Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen
Tiedostoton haittaohjelma(Fileless Malware) saattaa olla uusi termi useimmille, mutta tietoturvateollisuus on tuntenut sen jo vuosia. Viime vuonna yli 140 yritystä maailmanlaajuisesti kärsi tämän Fileless-haittaohjelman kanssa –(Fileless Malware –) mukaan lukien pankit, televiestintäyritykset ja valtion organisaatiot. Tiedostoton haittaohjelma(Fileless Malware) , kuten nimi selittää, on eräänlainen haittaohjelma, joka ei kosketa levyä tai käytä prosessissa tiedostoja. Se ladataan laillisen prosessin yhteydessä. Jotkut tietoturvayritykset kuitenkin väittävät, että tiedostoton hyökkäys jättää pienen binaarin vaarantavaan isäntään, joka aloittaa haittaohjelmahyökkäyksen. Tällaiset hyökkäykset ovat lisääntyneet merkittävästi viime vuosina ja ovat riskialttiimpia kuin perinteiset haittaohjelmahyökkäykset.
Tiedostottomat haittaohjelmahyökkäykset
Tiedostottomat haittaohjelmahyökkäykset(Fileless Malware) tunnetaan myös nimellä Non-Malware hyökkäykset(Non-Malware attacks) . He käyttävät tyypillisiä tekniikoita päästäkseen järjestelmiisi ilman havaittavissa olevia haittaohjelmatiedostoja. Muutaman viime vuoden aikana hyökkääjistä on tullut älykkäämpiä ja he ovat kehittäneet monia erilaisia tapoja käynnistää hyökkäys.
Tiedostottomat(Fileless) haittaohjelmat saastuttavat tietokoneet jättämättä jälkeensä tiedostoja paikalliselle kiintolevylle, ohittaen perinteiset tietoturva- ja rikostekniset työkalut.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Tiedostoton haittaohjelma sijaitsee tietokonejärjestelmäsi Random Access Memory -muistissa , eikä mikään virustorjuntaohjelma tarkasta muistia suoraan – joten se on turvallisin tapa hyökkääjille tunkeutua tietokoneellesi ja varastaa kaikki tietosi. Jopa parhaat virustentorjuntaohjelmat kaipaavat joskus muistissa olevia haittaohjelmia.
Jotkut viimeaikaisista Fileless Malware -tartunnoista, jotka ovat saastuttaneet tietokonejärjestelmiä maailmanlaajuisesti, ovat – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 jne.
Miten tiedostoton haittaohjelma toimii
Muistiin(Memory) päätyessään tiedostoton haittaohjelma voi ottaa käyttöön Windowsin(Windows) sisäänrakennetut alkuperäiset ja järjestelmän hallintatyökalut , kuten PowerShell , SC.exe ja netsh.exe , suorittamaan haitallista koodia ja hankkimaan järjestelmänvalvojan pääsyn järjestelmääsi, jotta ne voivat kuljettaa ulos komennot ja varastaa tietosi. Tiedostottomat haittaohjelmat(Fileless Malware) voivat joskus piiloutua rootkiteihin(Rootkits)(Rootkits) tai Windows-käyttöjärjestelmän rekisteriin .(Registry)
Päästyään sisään hyökkääjät piilottavat haittaohjelmamekanismin Windowsin pikkukuvavälimuistin(Windows Thumbnail) avulla. Haittaohjelma tarvitsee kuitenkin edelleen staattisen binaarin päästäkseen isäntätietokoneeseen, ja sähköposti on yleisin media, jota käytetään tähän. Kun käyttäjä napsauttaa haitallista liitettä, se kirjoittaa salatun hyötytiedoston Windowsin rekisteriin(Windows Registry) .
Tiedostottomien haittaohjelmien(Fileless Malware) tiedetään myös käyttävän Mimikatzin(Mimikatz) ja Metaspoiltin(Metaspoilt) kaltaisia työkaluja koodin syöttämiseen tietokoneesi muistiin ja sinne tallennettujen tietojen lukemiseen. Nämä työkalut auttavat hyökkääjiä tunkeutumaan syvemmälle tietokoneellesi ja varastamaan kaikki tietosi.
