Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen

Tiedostoton haittaohjelma(Fileless Malware) saattaa olla uusi termi useimmille, mutta tietoturvateollisuus on tuntenut sen jo vuosia. Viime vuonna yli 140 yritystä maailmanlaajuisesti kärsi tämän Fileless-haittaohjelman kanssa –(Fileless Malware –) mukaan lukien pankit, televiestintäyritykset ja valtion organisaatiot. Tiedostoton haittaohjelma(Fileless Malware) , kuten nimi selittää, on eräänlainen haittaohjelma, joka ei kosketa levyä tai käytä prosessissa tiedostoja. Se ladataan laillisen prosessin yhteydessä. Jotkut tietoturvayritykset kuitenkin väittävät, että tiedostoton hyökkäys jättää pienen binaarin vaarantavaan isäntään, joka aloittaa haittaohjelmahyökkäyksen. Tällaiset hyökkäykset ovat lisääntyneet merkittävästi viime vuosina ja ovat riskialttiimpia kuin perinteiset haittaohjelmahyökkäykset.

tiedostoton haittaohjelma

Tiedostottomat haittaohjelmahyökkäykset

Tiedostottomat haittaohjelmahyökkäykset(Fileless Malware) tunnetaan myös nimellä Non-Malware hyökkäykset(Non-Malware attacks) . He käyttävät tyypillisiä tekniikoita päästäkseen järjestelmiisi ilman havaittavissa olevia haittaohjelmatiedostoja. Muutaman viime vuoden aikana hyökkääjistä on tullut älykkäämpiä ja he ovat kehittäneet monia erilaisia ​​tapoja käynnistää hyökkäys.

Tiedostottomat(Fileless) haittaohjelmat saastuttavat tietokoneet jättämättä jälkeensä tiedostoja paikalliselle kiintolevylle, ohittaen perinteiset tietoturva- ja rikostekniset työkalut.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Tiedostoton haittaohjelma sijaitsee tietokonejärjestelmäsi Random Access Memory -muistissa , eikä mikään virustorjuntaohjelma tarkasta muistia suoraan – joten se on turvallisin tapa hyökkääjille tunkeutua tietokoneellesi ja varastaa kaikki tietosi. Jopa parhaat virustentorjuntaohjelmat kaipaavat joskus muistissa olevia haittaohjelmia.

Jotkut viimeaikaisista Fileless Malware -tartunnoista, jotka ovat saastuttaneet tietokonejärjestelmiä maailmanlaajuisesti, ovat – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 jne.

Miten tiedostoton haittaohjelma toimii

Muistiin(Memory) päätyessään tiedostoton haittaohjelma voi ottaa käyttöön Windowsin(Windows) sisäänrakennetut alkuperäiset ja järjestelmän hallintatyökalut , kuten PowerShell , SC.exe ja netsh.exe , suorittamaan haitallista koodia ja hankkimaan järjestelmänvalvojan pääsyn järjestelmääsi, jotta ne voivat kuljettaa ulos komennot ja varastaa tietosi. Tiedostottomat haittaohjelmat(Fileless Malware) voivat joskus piiloutua rootkiteihin(Rootkits)(Rootkits) tai Windows-käyttöjärjestelmän rekisteriin .(Registry)

Päästyään sisään hyökkääjät piilottavat haittaohjelmamekanismin Windowsin pikkukuvavälimuistin(Windows Thumbnail) avulla. Haittaohjelma tarvitsee kuitenkin edelleen staattisen binaarin päästäkseen isäntätietokoneeseen, ja sähköposti on yleisin media, jota käytetään tähän. Kun käyttäjä napsauttaa haitallista liitettä, se kirjoittaa salatun hyötytiedoston Windowsin rekisteriin(Windows Registry) .

Tiedostottomien haittaohjelmien(Fileless Malware) tiedetään myös käyttävän Mimikatzin(Mimikatz) ja Metaspoiltin(Metaspoilt) kaltaisia ​​työkaluja koodin syöttämiseen tietokoneesi muistiin ja sinne tallennettujen tietojen lukemiseen. Nämä työkalut auttavat hyökkääjiä tunkeutumaan syvemmälle tietokoneellesi ja varastamaan kaikki tietosi.

Käyttäytymisanalytiikka ja tiedostottomat(Fileless) haittaohjelmat

Koska useimmat tavalliset virustorjuntaohjelmat käyttävät allekirjoituksia haittaohjelmatiedoston tunnistamiseen, tiedostotonta haittaohjelmaa on vaikea havaita. Siksi turvayritykset käyttävät käyttäytymisanalytiikkaa haittaohjelmien havaitsemiseen. Tämä uusi tietoturvaratkaisu on suunniteltu torjumaan käyttäjien ja tietokoneiden aiempia hyökkäyksiä ja käyttäytymistä. Kaikista epänormaalista käytöksestä, joka viittaa haitalliseen sisältöön, ilmoitetaan sitten hälytyksellä.

Kun mikään päätepisteratkaisu ei pysty havaitsemaan tiedostotonta haittaohjelmaa, käyttäytymisanalytiikka havaitsee poikkeavan toiminnan, kuten epäilyttävän kirjautumistoiminnan, epätavallisen työajan tai minkä tahansa epätyypillisen resurssin käytön. Tämä tietoturvaratkaisu tallentaa tapahtumatiedot istuntojen aikana, joissa käyttäjät käyttävät mitä tahansa sovellusta, selaavat verkkosivustoa, pelaavat pelejä, ovat vuorovaikutuksessa sosiaalisessa mediassa jne.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Kuinka suojautua tiedostottomilta haittaohjelmilta ja havaita ne(Fileless Malware)

Suojaa Windows-tietokoneesi(precautions to secure your Windows computer) noudattamalla perusvarotoimia :

  • Ota(Apply) käyttöön kaikki uusimmat Windows-päivitykset –(Windows Updates –) erityisesti käyttöjärjestelmän suojauspäivitykset.
  • Varmista(Make) , että kaikki asennetut ohjelmistot on korjattu ja päivitetty uusimpiin versioihinsa
  • Käytä hyvää tietoturvatuotetta, joka voi skannata tehokkaasti tietokoneesi muistin ja myös estää haitalliset verkkosivut, jotka saattavat isännöidä Exploitteja(Exploits) . Sen pitäisi tarjota käyttäytymisen(Behavior) valvonta, muistin(Memory) tarkistus ja käynnistyssektorin(Boot Sector) suojaus.
  • Ole varovainen ennen kuin lataat sähköpostin liitteitä(downloading any email attachments) . Näin vältetään hyötykuorman lataaminen.
  • Käytä vahvaa palomuuria(Firewall) , jonka avulla voit hallita verkkoliikennettä(Network) tehokkaasti .

Lue seuraavaksi(Read next) : Mitä Living Off The Land -hyökkäykset(Living Off The Land attacks) ovat ?



About the author

Olen web-kehittäjä, jolla on kokemusta sekä Windows 11:n että 10:n kanssa työskentelystä. Olen myös ollut Firefox-käyttäjä useiden vuosien ajan ja olen oppinut käyttämään täysin uutta Xbox One -pelikonsolia. Suurin kiinnostuksen kohteeni ovat ohjelmistokehitys, erityisesti web- ja mobiilikehitys, sekä datatiede. Olen erittäin perehtynyt erilaisiin tietokonejärjestelmiin ja niiden käyttöön, joten voin antaa puolueetonta palautetta erilaisista käyttämistäsi ohjelmista tai palveluista.



Related posts