Безфайлове зловмисне програмне забезпечення є популярним способом непомітного проникнення кіберзлочинців у системи. Також відоме як нешкідливе програмне забезпечення, нульовий слід або макроатака, воно відрізняється від традиційного шкідливого програмного забезпечення тим, що йому не потрібно встановлювати шкідливе програмне забезпечення, щоб заразити комп’ютер жертви.
Замість цього він використовує наявні вразливості пристрою: зловмисне програмне забезпечення вкладається в оперативну пам’ять комп’ютера та використовує звичайні системні інструменти для введення шкідливого коду в зазвичай безпечні надійні процеси, такі як javaw.exe або iexplore.exe.
Техніки атак і як працює безфайлове зловмисне програмне забезпечення
Існує багато методів, які кіберзлочинці можуть використати для атаки безфайлового шкідливого програмного забезпечення. Наприклад, через зловмисну банерну рекламу, так званий «malvertising». Коли користувачі натискають оголошення, вони перенаправляються на шкідливий веб-сайт, який виглядає легітимним і завантажує Flash, який, на жаль, має вразливі місця. Flash використовує інструмент Windows PowerShell для виконання команд із командного рядка під час роботи в оперативній пам’яті. Потім PowerShell завантажує та виконує шкідливий код із ботнету чи іншого зламаного сервера, після чого код шукає дані для надсилання зловмиснику.
Оскільки безфайлове шкідливе програмне забезпечення не потребує завантаження файлів, його досить важко виявити, заблокувати та видалити. Він не має ідентифікованого коду чи підпису, що дозволяє традиційним антивірусним програмам виявити його. Він також не має специфічної поведінки, тому евристичні сканери не можуть його виявити. Крім того, оскільки зловмисне програмне забезпечення використовує вразливі місця схвалених програм, які вже є в системі, воно також може подолати захист, який забезпечує білий список програм, процес, який забезпечує встановлення на комп’ютері лише схвалених програм.
Ознаки безфайлового шкідливого ПЗ
Однак перезавантаження комп’ютера може зупинити безфайлове порушення безпеки зловмисного програмного забезпечення. Це пов’язано з тим, що оперативна пам’ять зберігає дані лише тоді, коли комп’ютер увімкнено. Коли він вимикається, інфекція більше не активна. Однак зловмисники все ще можуть використовувати цю вразливість, щоб викрасти дані з комп’ютера або встановити інші форми зловмисного програмного забезпечення, щоб підвищити стійкість уразливості. Наприклад, хакер може налаштувати сценарії для запуску під час перезавантаження системи, щоб продовжити атаку.
Незважаючи на те, що не встановлено нових файлів або типової поведінки, яка б робила безфайлову атаку зловмисного програмного забезпечення очевидною, є деякі попереджувальні ознаки, на які варто звернути увагу. Одним із них є незвичайні мережеві шаблони та сліди, такі як підключення комп’ютера до серверів ботнету. Слід шукати ознаки порушення безпеки в системній пам’яті, а також інші артефакти, які міг залишити шкідливий код.
Безфайловий захист від зловмисного програмного забезпечення
Ось кілька кроків, які компанії можуть вжити, щоб уникнути зараження безфайловим зловмисним програмним забезпеченням або обмежити шкоду в разі зараження:
- Жодних непотрібних функцій і додатків: Сервіси і функції програми, які не використовуються, слід деактивувати. Крім того, компанії повинні видалити програми, які не використовуються або не потрібні для роботи.
- Збереження привілеїв: організації повинні обмежити привілеї для користувачів із правами адміністратора та надавати користувачам лише стільки дозволів, скільки необхідно для виконання їхньої роботи.
- Регулярні оновлення програмного забезпечення: все програмне забезпечення має бути оновленим і регулярно оновлюватися.
- Моніторинг мережевого трафіку: слід відстежувати мережевий трафік і перевіряти журнали активності на наявність аномалій.
- Захист кінцевих точок: організації повинні забезпечити захист кінцевих точок і захистити кожен із цих пристроїв, включаючи віддалені та мобільні пристрої, щоб захистити свою мережу.
- PowerShell: слід також розглянути найкращі методи використання та захисту PowerShell.
- Гігієна паролів: паролі слід змінювати після того, як безфайлове зловмисне програмне забезпечення було виявлено та успішно очищено.
- Навчання співробітників: Ретельне навчання безпеки для кінцевих користувачів також може допомогти запобігти безфайловому зараженню зловмисним програмним забезпеченням.
Безфайлове зловмисне програмне забезпечення легко доступне для зловмисників, оскільки воно часто вже включено в набори експлойтів. Крім того, деякі хакери також пропонують безфайлові атаки шкідливих програм як послугу. Зловмисне програмне забезпечення покладається на прихованість, а не на стійкість, хоча його гнучкість у з’єднанні з іншим шкідливим програмним забезпеченням дозволяє йому робити і те, і інше. Тому організації повинні впроваджувати стратегію безпеки, яка включає багаторівневий підхід передового досвіду, рішень безпеки та навчання співробітників для ефективної боротьби з цими загрозами.
[starboxid=6]