Hvad er Fileless Malware?
I dagens sammenkoblede verden er computersikkerhed af største vigtighed. Med det stigende antal cybertrusler er det vigtigt at holde sig orienteret om de nyeste trusler for at beskytte vores data og systemer.
En af disse nye trusler er filløse malware som er i drastisk stigning.
Slutpunktsteknologierne fra WatchGuard havde "allerede opdaget omkring 80 % af de filløse angreb eller angreb, som de var vidne til i hele 2020" ved udgangen af 2021. Kilde:
Som navnet antyder, er det en type malware, der opererer uden at oprette filer på målsystemet, hvilket gør det svært at opdage og fjerne.
I denne artikel vil vi undersøge filløs malware, hvordan den fungerer, og hvilke foranstaltninger der kan træffes for at beskytte mod den.
Hvad er Fileless Malware?
Filløs malware er en type skadelig kode, der udelukkende opererer i et computersystems hukommelse uden at oprette filer på harddisken. Traditionel malware som f.eks. virus, trojanere og orme er afhængige af filer for at inficere og sprede sig i et system.
I modsætning hertil befinder filløs malware sig i systemets RAM, registreringsdatabasen og andre flygtige lagerområder, hvilket gør det vanskeligt at opdage med konventionel antivirus-software.
Hvordan fungerer filløs malware?
Malware, der ikke bruger filer, opererer ved at trænge ind i computerens hukommelse. Derfor kommer ingen skadelig kode nogensinde ind på din harddisk. Den trænger ind i dit system på en måde, der ligner andre skadelige programmer påfaldende meget.
En hacker kan f.eks. narre et offer til at klikke på et link eller en vedhæftet fil i en phishing-e-mail. For at få offeret til at klikke på den vedhæftede fil eller linket kan angriberen bruge social engineering til at spille på deres følelser. Herefter kommer malware ind i dit system og spredes fra en enhed til en anden.
Angribere kan få adgang til data, som de enten kan stjæle eller udnytte til at hindre en organisations aktiviteter ved hjælp af filløs malware. Fileless malware skjuler sig selv ved hjælp af værktøjer, som systemadministratorer typisk ville have tillid til, herunder Windows-værktøjer til scripting eller PowerShell.
De indgår ofte i en virksomheds liste over tilladte ansøgninger. Filløs malware ødelægger et troværdigt program, hvilket gør det mere vanskeligt at opdage end skadelig software, der findes i en separat fil på harddisken.
Fileless Malware Attack Chain
Da filløs malware opererer i hukommelsen og anvender pålidelige teknologier, forveksler signaturbaseret antivirus-software og indtrængningsdetektionssystemer den ofte med godartet software.
På grund af dens evne til at arbejde i det skjulte, opretholde vedholdenhed og gå ubemærket hen af målorganisationer, der mangler de nødvendige værktøjer, gør den dem stort set uvidende om en fortsat indtrængen.
Virksomhedernes afhængighed af signaturbaserede løsninger til at beskytte deres netværk er en vigtig faktor, der tilskynder CTA'er til at iværksætte filløse malwareangreb mod netværk.
Typer af filløs malware
Her er hvordan Fileless Malware spredes på grund af forskellige typer:
- Hukommelsesbaseret filløs malware er den mest almindelige type filløs malware, som befinder sig i systemets RAM og andre flygtige lagerområder.
- Script-baseret filløs malware bruger scriptsprog, såsom PowerShell eller JavaScript, til at udføre skadelig kode i hukommelsen på et målsystem.
- Makrobaseret filløs malware bruger makroer, der er indlejret i dokumenter, f.eks. Microsoft Office-filer eller PDF-filer, til at udføre skadelig kode i hukommelsen på et målsystem.
- Registerbaseret filløs malware befinder sig i systemets registreringsdatabase, som er en database, der gemmer konfigurationsoplysninger for operativsystemet og installeret software.
Stadier af et filløst angreb
Følgende er de trin, som en angriber kan tage under et filløst angreb:
Oprindelig adgang
Angriberen får indledende adgang til målnetværket gennem phishing eller andre social engineering teknikker.
