Filløse malwareangreb, beskyttelse og detektion

Filløs malware(Fileless Malware) kan være et nyt udtryk for de fleste, men sikkerhedsindustrien har kendt det i årevis. Sidste år blev over 140 virksomheder verden over ramt af denne filløse malware –(Fileless Malware –) herunder banker, telekommunikation og offentlige organisationer. Filløs Malware(Fileless Malware) , som navnet forklarer, er en slags malware, der ikke rører disken eller bruger nogen filer i processen. Det bliver indlæst i sammenhæng med en legitim proces. Nogle sikkerhedsfirmaer hævder dog, at det filløse angreb efterlader en lille binær i den kompromitterende vært for at starte malwareangrebet. Sådanne angreb har set en betydelig stigning i de sidste par år, og de er mere risikable end de traditionelle malware-angreb.

filløs malware

Filløse Malware-angreb

Filløse malware(Fileless Malware) - angreb også kendt som ikke-malware-angreb(Non-Malware attacks) . De bruger et typisk sæt teknikker til at komme ind i dine systemer uden at bruge nogen påviselig malware-fil. I de seneste par år er angriberne blevet klogere og har udviklet mange forskellige måder at iværksætte angrebet på.

Filløs(Fileless) malware inficerer computerne og efterlader ingen fil på den lokale harddisk, hvilket omgår de traditionelle sikkerheds- og retsmedicinske værktøjer.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Den filløse malware ligger i Random Access Memory på dit computersystem, og intet antivirusprogram inspicerer hukommelsen direkte – så det er den sikreste tilstand for angriberne at trænge ind i din pc og stjæle alle dine data. Selv de bedste antivirusprogrammer savner nogle gange den malware, der kører i hukommelsen.

Nogle af de seneste Fileless Malware- infektioner, der har inficeret computersystemer verden over, er – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 osv.

Hvordan virker filløs malware

Den filløse malware, når den lander i hukommelsen(Memory) , kan implementere dine indbyggede og systemadministrative Windows -indbyggede værktøjer som PowerShell , SC.exe og netsh.exe til at køre den ondsindede kode og få administratoradgang til dit system for at bære ud af kommandoerne og stjæl dine data. Filløs Malware(Fileless Malware) kan også nogle gange skjule sig i Rootkits eller registreringsdatabasen(Registry) for Windows-operativsystemet.

Når angriberne først er kommet ind, bruger angriberne Windows-thumbnail- cachen til at skjule malware-mekanismen. Men malwaren har stadig brug for en statisk binær for at komme ind på værts-pc'en, og e-mail er det mest almindelige medie, der bruges til det samme. Når brugeren klikker på den ondsindede vedhæftede fil, skriver den en krypteret nyttelastfil i Windows-registreringsdatabasen(Windows Registry) .

Filløs Malware(Fileless Malware) er også kendt for at bruge værktøjer som Mimikatz og Metaspoilt til at injicere koden i din pc's hukommelse og læse de data, der er gemt der. Disse værktøjer hjælper angriberne med at trænge dybere ind i din pc og stjæle alle dine data.

Adfærdsanalyse og filløs(Fileless) malware

Da de fleste af de almindelige antivirusprogrammer bruger signaturer til at identificere en malware-fil, er den filløse malware svær at opdage. Sikkerhedsfirmaer bruger således adfærdsanalyser til at opdage malware. Denne nye sikkerhedsløsning er designet til at tackle tidligere angreb og adfærd fra brugere og computere. Enhver unormal adfærd, der peger på ondsindet indhold, bliver derefter underrettet med advarsler.

Når ingen slutpunktsløsning kan opdage den filløse malware, opdager adfærdsanalyse enhver unormal adfærd såsom mistænkelig loginaktivitet, usædvanlige arbejdstider eller brug af enhver atypisk ressource. Denne sikkerhedsløsning fanger begivenhedsdataene under de sessioner, hvor brugere bruger enhver applikation, gennemser et websted, spiller spil, interagerer på sociale medier osv.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Sådan beskytter du mod og opdager filløs malware(Fileless Malware)

Følg de grundlæggende forholdsregler for at sikre din Windows-computer(precautions to secure your Windows computer) :

  • Anvend(Apply) alle de seneste Windows-opdateringer –(Windows Updates –) især sikkerhedsopdateringerne til dit operativsystem.
  • Sørg(Make) for, at al din installerede software er patchet og opdateret til deres seneste versioner
  • Brug et godt sikkerhedsprodukt, der effektivt kan scanne din computers hukommelse og også blokere ondsindede websider, der kan være vært for Exploits . Det bør tilbyde adfærdsovervågning(Behavior) , hukommelsesscanning(Memory) og beskyttelse af Boot Sector .
  • Vær forsigtig, før du downloader vedhæftede filer i e-mails(downloading any email attachments) . Dette er for at undgå at downloade nyttelasten.
  • Brug en stærk firewall , der giver dig mulighed for effektivt at kontrollere netværkstrafikken(Network) .

Læs næste(Read next) : Hvad er Living Off The Land-angreb(Living Off The Land attacks) ?



Charlotte Lindgren

About the author

Jeg er en computerprogrammør med speciale i MacOS-softwareudvikling. Jeg bruger mine evner til at skrive professionelle anmeldelser og give tips til, hvordan du kan forbedre dine programmeringsevner på Mac. Jeg har også en hjemmeside, der tilbyder detaljerede, trin-for-trin instruktioner til at skabe et vellykket websted.


Related posts