Безфайловият злонамерен софтуер^{(Fileless Malware)} може да е нов термин за повечето, но индустрията за сигурност го познава от години. Миналата година над 140 предприятия по целия свят бяха засегнати от този безфайлов злонамерен софтуер –^{(Fileless Malware –)} включително банки, телекомуникации и правителствени организации. Безфайловият злонамерен софтуер^{(Fileless Malware)} , както обяснява името, е вид зловреден софтуер, който не докосва диска и не използва никакви файлове в процеса. Той се зарежда в контекста на легитимен процес. Някои фирми за сигурност обаче твърдят, че атаката без файл оставя малък двоичен файл в компрометиращия хост, за да започне атаката на зловреден софтуер. Такива атаки са отбелязали значителен ръст през последните няколко години и са по-рискови от традиционните атаки на зловреден софтуер.

Безфайлови злонамерени атаки

Безфайлови^{(Fileless Malware)} атаки на злонамерен софтуер, известни също като атаки без злонамерен софтуер^{(Non-Malware attacks)} . Те използват типичен набор от техники, за да влязат във вашите системи, без да използват откриваем зловреден софтуер. През последните няколко години нападателите станаха по-умни и разработиха много различни начини за стартиране на атаката.

Безфайловият^(Fileless) злонамерен софтуер заразява компютрите, оставяйки след себе си никакви файлове на локалния твърд диск, заобикаляйки традиционните инструменти за сигурност и криминалистика.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Безфайловият злонамерен софтуер се намира в паметта с произволен достъп^{(Random Access Memory)} на вашата компютърна система и нито една антивирусна програма не проверява директно паметта – така че това е най-безопасният режим за нападателите да нахлуят във вашия компютър и да откраднат всичките ви данни. Дори и най-добрите антивирусни програми понякога пропускат зловреден софтуер, работещ в паметта.

Някои от скорошните инфекции без зловреден софтуер^{(Fileless Malware)} , които заразиха компютърни системи по целия свят, са – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 и др.

Как работи безфайловият злонамерен софтуер

Безфайловият злонамерен софтуер, когато попадне в паметта^(Memory) , може да разгърне вашите собствени и системни административни вградени инструменти на Windows като ^(Windows)PowerShell , SC.exe и netsh.exe , за да стартира злонамерения код и да получи администраторски достъп до вашата система, така че да пренася извадете командите и откраднете вашите данни. Безфайловият злонамерен софтуер^{(Fileless Malware)} понякога може да се скрие и в руткитите^{(Rootkits)(Rootkits)} или в системния регистър^(Registry) на операционната система Windows.

Веднъж влезли, нападателите използват кеша на миниатюрите на Windows^{(Windows Thumbnail)} , за да скрият механизма на злонамерен софтуер. Въпреки това, зловредният софтуер все още се нуждае от статичен двоичен файл, за да влезе в хост компютъра, а имейлът е най-разпространеният носител, използван за същото. Когато потребителят щракне върху злонамерения прикачен файл, той записва криптиран файл с полезен товар в системния регистър^{(Windows Registry)} на Windows .

^{(Fileless Malware)}Известно е също, че безфайловият злонамерен софтуер използва инструменти като Mimikatz и Metaspoilt , за да инжектира кода в паметта на вашия компютър и да чете съхраняваните там данни. Тези инструменти помагат на нападателите да проникнат по-дълбоко във вашия компютър и да откраднат всичките ви данни.

Поведенчески анализи и безфайлов^(Fileless) зловреден софтуер

Тъй като повечето от обикновените антивирусни програми използват подписи за идентифициране на файл със зловреден софтуер, безфайловият злонамерен софтуер е труден за откриване. По този начин фирмите за сигурност използват поведенчески анализи за откриване на зловреден софтуер. Това ново решение за сигурност е предназначено да се справи с предишните атаки и поведението на потребителите и компютрите. Всяко необичайно поведение, което сочи към злонамерено съдържание, след това се уведомява с предупреждения.

Когато нито едно решение за крайна точка не може да открие безфайловия злонамерен софтуер, поведенческият анализ открива всяко аномално поведение, като подозрителна активност при влизане, необичайно работно време или използване на какъвто и да е нетипичен ресурс. Това решение за сигурност улавя данните за събитията по време на сесиите, при които потребителите използват всяко приложение, разглеждат уебсайт, играят игри, взаимодействат в социалните медии и т.н.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Как да се защитим и открием безфайлов злонамерен софтуер^{(Fileless Malware)}

Следвайте основните предпазни мерки, за да защитите компютъра си с Windows^{(precautions to secure your Windows computer)} :

• Прилагайте^(Apply) всички най-нови актуализации на Windows –^{(Windows Updates –)} особено актуализациите за защита на вашата операционна система.
• Уверете^(Make) се, че целият ви инсталиран софтуер е коригиран и актуализиран до най-новите им версии
• Използвайте добър продукт за сигурност, който може ефективно да сканира паметта на вашия компютър и също така да блокира злонамерени уеб страници, които може да хостват Exploits . Той трябва да предлага мониторинг на поведението^(Behavior) , сканиране на паметта и защита на ^(Memory)сектора за стартиране^{(Boot Sector)} .
• Бъдете внимателни, преди да изтеглите всякакви прикачени файлове към имейл^{(downloading any email attachments)} . Това е за да избегнете изтеглянето на полезния товар.
• Използвайте силна защитна стена^(Firewall) , която ви позволява ефективно да контролирате мрежовия^(Network) трафик.

Прочетете по-нататък^{(Read next)} : Какво представляват атаките на Living Off The Land^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване

• Как да избегнем фишинг измами и атаки?

• Какво е троянски кон за отдалечен достъп? Предотвратяване, откриване и отстраняване

• Кибер атаки – определение, видове, превенция

• Crystal Security е безплатен облачно базиран инструмент за откриване на злонамерен софтуер за компютър

• Проверете дали компютърът ви е заразен от ASUS Update Malware

• Безплатни инструменти за премахване на зловреден софтуер за премахване на специфичен вирус в Windows 11/10

• Какво е Win32:BogEnt и как да го премахнете?

• Процес на логото на Microsoft Windows в диспечера на задачите; Вирус ли е?

• Най-добрите онлайн скенери за злонамерен софтуер за сканиране на файл

• Мошен софтуер за сигурност или Scareware: Как да проверите, предотвратите, премахнете?

• Поправете грешка при неуспешно търсене при стартиране на Chrome Malware Scanner

• Как да използвате Malwarebytes Anti-Malware за премахване на зловреден софтуер

• Cryptojacking новата заплаха за копаене на браузъра, за която трябва да знаете

• Какво е руткит? Как работят руткитите? Руткитите са обяснени.

• Какво е бекдор атака? Значение, примери, определения

• Посоченият модул не може да бъде намерен грешка в Windows 11/10

• Най-добрите скенери за вируси и злонамерен софтуер ГАРАНТИРАНО да елиминират всеки вирус

• Как да премахнете зловреден софтуер от телефон с Android

• Пакет софтуер: определение, превенция, ръководство за премахване