Udførelse
Angriberen leverer den skadelige kode til en eller flere computere i målnetværket ved hjælp af forskellige teknikker (f.eks. via en vedhæftet e-mail). Den skadelige kode kører i hukommelsen uden at røre disken. Dette gør det vanskeligt for antivirusprogrammer at opdage angrebet og forhindre det i at lykkes.
Vedholdenhed
Angriberne installerer værktøjer (f.eks. PowerShell-scripts), der giver dem mulighed for at bevare adgangen til netværket, selv efter at de har forladt deres oprindelige indgangspunkt, eller efter at deres oprindelige malware er blevet fjernet fra alle inficerede enheder.
Disse værktøjer kan bruges til at udføre angreb mod det samme netværk uden at blive opdaget af antivirusprogrammer, fordi de ikke efterlader spor på disken eller i hukommelsen, når de har afsluttet deres opgave med at installere nye malware-komponenter eller udføre andre opgaver, der kræver administrative rettigheder på målsystemerne.
Mål
Når en angriber har etableret persistens på et offers maskine, kan han begynde at arbejde hen imod sit ultimative mål: at stjæle data eller penge fra ofrenes bankkonti, exfiltrere følsomme data eller andre skadelige aktiviteter.
Målene for et filløst angreb er ofte meget lig dem for traditionelle angreb: stjæle adgangskoder, stjæle legitimationsoplysninger eller på anden måde få adgang til systemer i et netværk; exfiltrere data fra et netværk; installere ransomware eller anden malware på systemer; udføre kommandoer eksternt osv.
Hvordan beskytter man sig mod filløs malware?
Nu må du være bekymret for, hvordan du kan redde dig selv fra denne alvorlige trussel. Her er, hvordan du kan være på den sikre side:
Hold din software opdateret: Filløs malware er afhængig af at udnytte sårbarheder i legitime softwareprogrammer. Hvis du holder din software opdateret med de nyeste sikkerhedsrettelser og opdateringer, kan du forhindre angribere i at udnytte kendte sårbarheder.
Brug antivirus-software: Mens traditionelt antivirusprogram måske ikke er effektivt mod filløs malware, kan specialiserede løsninger til beskyttelse af slutpunktet, såsom adfærdsbaseret registrering eller programkontrol, hjælpe med at opdage og forhindre angreb med filløs malware.
Brug mindst mulig privilegier: Filløs malware kræver ofte administrative rettigheder for at udføre angreb. Ved at bruge princippet om mindste privilegier, som begrænser brugernes adgang til det minimumsniveau, der kræves for at udføre deres arbejde, kan du hjælpe med at reducere virkningen af filløse malwareangreb.
Implementere netværkssegmentering: Netværkssegmentering indebærer opdeling af et netværk i mindre, isolerede segmenter, der hver især har deres egne sikkerhedspolitikker og adgangskontroller. Implementering af netværkssegmentering kan hjælpe med at begrænse spredningen af filløse malware-angreb og dermed begrænse deres indvirkning på organisationen.
Dommen
Filløs malware er et meget sofistikeret cyberangreb, der udgør en betydelig trussel mod computersystemer og netværk. I modsætning til traditionel malware opererer filløs malware udelukkende i hukommelsen på et målsystem, hvilket gør det vanskeligt at opdage og fjerne ved hjælp af konventionel antivirussoftware.
For at beskytte mod filløs malware er det vigtigt at holde softwaren opdateret, bruge specialiserede løsninger til beskyttelse af slutpunkter, implementere princippet om mindste privilegier og anvende netværkssegmentering. I takt med at cybertruslerne udvikler sig, er det afgørende at holde sig orienteret om de nyeste angrebsteknikker og træffe proaktive foranstaltninger for at beskytte vores data og systemer.
- Top 5 over cybersikkerhedsadministrerede tjenester i 2023 - 29. maj 2023
- Hvordan planlægger man en glidende overgang fra DMARC None til DMARC Reject? - 26. maj 2023
- Hvordan tjekker du dit domænes sundhed? - 26. maj 2023