Hvad er fileless malware, og hvordan beskytter du mod det?

5 ting, du skal vide om fileless malware-angreb Cybersecurity-trusler udvikler sig hurtigt, og angribere bruger i stigende grad taktikker, der ikke kræver en nyttelast eller narre nogen til at installere noget. Her er hvad du har brug for at vide om fileless angreb.

Når du bliver narret af en phishing-mail og åbner en vedhæftet fil, der har en ondsindet makro eller et link til et ondsindet websted, eller du henter et inficeret program, er der en fil, som antivirussoftware kan scanne, da den gemmes på eller åbnes fra disken, og der er et spor med filaktivitet, som du kan se tilbage på, hvis du prøver at gennemgå den foretagne skade. For at komme rundt på disse beskyttelser begynder angribere at bruge 'fileless' malware, hvor angrebene kører direkte i hukommelsen eller bruger systemværktøjer, der allerede er installeret til at køre ondsindet kode uden at gemme filer, som antivirus-software kan scanne. ( Bemærk : Denne artikel om filløs malware er tilgængelig som en gratis PDF-download.)

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Det kan betyde at narre en bruger til at køre et script, der udfører en .NET binær direkte fra hukommelsen, ligesom Sharpshooter, der downloader malware-nyttelasten via tekstposterne til DNS-forespørgsler. Eller det kan betyde, at der sendes ondsindede netværkspakker, der udnytter sårbarheden EternalBlue og installerer DoublePulsar-bagdøren i kernehukommelse. Det kan betyde at gemme den ondsindede nyttelast i registreringsdatabasen som en håndterer for en filtypenavn, så den kører, når du åbner en normal fil med den udvidelse. Kovter brugte det f.eks. Til at downloade Mimikatz og stjæle legitimationsoplysninger, lægge nyttelasten i en DLL, der er kodet i en streng og køre med en PowerShell-kommando, installere en ondsindet PowerShell-kommentar i WMI-arkivet og konfigurere den til at køre med regelmæssige intervaller. Den ondsindede kode kan endda være i enhedens firmware eller i en periferi som BadUSB; på den måde kan nyttelasten køre i hukommelsen og fortsætte med at komme tilbage, selvom du genstarter, geninstallerer Windows eller omformaterer disken.

Speciel rapport: Cyberwar og cybersikkerhedens fremtid (gratis PDF)

Fileless teknikker kan være ekstremt avancerede, og de er sværere for traditionel antivirus-software at opdage. Men ikke alle avancerede malware-angreb er filøse, og at kaste udtrykket hjælper ikke organisationer med at forsvare sig mod det, sagde Tanmay Ganacharya til TechRepublic. Ganacharya driver Microsoft Defender-forskningsholdet for trusler, der analyserer nye trusler og bygger modeller til at opdage dem. "Fileless er sådan en overforbrugt betegnelse, og det er gået fra de virkelig filøse trusler, til nu folk, der ønsker at kalde næsten alt, der er endda lidt avanceret, fileless og gøre det lidt buzzwordy, " siger han.

For at afmystificere udtrykket begyndte truselforskningsteamet at kategorisere filøse angreb baseret på, hvordan de kommer på en pc, og hvor de er vært. Der er mere end et dusin kombinationer af disse 'indgangspunkter' og malware-værter, der bruges til fileless angreb - hvoraf nogle er meget sofistikerede og sjældent bruges til målrettede angreb, og nogle af dem er blevet commoditised og vises oftere til almindelige angreb som at prøve at køre en møntminer på dit system. Men de indgår i tre brede grupper.

Billede: Microsoft

"Type en er virkelig filløs, hvor angrebet leveres på netværket eller fra en enhed, nyttelasten håndteres i hukommelsen, og næsten intet rører overhovedet disken, " siger Ganacharya. EternalBlue og BadUSB er virkelig filøse angreb - og de er sjældne. "Dette er virkelig de mest avancerede angreb derude, men de fleste af de angreb, der kaldes fileless, hører ikke hjemme i denne gruppe. Denne form for angreb og udnyttelse er blevet sværere og sværere, så det er vanskeligt for disse at blive commoditised. "

