Hva er fileless malware, og hvordan beskytter du mot det?

5 ting du bør vite om fileless malware-angrep Cybersecurity-trusler utvikler seg raskt, og angripere bruker stadig mer taktikker som ikke krever nyttelast eller lurer noen til å installere noe. Her er hva du trenger å vite om fileless angrep.

Når du blir lurt av en phishing-post og åpner et dokumentvedlegg som har en ondsinnet makro eller en kobling til et ondsinnet nettsted, eller du laster ned et infisert program, er det en fil som antivirusprogramvare kan skanne når den er lagret på eller åpnet fra disk, og det er et spor med filaktivitet som du kan se tilbake på hvis du prøver å gjennomgå skadene. For å komme seg rundt beskyttelsen, begynner angripere å bruke 'fileless' malware der angrepene kjøres direkte i minnet eller bruker systemverktøy som allerede er installert for å kjøre ondsinnet kode uten å lagre filer som antivirusprogramvare kan skanne. ( Merk : Denne artikkelen om filløs malware er tilgjengelig som en gratis PDF-nedlasting.)

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Det kan bety å lure en bruker til å kjøre et skript som kjører et .NET binært direkte fra minnet, som Sharpshooter som laster ned skadelig nyttelast via tekstoppføringene til DNS-spørsmål. Eller det kan bety sending av ondsinnede nettverkspakker som utnytter EternalBlue-sårbarheten og installerer DoublePulsar-bakdøren i kjernenminne. Det kan bety å lagre den ondsinnede nyttelasten i registeret som en behandler for en filutvidelse, slik at den kjører når du åpner en normal fil med den utvidelsen. Kovter brukte for eksempel det til å laste ned Mimikatz og stjele legitimasjon, sette nyttelasten i en DLL som er kodet i en streng og kjøres med en PowerShell-kommando, installere en ondsinnet PowerShell-kommentar i WMI-arkivet og konfigurere den til å kjøre med jevne mellomrom. Den ondsinnede koden kan til og med være i enhets firmware eller periferiutstyr som BadUSB; på den måten kan nyttelasten kjøres i minnet og fortsette å komme tilbake selv om du starter på nytt, installerer Windows på nytt eller omformaterer disken.

Spesiell rapport: Cyberwar og cybersecuritys fremtid (gratis PDF)

Fileless teknikker kan være ekstremt avanserte, og de er vanskeligere for tradisjonell antivirusprogramvare å oppdage. Men ikke hvert avansert skadelig angrep er filøst, og å kaste begrepet hjelper ikke organisasjoner å forsvare seg mot det, sa Tanmay Ganacharya til TechRepublic. Ganacharya driver Microsoft Defender-trusselforskningsteamet, som analyserer nye trusler og bygger modeller for å oppdage dem. "Fileless er et så overbrukt begrep, og det har gått fra de virkelig filøse truslene, til nå folk som vil kalle nesten alt som til og med er litt avansert fileless og gjøre det litt surrete, " sier han.

For å avmystifisere begrepet begynte trusselforskningsteamet å kategorisere fileless angrep basert på hvordan de kommer seg inn på en PC og hvor de er vertskap. Det er mer enn et dusin kombinasjoner av disse "inngangspunktene" og malware-vertene som brukes til fileless angrep - noen av dem er veldig sofistikerte og brukes sjelden til målrettede angrep, og noen av dem er blitt commoditised og dukker opp oftere for vanlige angrep som å prøve å kjøre en myntminer på systemet ditt. Men de faller inn i tre brede grupper.

Bilde: Microsoft

"Type en er virkelig filløs, der angrepet blir levert i nettverket eller fra en enhet, nyttelasten blir håndtert i minnet og nesten ingenting berører disken i det hele tatt, " sier Ganacharya. EternalBlue og BadUSB er virkelig filøse angrep - og de er sjeldne. "Dette er virkelig de mest avanserte angrepene der ute, men de fleste av angrepene som blir kalt fileless hører ikke hjemme i denne gruppen. Denne typen angrep og utnyttelse har blitt vanskeligere og hardere, så det er vanskelig for disse å bli kommunisert. "

Type to er litt mer vanlig, sier Ganacharya. Type to angrep bruker filer, men ikke direkte, så de regner fortsatt som fileless. "Tenk på skript som blir brukt til å starte angrep, enten det er JavaScript eller PowerShell. Vi ser noen få som målretter MBR og prøver å gjøre maskiner helt ubrukelige slik at de ikke starter opp. Men de bruker stort sett registeret og WMI og forskjellige andre mekanismer som PowerShell for å utnytte noen av verktøyene som allerede er på systemet for å sekvensere oppsettaktiviteter. "

Det kalles "å leve av landet", og det er vanskelig å oppdage med standard antivirusverktøy fordi de legitime verktøyene ikke utløser advarsler, og filene som skadelig programvare lagrer er tilslørt og fulle av søppeldata som er enkle å endre for å lage et nytt angrep. Du kan ikke rydde opp ved å slette filer heller, fordi du ikke bare kan slette viktige deler av Windows som registeret og WMI-depotet.