Käyttäytymisanalytiikka ja tiedostottomat(Fileless) haittaohjelmat
Koska useimmat tavalliset virustorjuntaohjelmat käyttävät allekirjoituksia haittaohjelmatiedoston tunnistamiseen, tiedostotonta haittaohjelmaa on vaikea havaita. Siksi turvayritykset käyttävät käyttäytymisanalytiikkaa haittaohjelmien havaitsemiseen. Tämä uusi tietoturvaratkaisu on suunniteltu torjumaan käyttäjien ja tietokoneiden aiempia hyökkäyksiä ja käyttäytymistä. Kaikista epänormaalista käytöksestä, joka viittaa haitalliseen sisältöön, ilmoitetaan sitten hälytyksellä.
Kun mikään päätepisteratkaisu ei pysty havaitsemaan tiedostotonta haittaohjelmaa, käyttäytymisanalytiikka havaitsee poikkeavan toiminnan, kuten epäilyttävän kirjautumistoiminnan, epätavallisen työajan tai minkä tahansa epätyypillisen resurssin käytön. Tämä tietoturvaratkaisu tallentaa tapahtumatiedot istuntojen aikana, joissa käyttäjät käyttävät mitä tahansa sovellusta, selaavat verkkosivustoa, pelaavat pelejä, ovat vuorovaikutuksessa sosiaalisessa mediassa jne.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne(Fileless Malware)
Suojaa Windows-tietokoneesi(precautions to secure your Windows computer) noudattamalla perusvarotoimia :
- Ota(Apply) käyttöön kaikki uusimmat Windows-päivitykset –(Windows Updates –) erityisesti käyttöjärjestelmän suojauspäivitykset.
- Varmista(Make) , että kaikki asennetut ohjelmistot on korjattu ja päivitetty uusimpiin versioihinsa
- Käytä hyvää tietoturvatuotetta, joka voi skannata tehokkaasti tietokoneesi muistin ja myös estää haitalliset verkkosivut, jotka saattavat isännöidä Exploitteja(Exploits) . Sen pitäisi tarjota käyttäytymisen(Behavior) valvonta, muistin(Memory) tarkistus ja käynnistyssektorin(Boot Sector) suojaus.
- Ole varovainen ennen kuin lataat sähköpostin liitteitä(downloading any email attachments) . Näin vältetään hyötykuorman lataaminen.
- Käytä vahvaa palomuuria(Firewall) , jonka avulla voit hallita verkkoliikennettä(Network) tehokkaasti .
Lue seuraavaksi(Read next) : Mitä Living Off The Land -hyökkäykset(Living Off The Land attacks) ovat ?
Related posts
DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen
Kuinka välttää tietojenkalasteluhuijaukset ja -hyökkäykset?
Mikä on etäkäytön troijalainen? Ennaltaehkäisy, havaitseminen ja poistaminen
Kyberhyökkäykset – määritelmä, tyypit, ehkäisy
Crystal Security on ilmainen pilvipohjainen haittaohjelmien tunnistustyökalu PC:lle
Ilmaiset haittaohjelmien poistotyökalut tietyn viruksen poistamiseen Windows 11/10:ssä
Haitalliset hyökkäykset: Määritelmä, esimerkit, suojaus, turvallisuus
Korjaa haku epäonnistui -virhe, kun suoritat Chrome Malware Scanneria
Mitä on kyberrikollisuus? Miten käsitellä sitä?
Mikä on FileRepMalware? Pitäisikö se poistaa?
Estä Drive-by-lataukset ja niihin liittyvät haittaohjelmahyökkäykset
Mikä on Rootkit? Miten rootkitit toimivat? Rootkits selitti.
Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset
Kuinka poistaa haittaohjelmat tietokoneesta Windows 10:ssä
IObit Malware Fighter Ilmainen tarkistus ja lataus
Etähallintatyökalut: riskit, uhat, ennaltaehkäisy
Bundleware: määritelmä, ehkäisy, poistoopas
Kuinka tarkistaa, onko tiedosto haitallinen vai ei Windows 11/10:ssä
Kuinka käyttää Malwarebytes Anti-Malwarea haittaohjelmien poistamiseen
Mikä on Win32:BogEnt ja kuinka se poistetaan?