Type to er lidt mere almindelige, siger Ganacharya. Type to angreb bruger filer, men ikke direkte, så de stadig regnes som fileless. "Tænk på scripts, der bruges til at starte angreb, hvad enten det er JavaScript eller PowerShell. Vi ser nogle få, der er målrettet mod MBR og forsøger at gøre maskiner helt ubrugelige, så de ikke starter. Men de bruger hovedsageligt registreringsdatabasen og WMI og forskellige andre mekanismer som PowerShell for at udnytte nogle af de værktøjer, der allerede findes på systemet til sekvensopsætning af aktiviteter. "

Det kaldes 'levende fra landet', og det er svært at opdage med standard antivirusværktøjer, fordi disse legitime værktøjer ikke udløser advarsler, og filerne, som malware sparer, er tilsløret og fulde af skrammeldata, som er let at ændre for at skabe et nyt angreb. Du kan heller ikke rense det op ved at slette filer, fordi du ikke bare kan slette centrale dele af Windows som Registret og WMI-arkivet.

De mest almindelige filløse angreb bruger faktisk filer, men de kører ikke angrebene fra disse filer direkte. "Skriv tre starter klart med en fil, hvad enten det er en dokumentfil med en makro i den, eller en Java-fil eller Flash-fil, og nogle gange endda EXE filer, der slipper visse filer, men så er vedholdenhed filløs, " siger Ganacharya. "Så når nyttelasten er faldet, opnår nyttelasten vedholdenhed ved enten at forblive bare i hukommelsen eller opholde sig i registreringsdatabasen og køre derfra."

Mange af disse Type tre-angreb kommer fra e-mail, men filvedhæftningerne vises ikke som åbenlyst ondsindede, hvis en antivirus scanner filerne. "Du hænger generelt ikke en EXE fil, du vedhæfter et dokument med en makro, og der linker til en anden fil, og så går denne fil og downloader nyttelasten, " forklarer Ganacharya. VBA-kode har ikke en binær, som antivirus-software kan scanne, men den kan indlæse PowerShell-scripts, der downloader og kører angreb.

Sådan opdages fileless angreb

Da du ikke kan scanne filer for at opdage filøse angreb, er du nødt til at stole på at scanne hukommelse og opdage ondsindet opførsel. "Du skal være i stand til at scanne indsprøjtede moduler i hukommelsen, fordi intet nogensinde berører disken, og du skal være i stand til at se, når ting indlæses i hukommelsen, hvad enten det er en nyttelast eller shell-kode, " siger Ganacharya. "Du skal være i stand til at se det, stoppe det og derefter dræbe de tilknyttede processer." Udvidelse af dette til at dække boot sektor beskytter mod angreb på boot sektor.

Adfærdsovervågning opdager malware, der udfører ondsindede ting, som inkluderer alle tre typer af fileless malware. Ganacharya: "Adfærdsovervågning finder virkelig anvendelse overalt, lige fordi alt, hvad der er fileless - uanset om det er fileless end to end eller om det har opnået fileless persistens - vil have adfærd, der indikerer ondsindet aktivitet. Hvis det er løseprogram, skal det krypter filer, ellers er det ikke sandt ransomware, hvis det er en infostealer, bliver det nødt til at stjæle nogle filer eller nogle oplysninger. Så der vil altid være adfærd at opdage. "

For at opdage filøse angreb, der er afhængige af scripts, skal du kigge efter produkter som Microsoft Defender, der bruger Windows 10 Antimalware Scan Interface (AMSI) til at kontrollere scriptets opførsel under kørsel.

How AMSI intercepts scripts that try to drop fileless malware on systems.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Hvordan AMSI opfanger scripts, der forsøger at droppe fileless malware på systemer.

Billede: Microsoft

"Da script-angreb og PowerShell-angreb og VBScript-baserede angreb begyndte at vokse, blev det ekstremt vanskeligt for sikkerhedsprodukter at være i stand til at håndtere de mange, mange millioner og milliarder og billioner måder, du kan tilsløre noget som JavaScript, " påpeger Ganacharya . "Det er så let at tilsløre JavaScript og oprette varianter af den samme trussel, der overhovedet ikke ligner. Men for at JavaScript skal køre, er scriptmotoren nødt til at tilsløre koden og oprette sekvensen af ​​instruktioner, som den derefter udfører."

Enhver antivirus-software kan tilslutte sig AMSI og se den rækkefølge - og fra september 2018, der inkluderer Office-makroer.

