Hva er fileless malware?
I dagens sammenkoblede verden er datasikkerhet av største betydning. Med det økende antallet cybertrusler er det viktig å holde seg informert om de nyeste truslene for å beskytte dataene og systemene våre.
En slik ny trussel er filløs skadelig programvare øker drastisk.
Sluttpunktteknologiene fra WatchGuard hadde "allerede oppdaget rundt 80 % av de filøse eller landbaserte angrepene som [de] var vitne til i hele 2020" innen utgangen av 2021. Kilde
Som navnet antyder, er det en type skadevare som opererer uten å opprette filer på målsystemet, noe som gjør den vanskelig å oppdage og fjerne.
I denne artikkelen ser vi nærmere på filløs skadevare, hvordan den fungerer og hvilke tiltak som kan iverksettes for å beskytte seg mot den.
Hva er fileless malware?
Filløs skadevare er en type ondsinnet kode som opererer utelukkende i minnet til et datasystem uten å opprette filer på harddisken. Tradisjonell skadevare, som virus, trojanere og ormer, er avhengig av filer for å infisere og spre seg i et system.
Filløs skadevare ligger derimot i systemets RAM, register og andre flyktige lagringsområder, noe som gjør den vanskelig å oppdage ved hjelp av konvensjonell antivirusprogramvare.
Hvordan fungerer filløs skadelig programvare?
Skadevare som ikke bruker filer, opererer ved å gå inn i datamaskinens minne. Derfor havner aldri skadelig kode på harddisken din. Den kommer inn i systemet ditt på en påfallende lik måte som annen skadelig programvare.
For eksempel kan en hacker lure et offer til å klikke på en lenke eller et vedlegg i en phishing-e-post. For å få offeret til å klikke på vedlegget eller lenken, kan angriperen bruke sosial manipulering for å spille på følelsene deres. Deretter kommer skadevaren inn i systemet ditt og sprer seg fra en enhet til en annen.
Angripere kan få tilgang til data de enten kan stjele eller utnytte for å hindre en organisasjons aktiviteter ved hjelp av filløs skadevare. Filløs skadevare skjuler seg ved hjelp av verktøy som systemadministratorer vanligvis stoler på, inkludert Windows-skriptverktøy eller PowerShell.
De er ofte inkludert i en virksomhets liste over tillatte programmer. Filøs skadevare ødelegger et pålitelig program, noe som gjør det vanskeligere å oppdage enn skadelig programvare som ligger i en egen fil på harddisken.
Filløs angrepskjede for skadelig programvare
Ettersom filløs skadevare opererer i minnet og bruker pålitelige teknologier, forveksles den ofte med godartet programvare av signaturbasert antivirusprogramvare og inntrengningsdeteksjonssystemer.
På grunn av dens evne til å arbeide i det skjulte, opprettholde utholdenhet og gå ubemerket hen av målorganisasjoner som mangler de nødvendige verktøyene, gjør den dem i hovedsak uvitende om en fortsatt inntrenging.
Virksomheters avhengighet av signaturbaserte løsninger for å beskytte nettverkene sine er en nøkkelfaktor som oppmuntrer CTA-er til å iverksette filbaserte skadevareangrep mot nettverk.
Typer filbasert skadelig programvare
Slik sprer Fileless Malware seg på grunn av forskjellige typer:
- Minnebasert filbasert skadevare er den vanligste typen filløs skadevare, som ligger i systemets RAM og andre flyktige lagringsområder.
- Skriptbasert filløs skadevare bruker skriptspråk, som PowerShell eller JavaScript, for å kjøre skadelig kode i minnet til et målsystem.
- Makrobasert filbasert skadevare bruker makroer innebygd i dokumenter, for eksempel Microsoft Office-filer eller PDF-filer, for å kjøre skadelig kode i minnet til et målsystem.
- Registerbasert filbasert skadevare ligger i systemets register, en database som lagrer konfigurasjonsinformasjon for operativsystemet og installert programvare.
Stadier av et filløst angrep
Følgende er trinn som en angriper kan ta under et filløst angrep:
Innledende tilgang
Angriperen skaffer seg innledende tilgang til målnettverket gjennom phishing eller annet sosial manipulering teknikker.
