόβουλου λογισμικού . Χρησιμοποιούν ένα τυπικό σύνολο τεχνικών για να μπουν στα συστήματά σας χωρίς να χρησιμοποιούν οποιοδήποτε ανιχνεύσιμο αρχείο κακόβουλου λογισμικού. Τα τελευταία χρόνια, οι επιτιθέμενοι έχουν γίνει πιο έξυπνοι και έχουν αναπτύξει πολλούς διαφορετικούς τρόπους για να ξεκινήσουν την επίθεση.

Το κακόβουλο λογισμικό Fileless μολύνει τους υπολογιστές που δεν αφήνουν πίσω τους κανένα αρχείο στον τοπικό σκληρό δίσκο, παρακάμπτοντας τα παραδοσιακά εργαλεία ασφάλειας και εγκληματολογίας. Αυτό που είναι μοναδικό σε σχέση με αυτή την επίθεση είναι η χρήση ενός εξελιγμένου κακόβουλου λογισμικού κομμάτι, το οποίο κατάφερε να διαμένει καθαρά στη μνήμη ενός συμβιβασμένου μηχανήματος, χωρίς να αφήνει ίχνος στο σύστημα αρχείων του μηχανήματος. Το ατελές κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να αποφεύγουν την ανίχνευση από τις περισσότερες λύσεις ασφάλειας που βασίζονται στην ανάλυση στατικών αρχείων (Anti-Viruses). Η τελευταία πρόοδος στο λογισμικό κακόβουλου λογισμικού Fileless δείχνει ότι η εστίαση των προγραμματιστών μετατοπίστηκε από τη συγκάλυψη των λειτουργιών του δικτύου, ώστε να αποφευχθεί η ανίχνευση κατά την εκτέλεση της πλευρικής κίνησης μέσα στην υποδομή του θύματος, λέει η Microsoft.

Το κακόβουλο λογισμικό βρίσκεται στο

> του συστήματος του υπολογιστή σας και κανένα πρόγραμμα προστασίας από ιούς επιθεωρεί τη μνήμη απευθείας - γι `αυτό είναι η ασφαλέστερη λειτουργία για τους εισβολείς να εισβάλλουν στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας. Ακόμη και τα καλύτερα προγράμματα προστασίας από ιούς συχνά χάνουν το κακόβουλο λογισμικό που τρέχει στη μνήμη. Μερικές από τις πρόσφατες λοίμωες από αρχεία χωρίς αφαίρεσης αρχείων που έχουν μολυνθεί από συστήματα υπολογιστών παγκοσμίως είναι τα Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 κ.λπ. Πώς λειτουργεί το Fileless Malware

Το άχρηστο κακόβουλο λογισμικό όταν μπαίνει στο

Memory

μπορεί να αναπτύξει τα εγγενή ενσωματωμένα εργαλεία του Windows όπως το PowerShell , SC.exe και netsh.exe για να εκτελέσετε τον κακόβουλο κώδικα και να πάρετε την πρόσβαση διαχειριστή στο σύστημά σας, ώστε να εκτελέσετε τις εντολές και να κλέψετε τα δεδομένα σας. Απεριόριστο κακόβουλο λογισμικό μπορεί επίσης να κρύβεται σε Rootkits ή Registry του λειτουργικού συστήματος Windows. Οι εισβολείς χρησιμοποιούν την προσωρινή μνήμη μικρογραφιών των Windows για να αποκρύψουν τον μηχανισμό κακόβουλου λογισμικού. Ωστόσο, το κακόβουλο λογισμικό εξακολουθεί να χρειάζεται ένα στατικό δυαδικό για να εισέλθει στο κεντρικό υπολογιστή και το ηλεκτρονικό ταχυδρομείο είναι το πιο κοινό μέσο που χρησιμοποιείται για το ίδιο. Όταν το χρήστη κάνει κλικ στο κακόβουλο συνημμένο, γράφει ένα κρυπτογραφημένο αρχείο ωφέλιμου φορτίου στο μητρώο των Windows. Το Fileless Malware είναι επίσης γνωστό ότι χρησιμοποιεί εργαλεία όπως

