Tiedostoton haittaohjelma^{(Fileless Malware)} saattaa olla uusi termi useimmille, mutta tietoturvateollisuus on tuntenut sen jo vuosia. Viime vuonna yli 140 yritystä maailmanlaajuisesti kärsi tämän Fileless-haittaohjelman kanssa –^{(Fileless Malware –)} mukaan lukien pankit, televiestintäyritykset ja valtion organisaatiot. Tiedostoton haittaohjelma^{(Fileless Malware)} , kuten nimi selittää, on eräänlainen haittaohjelma, joka ei kosketa levyä tai käytä prosessissa tiedostoja. Se ladataan laillisen prosessin yhteydessä. Jotkut tietoturvayritykset kuitenkin väittävät, että tiedostoton hyökkäys jättää pienen binaarin vaarantavaan isäntään, joka aloittaa haittaohjelmahyökkäyksen. Tällaiset hyökkäykset ovat lisääntyneet merkittävästi viime vuosina ja ovat riskialttiimpia kuin perinteiset haittaohjelmahyökkäykset.

tiedostoton haittaohjelma

Tiedostottomat haittaohjelmahyökkäykset

Tiedostottomat haittaohjelmahyökkäykset^{(Fileless Malware)} tunnetaan myös nimellä Non-Malware hyökkäykset^{(Non-Malware attacks)} . He käyttävät tyypillisiä tekniikoita päästäkseen järjestelmiisi ilman havaittavissa olevia haittaohjelmatiedostoja. Muutaman viime vuoden aikana hyökkääjistä on tullut älykkäämpiä ja he ovat kehittäneet monia erilaisia tapoja käynnistää hyökkäys.

Tiedostottomat^(Fileless) haittaohjelmat saastuttavat tietokoneet jättämättä jälkeensä tiedostoja paikalliselle kiintolevylle, ohittaen perinteiset tietoturva- ja rikostekniset työkalut.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Tiedostoton haittaohjelma sijaitsee tietokonejärjestelmäsi Random Access Memory -muistissa , eikä mikään virustorjuntaohjelma tarkasta muistia suoraan – joten se on turvallisin tapa hyökkääjille tunkeutua tietokoneellesi ja varastaa kaikki tietosi. Jopa parhaat virustentorjuntaohjelmat kaipaavat joskus muistissa olevia haittaohjelmia.

Jotkut viimeaikaisista Fileless Malware -tartunnoista, jotka ovat saastuttaneet tietokonejärjestelmiä maailmanlaajuisesti, ovat – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 jne.

Miten tiedostoton haittaohjelma toimii

Muistiin^(Memory) päätyessään tiedostoton haittaohjelma voi ottaa käyttöön Windowsin^(Windows) sisäänrakennetut alkuperäiset ja järjestelmän hallintatyökalut , kuten PowerShell , SC.exe ja netsh.exe , suorittamaan haitallista koodia ja hankkimaan järjestelmänvalvojan pääsyn järjestelmääsi, jotta ne voivat kuljettaa ulos komennot ja varastaa tietosi. Tiedostottomat haittaohjelmat^{(Fileless Malware)} voivat joskus piiloutua rootkiteihin^(Rootkits)^(Rootkits) tai Windows-käyttöjärjestelmän rekisteriin .^(Registry)

Päästyään sisään hyökkääjät piilottavat haittaohjelmamekanismin Windowsin pikkukuvavälimuistin^{(Windows Thumbnail)} avulla. Haittaohjelma tarvitsee kuitenkin edelleen staattisen binaarin päästäkseen isäntätietokoneeseen, ja sähköposti on yleisin media, jota käytetään tähän. Kun käyttäjä napsauttaa haitallista liitettä, se kirjoittaa salatun hyötytiedoston Windowsin rekisteriin^{(Windows Registry)} .

Tiedostottomien haittaohjelmien^{(Fileless Malware)} tiedetään myös käyttävän Mimikatzin^(Mimikatz) ja Metaspoiltin^(Metaspoilt) kaltaisia työkaluja koodin syöttämiseen tietokoneesi muistiin ja sinne tallennettujen tietojen lukemiseen. Nämä työkalut auttavat hyökkääjiä tunkeutumaan syvemmälle tietokoneellesi ja varastamaan kaikki tietosi.