De vanligste filløse angrepene bruker faktisk filer, men de kjører ikke angrepene fra disse filene direkte. "Type tre starter tydelig med en fil enten det er en dokumentfil med en makro i den, eller en Java-fil eller Flash-fil, og noen ganger til og med EXE filer som slipper visse filer, men da er utholdenheten filløs, " sier Ganacharya. "Så når nyttelasten er droppet, oppnår nyttelasten utholdenhet ved å enten holde seg bare i minnet eller bo i registeret og løpe derfra."

Mange av disse type tre-angrepene kommer fra e-post, men filvedleggene vises ikke som åpenbart ondsinnet hvis et antivirus skanner filene. Ganacharya forklarer: "Du legger vanligvis ikke til en EXE fil, du legger ved et dokument med en makro og kobler til en annen fil. VBA-koden har ikke en binær som antivirusprogramvare kan skanne, men den kan laste inn PowerShell-skript som laster ned og kjører angrep.

Hvordan oppdage fileless angrep

Siden du ikke kan skanne filer for å oppdage filøse angrep, er du nødt til å stole på å skanne minne og oppdage ondsinnet oppførsel. "Du må kunne skanne injiserte moduler i minnet, fordi ingenting berører disken noensinne, og du må kunne se når ting blir lastet inn i minnet, enten det er en nyttelast eller shell-kode, " sier Ganacharya. "Du må kunne se det, stoppe det og deretter drepe de tilknyttede prosessene." Å utvide det til å dekke oppstartssektoren beskytter mot angrep på oppstartssektoren.

Atferdsovervåking oppdager skadelig programvare som gjør ondsinnede ting, som inkluderer alle tre typer fileless malware. Ganacharya: "Atferdsovervåking gjelder virkelig overalt, riktig fordi alt som er fileless - enten det er fileless end to end eller om det har oppnådd fileless persistens - vil ha oppførsel som indikerer ondsinnet aktivitet. Hvis det er løseprogramvare, må det krypter filer, ellers er det ikke sant ransomware. Hvis det er en infostealer, vil det måtte stjele noen filer eller noe informasjon. Så det vil alltid være atferd for å oppdage. "

For å oppdage filøse angrep som er avhengige av skript, må du se etter produkter som Microsoft Defender som bruker Windows 10 Antimalware Scan Interface (AMSI) for å kontrollere skriptatferd ved kjøring.

How AMSI intercepts scripts that try to drop fileless malware on systems.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Hvordan AMSI avskjærer skript som prøver å slippe fileless malware på systemer.

Bilde: Microsoft

"Da skriptangrep og PowerShell-angrep og VBScript-baserte angrep begynte å vokse, ble det ekstremt vanskelig for sikkerhetsprodukter å kunne håndtere de mange, mange millioner og milliarder og billionene måtene du kan tilsløre noe som JavaScript, " påpeker Ganacharya . "Det er så lett å obfuscere JavaScript og lage varianter av den samme trusselen som ikke ser like ut i det hele tatt. Men for at JavaScript skal kjøre, må skriptmotoren obfuscere koden og lage sekvensen av instruksjoner som den deretter utfører."

Enhver antivirusprogramvare kan koble seg til AMSI og se den sekvensen - og fra september 2018 som inkluderer Office-makroer.

"I stedet for å måtte forholde seg til en JavaScript-fil, eller en PowerShell-skriptfil eller Office-makrokode, og prøve å resonnere på skjult innhold, ettersom skriptmotoren begynner å utføre innholdet, kan den sjekke på linje med det installerte antivirusprogrammet om hendelsesforløp representerer ondsinnet oppførsel, "forklarer Ganacharya. "Dette gjorde oppdagelser mot JavaScript-skadelig programvare, PowerShell-skadelig programvare, hvilken som helst skriptbasert skadelig programvare som er ekstremt holdbar, fordi vi nå ikke er i katt-og-mus-spillet for å prøve å håndtere de forskjellige måtene JavaScript får kan bli tilslørt. Vi gjorde ikke ' Jeg må bygge tunge håndledere for alle skriptspråk som bremser sluttbrukermaskiner: vi utnyttet bare skriptmotoren som er på maskinen som må kjøres uansett - og vi kan se hva som skjer og stoppe den på det rette poenget slik at den faktiske skadelig programvaren aldri blir stående. "

Microsoft Defender har allerede beskyttet brukere mot mye filløs skadelig programvare gjennom AMSI. Sharpshooters JavaScript er så sterkt tilslørt at du ikke kan fortelle hva den gjør ved å lese koden. Men når skriptet starter, er det tydelig at det er anropsfunksjoner og passering av parametere som starter et program.

