Windows

การโจมตีมัลแวร์ Fileless, การป้องกันและการตรวจหา

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ

สารบัญ:

Anonim

Maleless Fileless อาจเป็นคำใหม่สำหรับอุตสาหกรรมการรักษาความปลอดภัย แต่อย่างใด เมื่อต้นปีที่ผ่านมา 140 องค์กรทั่วโลกได้รับความเสียหายจากมัลแวร์ Fileless ซึ่ง ได้แก่ ธนาคารธนาคารและองค์กรภาครัฐ มัลแวร์ Fileless เป็นชื่ออธิบายเป็นมัลแวร์ประเภทหนึ่งซึ่งไม่ได้ใช้ไฟล์ใด ๆ ในกระบวนการนี้ อย่างไรก็ตาม บริษัท รักษาความปลอดภัยบางแห่งอ้างว่าการโจมตีที่ไม่มีข้อหาจะทำให้ไบนารีขนาดเล็กในโฮสต์ที่เป็นอันตรายต่อการโจมตีมัลแวร์ การโจมตีดังกล่าวมีการเพิ่มขึ้นอย่างมากในช่วง 2-3 ปีที่ผ่านมาและมีความเสี่ยงมากกว่าการโจมตีมัลแวร์แบบเดิม

การโจมตีของ Fileless Malware

มัลแวร์ที่ไม่มีชื่อ Fileless เรียกอีกอย่างว่า การโจมตีที่ไม่ใช่มัลแวร์ พวกเขาใช้ชุดเทคนิคทั่วไปเพื่อเข้าระบบของคุณโดยไม่ใช้ไฟล์มัลแวร์ใด ๆ ที่ตรวจพบได้ ในช่วงไม่กี่ปีที่ผ่านมาผู้บุกรุกได้กลายเป็นคนฉลาดและได้พัฒนาวิธีต่างๆมากมายในการเริ่มโจมตี

มัลแวร์ Fileless ส่งผลให้คอมพิวเตอร์ที่ทิ้งไฟล์ไว้ในฮาร์ดไดรฟ์ภายในไม่ต้องพึ่งพาเครื่องมือรักษาความปลอดภัยแบบเดิม ๆ และเครื่องมือนิติวิทยาศาสตร์

สิ่งที่ไม่เหมือนใครเกี่ยวกับการโจมตีนี้คือการใช้ซอฟท์แวร์ที่เป็นอันตรายซึ่งเป็นซอฟต์แวร์ที่มีความซับซ้อนซึ่งจะอยู่ในหน่วยความจำของเครื่องที่ถูกบุกรุกโดยไม่ทิ้งร่องรอยไว้ในระบบไฟล์ของเครื่อง มัลแวร์ Fileless ช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยแบบ end-point ซึ่งใช้การวิเคราะห์ไฟล์แบบสถิต (Anti-Virus) ความก้าวหน้าล่าสุดในมัลแวร์ Fileless แสดงให้เห็นว่านักพัฒนาซอฟต์แวร์มุ่งเน้นที่จะเปลี่ยนการปลอมแปลงการดำเนินงานเครือข่ายเพื่อหลีกเลี่ยงการตรวจจับในระหว่างการดำเนินการเคลื่อนไหวด้านข้างภายในโครงสร้างพื้นฐานของผู้บุกรุกกล่าวโดย Microsoft

มัลแวร์ที่ไร้บ้านมีอยู่ใน Random Access Memory ของระบบคอมพิวเตอร์ของคุณและไม่มีโปรแกรมป้องกันไวรัสตรวจสอบหน่วยความจำโดยตรง - ดังนั้นจึงเป็นโหมดที่ปลอดภัยที่สุดสำหรับผู้บุกรุกที่จะบุกรุกในคอมพิวเตอร์ของคุณและขโมยข้อมูลทั้งหมดของคุณ แม้แต่โปรแกรมป้องกันไวรัสที่ดีที่สุดบางครั้งก็อาจพลาดมัลแวร์ที่ใช้อยู่ในหน่วยความจำ

การติดเชื้อมัลแวร์ที่ไม่ดีของ Fileless ที่มีการติดตั้งระบบคอมพิวเตอร์ทั่วโลกอยู่ที่นั่นคือ - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 ฯลฯ

มัลแวร์ Fileless ทำงานได้อย่างไร

มัลแวร์ที่ไม่มีตัวตนเมื่ออยู่ใน หน่วยความจำ สามารถใช้เครื่องมือที่มีอยู่ภายในของ Windows สำหรับการจัดการและระบบของคุณเช่น PowerShell SC.exe และ netsh.exe เพื่อเรียกใช้รหัสที่เป็นอันตรายและขอให้ผู้ดูแลระบบเข้าถึงระบบของคุณเพื่อดำเนินการตามคำสั่งและขโมยข้อมูลของคุณ มัลแวร์ Fileless อาจซ่อนใน Rootkits หรือ Registry ของระบบปฏิบัติการ Windows