Mimikatz

και Metaspoilt κωδικοποιήστε στη μνήμη του υπολογιστή σας και διαβάστε τα δεδομένα που είναι αποθηκευμένα εκεί. Αυτά τα εργαλεία βοηθούν τους εισβολείς να εισέλθουν βαθύτερα στον υπολογιστή σας και να κλέψουν όλα τα δεδομένα σας. Behavioral analytics and malicious malware Δεδομένου ότι τα περισσότερα από τα τακτικά προγράμματα προστασίας από ιούς χρησιμοποιούν υπογραφές για τον εντοπισμό ενός κακόβουλου αρχείου,. Έτσι, οι εταιρείες ασφάλειας χρησιμοποιούν αναλυτικά στοιχεία συμπεριφοράς για την ανίχνευση του κακόβουλου λογισμικού. Αυτή η νέα λύση ασφαλείας έχει σχεδιαστεί για να αντιμετωπίσει τις προηγούμενες επιθέσεις και τη συμπεριφορά των χρηστών και των υπολογιστών. Οποιαδήποτε μη φυσιολογική συμπεριφορά που οδηγεί σε κακόβουλο περιεχόμενο τότε ειδοποιείται με ειδοποιήσεις

Όταν καμία λύση τελικού σημείου δεν μπορεί να ανιχνεύσει το άχρηστο κακόβουλο λογισμικό, τα συμπεριφορικά αναλύματα ανιχνεύουν οποιαδήποτε ανώμαλη συμπεριφορά, όπως ύποπτη δραστηριότητα σύνδεσης, ασυνήθιστο ωράριο εργασίας ή χρήση οποιουδήποτε άτυπου πόρου. Αυτή η λύση ασφαλείας συλλαμβάνει τα δεδομένα συμβάντων κατά τη διάρκεια των περιόδων σύνδεσης όπου οι χρήστες χρησιμοποιούν οποιαδήποτε εφαρμογή, περιηγούνται σε έναν ιστότοπο, παίζουν παιχνίδια, αλληλεπιδρούν με κοινωνικά μέσα κ.λπ.

Το ατελές κακόβουλο λογισμικό θα γίνει πιο έξυπνο και πιο κοινό. Οι τακτικές τεχνικές και τα εργαλεία που βασίζονται σε υπογραφές θα έχουν έναν σκληρότερο χρόνο για να ανακαλύψουν αυτό το περίπλοκο, επικίνδυνο τύπο κακόβουλου λογισμικού, λέει η Microsoft.

Πώς να προστατεύσετε και να ανιχνεύσετε αφηρημένο κακόβουλο λογισμικό

Ακολουθήστε τις βασικές προφυλάξεις για να ασφαλίσετε τον υπολογιστή σας των Windows:

Εφαρμόστε όλες τις τελευταίες ενημερώσεις των Windows - ειδικά τις ενημερώσεις ασφαλείας στο λειτουργικό σας σύστημα

Βεβαιωθείτε ότι όλα τα εγκατεστημένα λογισμικά σας έχουν ενημερωθεί και ενημερωθούν στις τελευταίες εκδόσεις τους

• Χρησιμοποιήστε ένα καλό προϊόν ασφαλείας που μπορεί να σαρώσει αποτελεσματικά τη μνήμη των υπολογιστών και επίσης να αποκλείσετε κακόβουλες ιστοσελίδες που ενδέχεται να φιλοξενούν Εκμεταλλεύσεις.
• Να είστε προσεκτικοί πριν κάνετε λήψη τυχόν συνημμένων ηλεκτρονικού ταχυδρομείου.
• Χρησιμοποιήστε ένα ισχυρό τείχος προστασίας που σας επιτρέπει να ελέγχετε αποτελεσματικά την κυκλοφορία του δικτύου.
• Αν χρειαστεί να διαβάσετε περισσότερα για αυτό το θέμα, κατευθυνθείτε στη Microsoft και δείτε αυτό το whitepaper από την McAfee.