Sophos розшифровує ДНК безфайлового зловмисного програмного забезпечення та представляє нову технологію захисту. Dynamic Shellcode Protection виявляє зловмисне програмне забезпечення, яке працює у тимчасовому сховищі, наприклад програми-вимагачі або агенти віддаленого доступу, блокуючи популярну техніку злому для обходу програм захисту.
Sophos представляє свій новий захист від кібератак, під час яких зловмисне програмне забезпечення завантажується без файлів у тимчасовій пам’яті ураженого комп’ютера. Dynamic Shellcode Protection вбудовано в Sophos Intercept X і може запобігти вкладенню коду атаки в область динамічної купи пам’яті.
Пам'ять: популярне місце для зловмисних програм
Область пам’яті зламаного комп’ютера є популярним місцем приховування зловмисного програмного забезпечення, оскільки перевірки безпеки зазвичай не охоплюють пам’ять. У результаті зловмисне програмне забезпечення з меншою ймовірністю буде виявлено та заблоковано. Типи зловмисних програм, які намагаються активувати таким чином, включають програми-вимагачі та агенти віддаленого доступу. Останні часто стають основою для майбутньої атаки, чим швидше вони будуть виявлені та заблоковані, тим краще. За допомогою Dynamic Shellcode Protection дослідники Sophos тепер знайшли спосіб захисту від такого безфайлового шкідливого програмного забезпечення на основі його поведінки. Суть проблеми полягає у відкритті того, що ці конкретні коди атаки демонструють загальну поведінку в пам’яті, незалежно від конкретного типу коду чи його призначення. У публікації в блозі "Прихований код стикається з купою проблем із пам'яттю" дослідники Sophos детально описують своє відкриття.
Як працює Sophos Dynamic Shellcode Protection
Код програм із правами виконання зазвичай завантажується в пам’ять. Крім того, програми зазвичай вимагають додаткового тимчасового робочого простору в пам’яті, наприклад, для розпакування або зберігання даних. Ця змінна робоча область називається пам'яттю "куча". У більшості кібератак завантажувач для агента віддаленого доступу вставляється безпосередньо в купу. Це має отримати більше виконуваної пам’яті з купи, щоб задовольнити потреби агента віддаленого доступу. Це називається поведінкою розподілу пам'яті "куча-купа". Фахівці з безпеки Sophos визначили таку поведінку як явний показник потенційно підозрілої активності та розробили Dynamic Shellcode Protection, захист, який блокує дозволи на виконання з однієї купи пам’яті в іншу.
Зловмисне програмне забезпечення в пам’яті часто залишається непоміченим
«Шкідливий код завжди намагається уникнути виявлення, наприклад, маскуючись і упаковуючи безпосередньо в пам’ять. Такий код часто не розпізнається засобами безпеки, навіть якщо він витягнутий. Дослідники судової експертизи та безпеки Sophos визнали, що розподіл пам’яті «від купи до купи» є дуже типовою дією багатоетапних агентів віддаленого доступу та іншого коду атак», — сказав Марк Ломан, директор з розробки Sophos. «Основна мета полягає в тому, щоб зловмисники не скомпрометували окремі комп’ютери або всю мережу. Ось чому зловмисне програмне забезпечення має бути виявлено дуже рано, щоб запобігти, наприклад, доступу до облікових даних, ескалації прав, бічних переміщень у мережі або збору, обміну та перекачування інформації. Завдяки Dynamic Shellcode Protection ми тепер можемо ще ефективніше задовольняти ці вимоги».
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.