เมื่อผู้บุกรุกใช้แคช Windows Thumbnail เพื่อซ่อนกลไกของมัลแวร์ อย่างไรก็ตามมัลแวร์ยังคงต้องการไบนารีแบบคงที่เพื่อป้อนเครื่องคอมพิวเตอร์แม่ข่ายและอีเมลเป็นสื่อที่ใช้บ่อยที่สุด เมื่อผู้ใช้คลิกไฟล์แนบที่เป็นอันตรายโปรแกรมจะเขียนไฟล์ข้อมูลที่เข้ารหัสไว้ใน Windows Registry

Maleless Fileless เป็นที่รู้จักกันในการใช้เครื่องมือเช่น Mimikatz และ Metaspoilt เพื่อฉีดยา ลงในหน่วยความจำของเครื่องพีซีและอ่านข้อมูลที่เก็บไว้ที่นั่น เครื่องมือเหล่านี้ช่วยผู้บุกรุกเข้าไปในเครื่องคอมพิวเตอร์ของคุณได้ลึกลงไปและขโมยข้อมูลทั้งหมดของคุณ

การวิเคราะห์พฤติกรรมและมัลแวร์ที่ไม่มีหนาม

เนื่องจากโปรแกรมป้องกันไวรัสส่วนใหญ่มักใช้ลายเซ็นเพื่อระบุไฟล์มัลแวร์. ดังนั้น บริษัท รักษาความปลอดภัยใช้การวิเคราะห์พฤติกรรมเพื่อตรวจหามัลแวร์ โซลูชันรักษาความปลอดภัยใหม่นี้ได้รับการออกแบบมาเพื่อแก้ไขปัญหาการโจมตีและพฤติกรรมของผู้ใช้และคอมพิวเตอร์ก่อนหน้านี้ พฤติกรรมที่ผิดปกติใด ๆ ที่ชี้ไปยังเนื้อหาที่เป็นอันตรายจะได้รับการแจ้งเตือนด้วยการแจ้งเตือน

เมื่อโซลูชันปลายทางไม่สามารถตรวจพบมัลแวร์ที่ไม่มีตัวตนได้การวิเคราะห์พฤติกรรมจะตรวจพบพฤติกรรมที่ผิดปกติเช่นกิจกรรมการเข้าสู่ระบบที่น่าสงสัยชั่วโมงการทำงานที่ผิดปกติหรือการใช้ทรัพยากรที่ผิดปรกติใด ๆ โซลูชันรักษาความปลอดภัยนี้รวบรวมข้อมูลเหตุการณ์ในช่วงที่ผู้ใช้ใช้แอพพลิเคชันใด ๆ เรียกดูเว็บไซต์เล่นเกมปฏิสัมพันธ์บนโซเชียลมีเดีย ฯลฯ

มัลแวร์ที่ไม่มีวันปราดเปรื่องจะกลายเป็นข้อมูลที่ชาญฉลาดและแพร่หลายมากขึ้นเท่านั้น เทคนิคและเครื่องมือที่ใช้ลายเซ็นปกติจะมีเวลาที่ยากกว่าในการค้นพบมัลแวร์ประเภทนี้ที่มีความซับซ้อนและมุ่งเน้นการลักลอบโดย Microsoft กล่าวว่า

วิธีการป้องกันและตรวจจับมัลแวร์ Fileless

ปฏิบัติตามคำแนะนำพื้นฐานเพื่อความปลอดภัยของคอมพิวเตอร์ Windows ของคุณ:

  • ใช้อัพเดท Windows ล่าสุดทั้งหมด - โดยเฉพาะการอัปเดตระบบรักษาความปลอดภัยสำหรับระบบปฏิบัติการของคุณ
  • ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ที่ติดตั้งของคุณได้รับการติดตั้งและอัปเดตเป็นเวอร์ชันล่าสุด
  • ใช้ผลิตภัณฑ์รักษาความปลอดภัยที่ดี หน่วยความจำคอมพิวเตอร์และบล็อกหน้าเว็บที่เป็นอันตรายซึ่งอาจเป็นประโยชน์ต่อการใช้ประโยชน์
  • โปรดใช้ความระมัดระวังก่อนดาวน์โหลดไฟล์แนบอีเมล เพื่อหลีกเลี่ยงการดาวน์โหลดข้อมูล
  • ใช้ไฟร์วอลล์ที่มีประสิทธิภาพซึ่งช่วยให้คุณควบคุมการรับส่งข้อมูลบนเครือข่ายได้อย่างมีประสิทธิภาพ

หากคุณต้องการอ่านข้อมูลเพิ่มเติมในหัวข้อนี้ให้ไปที่ Microsoft และดู McAfee เอกสารนี้ด้วย