Käyttäytymisanalytiikka ja tiedostottomat^(Fileless) haittaohjelmat

Koska useimmat tavalliset virustorjuntaohjelmat käyttävät allekirjoituksia haittaohjelmatiedoston tunnistamiseen, tiedostotonta haittaohjelmaa on vaikea havaita. Siksi turvayritykset käyttävät käyttäytymisanalytiikkaa haittaohjelmien havaitsemiseen. Tämä uusi tietoturvaratkaisu on suunniteltu torjumaan käyttäjien ja tietokoneiden aiempia hyökkäyksiä ja käyttäytymistä. Kaikista epänormaalista käytöksestä, joka viittaa haitalliseen sisältöön, ilmoitetaan sitten hälytyksellä.

Kun mikään päätepisteratkaisu ei pysty havaitsemaan tiedostotonta haittaohjelmaa, käyttäytymisanalytiikka havaitsee poikkeavan toiminnan, kuten epäilyttävän kirjautumistoiminnan, epätavallisen työajan tai minkä tahansa epätyypillisen resurssin käytön. Tämä tietoturvaratkaisu tallentaa tapahtumatiedot istuntojen aikana, joissa käyttäjät käyttävät mitä tahansa sovellusta, selaavat verkkosivustoa, pelaavat pelejä, ovat vuorovaikutuksessa sosiaalisessa mediassa jne.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne^{(Fileless Malware)}

Suojaa Windows-tietokoneesi^{(precautions to secure your Windows computer)} noudattamalla perusvarotoimia :

Ota^(Apply) käyttöön kaikki uusimmat Windows-päivitykset –^{(Windows Updates –)} erityisesti käyttöjärjestelmän suojauspäivitykset.
Varmista^(Make) , että kaikki asennetut ohjelmistot on korjattu ja päivitetty uusimpiin versioihinsa
Käytä hyvää tietoturvatuotetta, joka voi skannata tehokkaasti tietokoneesi muistin ja myös estää haitalliset verkkosivut, jotka saattavat isännöidä Exploitteja^(Exploits) . Sen pitäisi tarjota käyttäytymisen^(Behavior) valvonta, muistin^(Memory) tarkistus ja käynnistyssektorin^{(Boot Sector)} suojaus.
Ole varovainen ennen kuin lataat sähköpostin liitteitä^{(downloading any email attachments)} . Näin vältetään hyötykuorman lataaminen.
Käytä vahvaa palomuuria^(Firewall) , jonka avulla voit hallita verkkoliikennettä^(Network) tehokkaasti .

Lue seuraavaksi^{(Read next)} : Mitä Living Off The Land -hyökkäykset^{(Living Off The Land attacks)} ovat ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

fileless malware

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

Apply all the latest Windows Updates – especially the security updates to your operating system.
Make sure that all your installed software is patched and updated to their latest versions
Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
Be careful before downloading any email attachments. This is to avoid downloading the payload.
Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Pearl Lehtonen

About the author

Olen web-kehittäjä, jolla on kokemusta sekä Windows 11:n että 10:n kanssa työskentelystä. Olen myös ollut Firefox-käyttäjä useiden vuosien ajan ja olen oppinut käyttämään täysin uutta Xbox One -pelikonsolia. Suurin kiinnostuksen kohteeni ovat ohjelmistokehitys, erityisesti web- ja mobiilikehitys, sekä datatiede. Olen erittäin perehtynyt erilaisiin tietokonejärjestelmiin ja niiden käyttöön, joten voin antaa puolueetonta palautetta erilaisista käyttämistäsi ohjelmista tai palveluista.

Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen

Tiedostottomat haittaohjelmahyökkäykset

Miten tiedostoton haittaohjelma toimii

Käyttäytymisanalytiikka ja tiedostottomat^(Fileless) haittaohjelmat

Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne^{(Fileless Malware)}

Fileless Malware Attacks, Protection and Detection

Fileless Malware attacks

How does Fileless Malware work

Behavioral analytics and Fileless malware

How to protect against & detect Fileless Malware

Pearl Lehtonen

About the author

Related posts

DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

Kuinka välttää tietojenkalasteluhuijaukset ja -hyökkäykset?

Mikä on etäkäytön troijalainen? Ennaltaehkäisy, havaitseminen ja poistaminen

Kyberhyökkäykset – määritelmä, tyypit, ehkäisy

Crystal Security on ilmainen pilvipohjainen haittaohjelmien tunnistustyökalu PC:lle

Ilmaiset haittaohjelmien poistotyökalut tietyn viruksen poistamiseen Windows 11/10:ssä

Haitalliset hyökkäykset: Määritelmä, esimerkit, suojaus, turvallisuus

Korjaa haku epäonnistui -virhe, kun suoritat Chrome Malware Scanneria

Mitä on kyberrikollisuus? Miten käsitellä sitä?

Mikä on FileRepMalware? Pitäisikö se poistaa?

Estä Drive-by-lataukset ja niihin liittyvät haittaohjelmahyökkäykset

Mikä on Rootkit? Miten rootkitit toimivat? Rootkits selitti.

Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset

Kuinka poistaa haittaohjelmat tietokoneesta Windows 10:ssä

IObit Malware Fighter Ilmainen tarkistus ja lataus

Etähallintatyökalut: riskit, uhat, ennaltaehkäisy

Bundleware: määritelmä, ehkäisy, poistoopas

Kuinka tarkistaa, onko tiedosto haitallinen vai ei Windows 11/10:ssä

Kuinka käyttää Malwarebytes Anti-Malwarea haittaohjelmien poistamiseen

Mikä on Win32:BogEnt ja kuinka se poistetaan?

Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen

Tiedostottomat haittaohjelmahyökkäykset

Miten tiedostoton haittaohjelma toimii

Käyttäytymisanalytiikka ja tiedostottomat(Fileless) haittaohjelmat

Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne(Fileless Malware)

Fileless Malware Attacks, Protection and Detection

Fileless Malware attacks

How does Fileless Malware work

Behavioral analytics and Fileless malware

How to protect against & detect Fileless Malware

Pearl Lehtonen

About the author

Related posts

DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

Kuinka välttää tietojenkalasteluhuijaukset ja -hyökkäykset?

Mikä on etäkäytön troijalainen? Ennaltaehkäisy, havaitseminen ja poistaminen

Kyberhyökkäykset – määritelmä, tyypit, ehkäisy

Crystal Security on ilmainen pilvipohjainen haittaohjelmien tunnistustyökalu PC:lle

Ilmaiset haittaohjelmien poistotyökalut tietyn viruksen poistamiseen Windows 11/10:ssä

Haitalliset hyökkäykset: Määritelmä, esimerkit, suojaus, turvallisuus

Korjaa haku epäonnistui -virhe, kun suoritat Chrome Malware Scanneria

Mitä on kyberrikollisuus? Miten käsitellä sitä?

Mikä on FileRepMalware? Pitäisikö se poistaa?

Estä Drive-by-lataukset ja niihin liittyvät haittaohjelmahyökkäykset

Mikä on Rootkit? Miten rootkitit toimivat? Rootkits selitti.

Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset

Kuinka poistaa haittaohjelmat tietokoneesta Windows 10:ssä

IObit Malware Fighter Ilmainen tarkistus ja lataus

Etähallintatyökalut: riskit, uhat, ennaltaehkäisy

Bundleware: määritelmä, ehkäisy, poistoopas

Kuinka tarkistaa, onko tiedosto haitallinen vai ei Windows 11/10:ssä

Kuinka käyttää Malwarebytes Anti-Malwarea haittaohjelmien poistamiseen

Mikä on Win32:BogEnt ja kuinka se poistetaan?

Käyttäytymisanalytiikka ja tiedostottomat^(Fileless) haittaohjelmat

Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne^{(Fileless Malware)}