Forsvarer stoppet også et nyere og svært sofistikert angrep ved bruk av Asteroth info stealer i sommer, som var rettet mot Sør-Amerika og forsøkte å stjele legitimasjon, tastetrykk og annen sensitiv informasjon ved å bruke bare eksisterende verktøy i Windows i en sekvens som er vanskelig selv å følge med et diagram.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">De komplekse stadiene i det filøse Astaroth-angrepet.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bilde: Microsoft

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Her er Ganacharyas disposisjon: "Den prøver å utnytte eksisterende komponenter som ble levert som en del av Windows for å hjelpe med å administrere Windows og bruke dem i rekkefølge uten å måtte slippe en hel haug med nytt innhold på sluttbrukermaskinen. Så det er en e-post med en ZIP-fil som har koblet filer inn, som får en BAT-fil, som kjører WMIC, som går og laster ned en Excel-fil, som har super sterkt tilslørt JavaScript i den, som kjører WMIC igjen, som går og laster ned en annen Excel-fil, bruker Bitsadmin for å last ned en nyttelast, bruker Certutil til å avkode den nyttelasten, som til slutt er en DLL, laster den inn, injiserer den, og prøver til slutt å gjøre de dårlige tingene den gjør. "

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Forsvarer har atferdsdeteksjoner for alle teknikkene som brukes i dette angrepet. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Vi blokkerte faktisk disse angrepene på det aller første stadiet, men for å vise at ikke bare oppdager vi det første trinnet, oppdager vi alle stadier, vi satte AV-en i revisjonsmodus og lot den gå, og vi så at hvert eneste trinn hadde en atferdsdeteksjon, "sier Ganacharya. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Vi endte med å redde hver eneste maskin som var målrettet etter dette angrepet som kjørte Windows Defender, fra pasientnul."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Endepunktdeteksjons- og responsverktøy som Defender stopper fileless angrep, og du kan se hvordan angrep oppdages ved hjelp av Microsoft Defender Advanced Threat Protection. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Men du bør også konfigurere regler for angrep på overflaten for å deaktivere funksjonalitet du ikke bruker - som å tillate Office-apper å injisere kode i andre prosesser, noe som er mye av ransomware-utnyttelser.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Å ha Office-apper skape barneprosesser er ikke vanlig oppførsel. Det er en liten håndfull bedrifter der ute som skriver virkelig sammensatt makrokode som trenger dette - og de bør slutte å gjøre det!" The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Ganacharya advarer. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Men de fleste organisasjoner trenger ikke denne funksjonaliteten aktivert, spesielt ikke for avdelinger som salg og HR og markedsføring der du ikke har mange ingeniører."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Locky ransomware brukte en e-postmelding med et Office-vedlegg med en skjult formel som kjørte PowerShell for å infisere systemer. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Hvis du nettopp har aktivert angrepsoverflate-reduksjonsregelen som sa at blokkering av Office-apper fra å opprette barneprosesser, trenger du ikke å bekymre deg for at løsningen din må være i stand til å håndtere alle tingene som skjer i disse tre siste stadiene - - du vil bare stoppe angrepet veldig tidlig, og minimere skader i nettverket ditt, "sier Ganacharya.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Bare å aktivere angrepsoverflatens reduksjonsregler stopper de fleste av de null dagene som ble identifisert det siste året eller så."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersecurity Insider Nyhetsbrev

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Leveres tirsdager og torsdager

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Registrer deg i dag

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Se også

  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Slik forhindrer du ødeleggende angrep på skadelig programvare på bedriften din: 7 tips (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvordan bli en cybersecurity-proff: Et jukseark (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">10 farlige appsårbarheter å passe på (TechRepublic nedlasting)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Windows 10-sikkerhet: En guide for bedriftsledere (TechRepublic Premium)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Online sikkerhet 101: Tips for å beskytte personvernet ditt mot hackere og spioner (ZDNet)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">De beste passordlederne i 2019 (CNET)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersecurity og cyberwar: Mer må-lese dekning (TechRepublic på Flipboard)

© Copyright 2021 | mobilegn.com