Атаки, защита и обнаружение вредоносных программ без файлов

Вредоносные программы

Вредоносное ПО без файлов может быть новым термином для большинства, но индустрия безопасности знает его уже много лет. Ранее в этом году более 140 предприятий по всему миру пострадали от этого бесфайлового вредоносного ПО, включая банки, телекоммуникации и правительственные организации. Вредоносное ПО без файлов, как следует из названия, является разновидностью вредоносного ПО, которое не касается диска и не использует какие-либо файлы в процессе. Это загружается в контексте законного процесса. Тем не менее, некоторые фирмы по безопасности утверждают, что атака без файлов оставляет небольшой бинарный файл на компрометирующем хосте для запуска атаки вредоносного ПО. За последние несколько лет такие атаки значительно возросли, и они более рискованны, чем традиционные атаки вредоносных программ.

Атаки вредоносного ПО без файлов

Атаки без вредоносных программ, также известные как Атаки без вредоносного ПО . Они используют типичный набор методов для проникновения в ваши системы без использования какого-либо обнаруживаемого вредоносного файла. За последние несколько лет злоумышленники стали умнее и разработали много разных способов запуска атаки.

Вирусы без файлов заражают компьютеры, не оставляя файлов на локальном жестком диске, обходя традиционные инструменты безопасности и криминалистики.

Уникальной особенностью этой атаки является использование сложного вредоносного программного обеспечения, которое может находиться исключительно в памяти скомпрометированной машины, не оставляя следов в файловой системе машины. Вирус без файлов позволяет злоумышленникам уклоняться от обнаружения с помощью большинства решений для обеспечения безопасности конечных точек, основанных на статическом анализе файлов (антивирусы). По словам Microsoft, последние достижения в области вредоносных программ без файлов показывают, что разработчики сместили акцент с маскировки сетевых операций на предотвращение обнаружения при выполнении бокового движения внутри инфраструктуры жертвы.

Вредоносная программа, не содержащая файлов, находится в оперативной памяти вашей компьютерной системы, и ни одна антивирусная программа не проверяет память напрямую, поэтому злоумышленники безопаснее всего проникнуть в ваш компьютер и украсть все ваши данные. Даже лучшие антивирусные программы иногда пропускают вредоносные программы, работающие в памяти.

Вот некоторые из недавних инфекций вредоносного ПО без файлов, которые инфицировали компьютерные системы по всему миру: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 и т. Д.

Как работает Fileless Malware

Вредоносная программа без файлов, когда она попадает в память , может развертывать встроенные встроенные инструменты Windows и системного администратора, такие как PowerShell , SC.exe и netsh.exe для запуска вредоносного кода и получения доступа администратора к вашей системе для выполнения команд и кражи ваших данных. Вредоносные программы без файлов иногда могут также скрываться в руткитах или в реестре операционной системы Windows.

Злоумышленники используют кэш миниатюр Windows, чтобы скрыть вредоносный механизм. Тем не менее, вредоносному ПО все еще нужен статический двоичный файл для входа в хост-компьютер, и электронная почта является наиболее распространенным средством, используемым для этого. Когда пользователь нажимает на вредоносное вложение, он записывает зашифрованный файл полезной нагрузки в реестр Windows.

Также известно, что безфайловое вредоносное ПО использует такие инструменты, как Mimikatz и Metaspoilt , чтобы ввести код в память вашего ПК и прочитать данные, хранящиеся там. Эти инструменты помогают злоумышленникам глубже проникнуть в ваш компьютер и украсть все ваши данные.

Поведенческая аналитика и вредоносные программы

Поскольку большинство обычных антивирусных программ используют сигнатуры для идентификации файла вредоносного ПО, безфайловое вредоносное ПО трудно обнаружить. Таким образом, охранные фирмы используют поведенческую аналитику для обнаружения вредоносных программ. Это новое решение безопасности предназначено для борьбы с предыдущими атаками и поведением пользователей и компьютеров. Любое ненормальное поведение, которое указывает на вредоносный контент, затем уведомляется с помощью предупреждений.

Когда никакое решение для конечной точки не может обнаружить вредоносное вредоносное программное обеспечение, поведенческая аналитика обнаруживает любое аномальное поведение, такое как подозрительная активность при входе в систему, необычное рабочее время или использование какого-либо нетипичного ресурса. Это решение для обеспечения безопасности собирает данные о событиях во время сеансов, когда пользователи используют любое приложение, просматривают веб-сайт, играют в игры, общаются в социальных сетях и т. Д.

Безфайловое вредоносное ПО станет только умнее и распространеннее. По словам Microsoft, обычным методам и инструментам, основанным на сигнатурах, будет сложнее обнаружить этот сложный, невидимый тип вредоносных программ.

Как защитить от вредоносных программ и обнаружить их

Следуйте основным мерам предосторожности, чтобы обезопасить свой компьютер с Windows:

  • Примените все последние обновления Windows – особенно обновления безопасности для вашей операционной системы.
  • Убедитесь, что все установленное программное обеспечение исправлено и обновлено до последних версий.
  • Используйте хороший продукт для обеспечения безопасности, который может эффективно сканировать память вашего компьютера, а также блокировать вредоносные веб-страницы, на которых могут размещаться эксплойты. Он должен обеспечивать мониторинг поведения, сканирование памяти и защиту загрузочного сектора.
  • Будьте осторожны перед загрузкой любых вложений электронной почты. Это сделано для того, чтобы избежать загрузки полезной нагрузки.
  • Используйте надежный брандмауэр, который позволяет эффективно контролировать сетевой трафик.

Если вам нужно узнать больше по этой теме, обратитесь в Microsoft и ознакомьтесь с этим техническим документом McAfee.

Оцените статью
TechArks.Ru
Добавить комментарий