Vad är Fileless Malware?
I dagens sammankopplade värld är datasäkerhet av yttersta vikt. Med det ökande antalet cyberhot är det viktigt att hålla sig informerad om de senaste hoten för att skydda våra data och system.
Ett sådant framväxande hot är fillösa skadlig kod som ökar drastiskt.
WatchGuards teknik för slutpunkter hade "redan upptäckt cirka 80 % av de fillösa eller landbaserade angrepp som de bevittnade under hela 2020" i slutet av 2021. Källa
Som namnet antyder är det en typ av skadlig kod som fungerar utan att skapa filer på målsystemet, vilket gör den svår att upptäcka och ta bort.
I den här artikeln kommer vi att utforska fillös skadlig kod, hur den fungerar och vilka åtgärder som kan vidtas för att skydda dig mot den.
Vad är Fileless Malware?
Fillös skadlig kod är en typ av skadlig kod som fungerar helt och hållet i minnet av ett datorsystem utan att skapa några filer på hårddisken. Traditionell skadlig kod, t.ex. virus, trojaner och maskar, är beroende av filer för att infektera och sprida sig i ett system.
Fillös skadlig kod finns däremot i systemets RAM-minne, register och andra flyktiga lagringsområden, vilket gör det svårt att upptäcka den med konventionell antivirusprogramvara.
Hur fungerar Fileless Malware?
Skadlig kod som inte använder filer fungerar genom att ta sig in i datorns minne. Därför hamnar ingen skadlig kod på din hårddisk. Den kommer in i ditt system på ett slående liknande sätt som annan skadlig programvara.
En hackare kan till exempel lura ett offer att klicka på en länk eller en bilaga i en phishing-e-post. För att få offret att klicka på bilagan eller länken kan angriparen använda sig av social ingenjörskonst för att spela på offrets känslor. Därefter kommer skadlig kod in i ditt system och sprids från en enhet till en annan.
Angripare kan få tillgång till data som de antingen kan stjäla eller utnyttja för att hindra en organisations verksamhet med hjälp av fillös skadlig kod. Fillös skadlig kod döljer sig med hjälp av verktyg som systemadministratörer vanligtvis litar på, inklusive Windows-skriptverktyg eller PowerShell.
De ingår ofta i ett företags lista över tillåtna ansökningar. Fillös skadlig programvara skadar ett pålitligt program, vilket gör det svårare att upptäcka än skadlig programvara som finns i en separat fil på hårddisken.
Attackkedja för fillös skadlig programvara
Eftersom fillös skadlig kod opererar i minnet och använder sig av betrodda tekniker, förväxlar signaturbaserad antivirusprogramvara och intrångsdetekteringssystem den ofta med godartad programvara.
På grund av dess förmåga att arbeta i det fördolda, upprätthålla uthållighet och gå obemärkt för målorganisationer som saknar de nödvändiga verktygen, gör den dem i princip omedvetna om ett pågående intrång.
Företagens tillit till signaturbaserade lösningar för att skydda sina nätverk är en viktig faktor som uppmuntrar CTA:s att lansera fillösa malware-attacker mot nätverk.
Typer av fillös skadlig programvara
Här är hur Fileless Malware sprids på grund av olika typer:
- Minnesbaserad fillös skadlig kod är den vanligaste typen av fillös skadlig kod som finns i systemets RAM-minne och andra flyktiga lagringsområden.
- Skriptbaserad fillös skadlig kod använder skriptspråk som PowerShell eller JavaScript för att köra skadlig kod i minnet på ett målsystem.
- Makrobaserad fillös skadlig kod använder makron som är inbäddade i dokument, t.ex. Microsoft Office-filer eller PDF-filer, för att köra skadlig kod i minnet på ett målsystem.
- Registerbaserad fillös skadlig kod finns i systemets register, en databas som lagrar konfigurationsinformation för operativsystemet och installerad programvara.
