Fileless Malware Attacks, Protection and Detection

Fileless Malware kan være et nytt begrep for de fleste, men sikkerhetsindustrien har kjent det i mange år. Tidligere i år ble over 140 bedrifter over hele verden rammet av dette Fileless Malware - inkludert banker, telekom og statlige organisasjoner. Fileless Malware, som navnet forklarer, er en slags malware som ikke bruker noen filer i prosessen. Imidlertid hevder noen sikkerhetsfirmaer at det filløse angrepet forlater et lite binært i den kompromitterende verten for å starte malware-angrepet. Slike angrep har opplevd en betydelig økning de siste årene, og de er risikabeltere enn de tradisjonelle malwareangrepene.

Fileless Malware attacks

Fileless Malware-attaks også kjent som Ikke-malware-angrep . De bruker et typisk sett med teknikker for å komme inn i systemene dine uten å bruke noen påviselig malware-fil. I løpet av de siste årene har angriperne blitt smartere og har utviklet mange forskjellige måter å starte angrepet på.

Fileless malware infiserer datamaskinene som etterlater ingen fil på den lokale harddisken, og legger til de tradisjonelle sikkerhets- og rettsmedisinske verktøyene.

Det som er unikt ved dette angrepet, er bruken av et stykke sofistikert ondsinnet programvare, som klarte å oppholde seg rent i minnet om en kompromittert maskin, uten å gi et spor på maskinens filsystem. Fileless malware tillater angripere å unngå evakuering fra de fleste sluttpunkts sikkerhetsløsninger som er basert på statisk filer analyse (Anti-Viruses). Den nyeste fremgangen i fileless malware viser utviklerne fokus skiftet fra å skjule nettverksoperasjoner for å unngå deteksjon under utførelsen av lateral bevegelse inne i offerets infrastruktur, sier Microsoft.

Den fileless malware ligger i Random Access Memory av datasystemet og ingen antivirusprogram inspiserer hukommelsen direkte - så det er den sikreste modusen for angriperne å gå inn i din PC og stjele alle dataene dine. Selv de beste antivirusprogrammene savner kanskje malware som kjører i minnet.

Noen av de nyeste fileless malwareinfeksjonene som har infiserte datasystemer over hele verden er - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

Hvordan virker Fileless Malware

Den fileless malware når den kommer til Minne kan distribuere dine innbyggede og systemadministrasive Windows-innebygde verktøy som PowerShell , SC.exe og netsh.exe for å kjøre den skadelige koden og få administrasjonen tilgang til systemet ditt, for å utføre kommandoene og stjele dataene dine. Fileless Malware en gang kan også gjemme seg i Rootkits eller Registry i Windows-operativsystemet.

En gang i bruker angriperne Windows Thumbnail-hurtigbufferen for å skjule malware-mekanismen. Imidlertid trenger malware fortsatt et statisk binært for å gå inn i verts-PCen, og e-post er det vanligste mediet som brukes til det samme. Når brukeren klikker på det ondsinnede vedlegget, skriver den en kryptert nyttelastfil i Windows-registret.

Fileless Malware er også kjent for å bruke verktøy som Mimikatz og Metaspoilt for å injisere Kode inn i PC-minnet og les dataene som er lagret der. Disse verktøyene hjelper angriperne å intrudere dypere inn i PCen din og stjele alle dataene dine.

Behavioral analytics og fileless malware

Siden de fleste av de vanlige antivirusprogrammene bruker signaturer til å identifisere en malware-fil, er fileless malware vanskelig å oppdage. Dermed bruker sikkerhetsfirmaene atferdsanalyser for å oppdage malware. Denne nye sikkerhetsløsningen er utformet for å takle tidligere angrep og oppførsel av brukere og datamaskiner. Eventuelle unormale oppføringer som peker på skadelig innhold, blir deretter varslet med varsler.

Når ingen endepunktsløsning kan oppdage fileless malware, oppdager atferdsanalyser noen uregelmessig oppførsel som mistenkelig påloggingsaktivitet, uvanlig arbeidstid eller bruk av en atypisk ressurs. Denne sikkerhetsløsningen fanger hendelsesdataene under sesjonene der brukerne bruker et program, bla gjennom et nettsted, spill spill, samhandler med sosiale medier etc.

Fileless malware blir bare smartere og mer vanlig. Regelmessige signaturbaserte teknikker og verktøy vil få en vanskeligere tid for å oppdage denne komplekse, konfigurerte typen malware, sier Microsoft.

Slik beskytter du mot og oppdager Fileless Malware

Følg de grunnleggende forholdsregler for å sikre Windows-datamaskinen:

• Bruk alle de nyeste Windows-oppdateringene - spesielt sikkerhetsoppdateringene til operativsystemet.
• Kontroller at all installert programvare er oppdatert og oppdatert til de nyeste versjonene sine.
• Bruk et godt sikkerhetsprodukt som effektivt kan skanne din datamaskinens minne og også blokkere ondsinnede nettsider som kan være hosting utfordringer.
• Vær forsiktig før du laster ned e-postvedlegg. Dette er for å unngå nedlasting av nyttelastet.
• Bruk en sterk brannmur som lar deg effektivt kontrollere nettverkstrafikk.

Hvis du trenger å lese mer om dette emnet, kan du gå over til Microsoft og sjekke ut denne hvitboken av McAfee også.