Fileless Malware môže byť pre väčšinu novým pojmom, ale bezpečnostný priemysel ho pozná už roky. Minulý rok bolo týmto bez súborovým malvérom ^{(Fileless Malware –)}zasiahnutých viac ako 140 podnikov na celom svete – vrátane bánk, telekomunikácií a vládnych organizácií. Fileless Malware , ako už názov napovedá, je druh malvéru, ktorý sa nedotýka disku ani nepoužíva žiadne súbory v procese. Načítava sa v kontexte legitímneho procesu. Niektoré bezpečnostné firmy však tvrdia, že útok bez súborov zanechá v kompromitujúcom hostiteľovi malý binárny súbor, ktorý iniciuje malvérový útok. Takéto útoky zaznamenali v posledných rokoch výrazný nárast a sú rizikovejšie ako tradičné malvérové ​​útoky.

Bezsúborové útoky škodlivého softvéru

Bezsúborové malvérové^{(Fileless Malware)} ​​útoky známe aj ako Non-Malware útoky^{(Non-Malware attacks)} . Používajú typický súbor techník, aby sa dostali do vašich systémov bez použitia akéhokoľvek detekovateľného súboru škodlivého softvéru. V posledných rokoch sa útočníci stali múdrejšími a vyvinuli mnoho rôznych spôsobov, ako spustiť útok.

Bezsúborový^(Fileless) malvér infikuje počítače a nezanecháva žiadny súbor na lokálnom pevnom disku, čím obchádza tradičné bezpečnostné a forenzné nástroje.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Bezsúborový malvér sa nachádza v pamäti s náhodným prístupom^{(Random Access Memory)} vášho počítačového systému a žiadny antivírusový program nekontroluje pamäť priamo – takže je to najbezpečnejší režim pre útočníkov, aby sa dostali do vášho počítača a ukradli vám všetky údaje. Aj tým najlepším antivírusovým programom niekedy chýba malvér bežiaci v pamäti.

Niektoré z nedávnych infekcií Fileless Malware , ktoré infikovali počítačové systémy po celom svete, sú – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 atď.

Ako funguje Fileless Malware

Bezsúborový malvér, keď sa dostane do pamäte^(Memory) , môže nasadiť vaše natívne nástroje a nástroje na správu systému Windows^(Windows) , ako sú PowerShell , SC.exe a netsh.exe , na spustenie škodlivého kódu a získanie prístupu správcu k vášmu systému, z príkazov a ukradnúť vaše údaje. Bezsúborový malvér^{(Fileless Malware)} sa niekedy môže skrývať aj v Rootkitoch^{(Rootkits)(Rootkits)} alebo v registri^(Registry) operačného systému Windows.

Po vstupe útočníci použijú vyrovnávaciu pamäť miniatúr systému Windows^{(Windows Thumbnail)} na skrytie mechanizmu škodlivého softvéru. Malvér však stále potrebuje statický binárny súbor na vstup do hostiteľského počítača a e-mail je najbežnejším médiom používaným na to isté. Keď používateľ klikne na škodlivú prílohu, zapíše zašifrovaný súbor užitočných údajov do databázy Registry systému Windows^{(Windows Registry)} .

Fileless Malware je tiež známy tým, že používa nástroje ako Mimikatz a Metaspoilt na vloženie kódu do pamäte vášho počítača a na čítanie tam uložených údajov. Tieto nástroje pomáhajú útočníkom preniknúť hlbšie do vášho počítača a ukradnúť všetky vaše dáta.

Analýza správania a bezsúborový^(Fileless) malvér

Keďže väčšina bežných antivírusových programov používa na identifikáciu súboru škodlivého softvéru podpisy, bezsúborový malvér je ťažké odhaliť. Bezpečnostné firmy teda používajú behaviorálnu analýzu na detekciu škodlivého softvéru. Toto nové bezpečnostné riešenie je navrhnuté tak, aby riešilo predchádzajúce útoky a správanie používateľov a počítačov. Akékoľvek abnormálne správanie, ktoré poukazuje na škodlivý obsah, je potom upozornené varovaním.

Keď žiadne koncové riešenie nedokáže odhaliť bezsúborový malvér, behaviorálna analytika zistí akékoľvek neobvyklé správanie, ako je podozrivá aktivita pri prihlásení, nezvyčajný pracovný čas alebo použitie akéhokoľvek atypického zdroja. Toto bezpečnostné riešenie zachytáva údaje o udalostiach počas relácií, kde používatelia používajú akúkoľvek aplikáciu, prehliadajú webovú stránku, hrajú hry, komunikujú na sociálnych sieťach atď.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Ako sa chrániť pred a odhaliť bezsúborový malvér^{(Fileless Malware)}

Dodržiavajte základné preventívne opatrenia na zabezpečenie počítača so systémom Windows^{(precautions to secure your Windows computer)} :

• Použite^(Apply) všetky najnovšie aktualizácie systému Windows –^{(Windows Updates –)} najmä aktualizácie zabezpečenia vášho operačného systému.
• Uistite^(Make) sa, že všetok váš nainštalovaný softvér je opravený a aktualizovaný na najnovšie verzie
• Použite dobrý bezpečnostný produkt, ktorý dokáže efektívne skenovať pamäť vášho počítača a tiež blokovať škodlivé webové stránky, ktoré môžu hostiť Exploits . Mal by ponúkať monitorovanie správania^(Behavior) , skenovanie pamäte a ochranu ^(Memory)zavádzacieho sektora^{(Boot Sector)} .
• Buďte opatrní pred stiahnutím akýchkoľvek e-mailových príloh^{(downloading any email attachments)} . Je to preto, aby ste sa vyhli sťahovaniu užitočného zaťaženia.
• Použite silnú bránu firewall^(Firewall) , ktorá vám umožní efektívne riadiť sieťový^(Network) prenos.

Čítať ďalej^{(Read next)} : Čo sú útoky Living Off The Land^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• DLL Hijacking Vulnerability Útoky, prevencia a detekcia

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Čo je trójsky kôň pre vzdialený prístup? Prevencia, detekcia a odstraňovanie

• Kybernetické útoky – definícia, typy, prevencia

• Crystal Security je bezplatný nástroj na detekciu škodlivého softvéru v cloude pre PC

• Ako skontrolovať register na prítomnosť škodlivého softvéru v systéme Windows 11/10

• Ako používať Malwarebytes Anti-Malware na odstránenie škodlivého softvéru

• Ako používať vstavaný nástroj Malware Scanner & Cleanup Tool v prehliadači Chrome

• Čo je vírus IDP.generic a ako ho odstrániť?

• Ransomware útoky, definícia, príklady, ochrana, odstránenie

• Ako môžete získať počítačový vírus, trójsky kôň, prácu, spyware alebo malware?

• Nástroje vzdialenej správy: Riziká, Hrozby, Prevencia

• Cryptojacking nová hrozba ťažby prehliadača, o ktorej musíte vedieť

• IObit Malware Fighter Bezplatná recenzia a stiahnutie

• Čo je Rootkit? Ako fungujú rootkity? Vysvetlené rootkity.

• Tipy na ochranu počítača pred útokom Thunderspy

• Škodlivé útoky: definícia, príklady, ochrana, bezpečnosť

• Odstráňte vírus z jednotky USB Flash pomocou príkazového riadka alebo dávkového súboru

• Ako skontrolovať, či je súbor škodlivý alebo nie v systéme Windows 11/10

• Ako odstrániť malvér z telefónu s Androidom