Stadier av ett fillöst angrepp
Följande är steg som en angripare kan ta under en fillös attack:
Första åtkomst
Angriparen får initialt tillträde till målnätverket genom nätfiske eller andra social ingenjörskonst tekniker.
Genomförande
Angriparen levererar den skadliga koden till en eller flera datorer i målnätverket med hjälp av olika tekniker (t.ex. genom en e-postbilaga). Den skadliga koden körs i minnet utan att röra disken. Detta gör det svårt för antivirusprogram att upptäcka attacken och förhindra att den lyckas.
Uthållighet
Angriparna installerar verktyg (t.ex. PowerShell-skript) som gör det möjligt för dem att behålla åtkomsten till nätverket även efter att de har lämnat den ursprungliga ingångspunkten eller efter att deras ursprungliga skadlig kod har avlägsnats från alla infekterade enheter.
Dessa verktyg kan användas för att utföra attacker mot samma nätverk utan att upptäckas av antivirusprogram eftersom de inte lämnar några spår på disk eller i minnet när de har installerat nya skadliga komponenter eller utfört andra uppgifter som kräver administrativa rättigheter på målsystemen.
Mål
När en angripare har etablerat sig på offrets dator kan han börja arbeta mot sitt slutgiltiga mål: stjäla data eller pengar från offrens bankkonton, exfiltrera känsliga data eller annan skändlig verksamhet.
Målen för en fillös attack är ofta mycket lika dem för traditionella attacker: stjäla lösenord, stjäla autentiseringsuppgifter eller på annat sätt få tillgång till system i ett nätverk, exfiltrera data från ett nätverk, installera utpressningstrojaner eller annan skadlig kod på system, utföra kommandon på distans och så vidare.
Hur skyddar man sig mot fillösa skadliga program?
Nu måste du vara orolig för hur du ska kunna rädda dig från detta allvarliga hot. Här är hur du kan vara på den säkra sidan:
Håll din programvara uppdaterad: Fillös skadlig kod bygger på att utnyttja sårbarheter i legitima programvaror. Genom att hålla din programvara uppdaterad med de senaste säkerhetsläpparna och uppdateringarna kan du förhindra att angripare utnyttjar kända sårbarheter.
Använd antivirusprogram: Även om traditionell antivirusprogramvara kanske inte är effektiv mot fillös skadlig kod, kan specialiserade skyddslösningar för slutpunkter, t.ex. beteendebaserad upptäckt eller programkontroll, hjälpa till att upptäcka och förhindra attacker av fillös skadlig kod.
Använd minsta privilegium: Fillös skadlig kod kräver ofta administrativa privilegier för att utföra attacker. Genom att använda principen om minsta möjliga privilegier, som begränsar användarnas tillgång till den lägsta nivå som krävs för att utföra sitt arbete, kan man minska effekterna av angrepp med fillös skadlig kod.
Implementera segmentering av nätverk: Nätverkssegmentering innebär att ett nätverk delas upp i mindre, isolerade segment, vart och ett med sina egna säkerhetsprinciper och åtkomstkontroller. Genom att implementera nätverkssegmentering kan man begränsa spridningen av fillösa malware-attacker och begränsa deras inverkan på organisationen.
Domen
Fillös skadlig kod är en mycket sofistikerad cyberattack som utgör ett stort hot mot datorsystem och nätverk. Till skillnad från traditionell skadlig kod fungerar fillös skadlig kod helt och hållet i minnet på ett målsystem, vilket gör det svårt att upptäcka och ta bort den med hjälp av konventionell antivirusprogramvara.
För att skydda sig mot fillös skadlig kod är det viktigt att hålla programvaran uppdaterad, använda specialiserade lösningar för slutpunktsskydd, tillämpa principen om minsta möjliga privilegier och använda nätverkssegmentering. Eftersom cyberhot utvecklas är det viktigt att hålla sig informerad om de senaste attackmetoderna och vidta proaktiva åtgärder för att skydda våra data och system.