Gjennomføring
Angriperen leverer den ondsinnede koden til en eller flere datamaskiner i målnettverket ved hjelp av flere teknikker (for eksempel gjennom et e-postvedlegg). Den ondsinnede koden kjøres i minnet uten å berøre disken. Dette gjør det vanskelig for antivirusprogramvare å oppdage angrepet og forhindre at det lykkes.
Utholdenhet
Angriperne installerer verktøy (for eksempel PowerShell-skript) som lar dem opprettholde tilgangen til nettverket selv etter at de har forlatt det opprinnelige inngangspunktet eller etter at den opprinnelige skadevaren er fjernet fra alle infiserte enheter.
Disse verktøyene kan brukes til å utføre angrep mot det samme nettverket uten å bli oppdaget av antivirusprogramvare fordi de ikke etterlater seg spor på disken eller i minnet når de har fullført oppgaven med å installere nye skadevarekomponenter eller utføre andre oppgaver som krever administrative rettigheter på målrettede systemer.
Mål
Når en angriper har etablert utholdenhet på offerets maskin, kan han begynne å jobbe mot sitt endelige mål: å stjele data eller penger fra ofrenes bankkontoer, eksfiltrere sensitive data eller andre ondsinnede aktiviteter.
Målene for et filløst angrep er ofte svært like målene for tradisjonelle angrep: stjele passord, stjele legitimasjon eller på annen måte få tilgang til systemer i et nettverk; eksfiltrere data fra et nettverk; installere løsepengevirus eller annen skadevare på systemer; utføre kommandoer eksternt; og så videre.
Hvordan beskytte seg mot skadelig programvare uten fil?
Nå må du være bekymret for hvordan du kan redde deg selv fra denne alvorlige trusselen. Slik kan du være på den sikre siden:
Hold programvaren oppdatert: Filøs skadevare er avhengig av å utnytte sårbarheter i legitime programvareapplikasjoner. Ved å holde programvaren oppdatert med de nyeste sikkerhetsoppdateringene kan du bidra til å hindre angripere i å utnytte kjente sårbarheter.
Bruk antivirusprogramvare: Selv om tradisjonell antivirusprogramvare kanskje ikke er effektiv mot filbasert skadevare, kan spesialiserte løsninger for endepunktsbeskyttelse, for eksempel atferdsbasert deteksjon eller applikasjonskontroll, bidra til å oppdage og forhindre filbaserte skadevareangrep.
Bruk minst mulig privilegier: Filøs skadevare krever ofte administratorrettigheter for å utføre angrep. Bruk av prinsippet om minste privilegium, som begrenser brukertilgangen til det minimumsnivået som kreves for å utføre jobben, kan bidra til å redusere virkningen av filøse skadevareangrep.
Implementere nettverkssegmentering: Nettverkssegmentering innebærer å dele et nettverk inn i mindre, isolerte segmenter, hvert med sine egne sikkerhetsretningslinjer og tilgangskontroller. Implementering av nettverkssegmentering kan bidra til å begrense spredningen av filøse skadevareangrep og begrense deres innvirkning på organisasjonen.
Dommen
Filøs skadevare er et svært sofistikert cyberangrep som utgjør en betydelig trussel mot datasystemer og nettverk. I motsetning til tradisjonell skadevare opererer filløs skadevare utelukkende i minnet til et målsystem, noe som gjør den utfordrende å oppdage og fjerne ved hjelp av konvensjonell antivirusprogramvare.
For å beskytte mot filløs skadevare er det viktig å holde programvaren oppdatert, bruke spesialiserte løsninger for endepunktsbeskyttelse, implementere prinsippet om minste privilegium og bruke nettverkssegmentering. Etter hvert som cybertruslene utvikler seg, er det avgjørende å holde seg informert om de nyeste angrepsteknikkene og treffe proaktive tiltak for å beskytte dataene og systemene våre.
- Hva er en phishing-e-post? Vær på vakt og unngå å gå i fellen! - 31. mai 2023
- Løs "DKIM ingen melding ikke signert"- Feilsøkingsveiledning - 31. mai 2023
- Fix SPF Permerror: Overvinne SPF for mange DNS-oppslagsgrenser - 30. mai 2023