"Så i stedet for at skulle beskæftige sig med en JavaScript-fil eller en PowerShell-scriptfil eller Office-makrokode og forsøge at begrunde på tilsløret indhold, da script-motoren begynder at udføre dette indhold, er det i stand til at kontrollere på linje med den installerede antivirus, om sekvens af begivenheder repræsenterer ondsindet adfærd, ”forklarer Ganacharya. "Dette gjorde detektioner mod JavaScript-malware, PowerShell-malware, enhver script-baseret malware, der er ekstremt holdbar, fordi vi nu ikke er i kat-og-mus-spillet om at prøve at håndtere de forskellige måder, JavaScript får kan blive tilsløret. Vi gjorde ikke ' t er nødt til at bygge tunge håndpartere til alle script-sprog, der bremser slutbrugermaskiner: vi har kun benyttet den script-motor, der er på maskinen, der skal køre alligevel - og vi er i stand til at se, hvad der sker, og for at stoppe det ved det rigtige punkt, så den faktiske malware aldrig bliver stående. "

Microsoft Defender har allerede beskyttet brugere mod en masse fileless malware gennem AMSI. Sharpshooters JavaScript er så kraftigt tilsløret, at du ikke kan fortælle, hvad den gør ved at læse koden. Men når scriptet begynder at køre, er det klart, at det er opkaldsfunktioner og videregivende parametre, der starter et program.

Forsvarer stoppede også et nyere og meget sofistikeret angreb ved hjælp af Asteroth-informationstealeren i sommer, som var målrettet mod Sydamerika og forsøgte at stjæle legitimationsoplysninger, tastetryk og anden følsom information ved kun at bruge eksisterende værktøjer i Windows i en sekvens, der er svært selv at følge med et diagram.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">De komplekse faser i det filøse Astaroth-angreb.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Billede: Microsoft

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Her er Ganacharyas oversigt: "Den forsøger at udnytte eksisterende komponenter, der blev leveret som en del af Windows, for at hjælpe med at administrere Windows og bruge dem i rækkefølge uden at skulle slippe en hel flok nyt indhold på slutbrugermaskinen. Så det er en e-mail med en ZIP-fil der har knyttet filer ind, som får en BAT-fil, der kører WMIC, som går og downloader en Excel-fil, som har super stærkt tilsløret JavaScript i den, som kører WMIC igen, der går og downloader en anden Excel-fil, bruger Bitsadmin til derefter download en nyttelast, bruger Certutil til at afkode den nyttelast, som til sidst er en DLL, indlæser den, indsprøjter den og derefter til sidst prøver at gøre de dårlige ting, den gør. "

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Forsvarer har adfærdsdetektioner for alle de teknikker, der bruges i dette angreb. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Vi blokerede faktisk for disse angreb på det allerførste trin, men for at vise, at ikke kun registrerer vi det første trin, registrerer vi alle faser, vi sætter AV'en i revisionstilstand og lader det køre, og vi så, at hver enkelt fase havde en adfærdsregistrering, ”siger Ganacharya. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Vi endte med at redde hver enkelt maskine, der var målrettet efter dette angreb, der kørte Windows Defender, startende fra patientens nul."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Endpoint-detekterings- og responsværktøjer som Defender stopper fileless angreb, og du kan se, hvordan angreb opdages ved hjælp af Microsoft Defender Advanced Threat Protection. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Men du skal også indstille regler for reduktion af angreboverflader for at deaktivere funktionalitet, som du ikke bruger - ligesom at tillade Office-apps at injicere kode i andre processer, hvilket er noget, som ransomware udnytter meget.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"At have Office-apps oprette børneprocesser er ikke almindelig opførsel. Der er en lille håndfuld virksomheder derude, der skriver virkelig kompliceret makrokode der har brug for dette - og de burde holde op med at gøre det!" The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Ganacharya advarer. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Men de fleste organisationer har ikke brug for denne funktionalitet aktiveret, især ikke for afdelinger som salg og HR og marketing, hvor du ikke har mange ingeniører."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Locky ransomware brugte en e-mail-besked med en Office-vedhæftet fil med en skjult formel, der kørte PowerShell til at inficere systemer. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Hvis du netop har aktiveret angrebsoverfladereduktionsreglen, der sagde blokere Office-apps fra at oprette underordnede processer, behøver du ikke at bekymre dig om, at din løsning skal være i stand til at håndtere alle de ting, der sker i disse sidste tre faser - - du vil bare stoppe angrebet meget tidligt og minimere skader i dit netværk, ”siger Ganacharya.

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Bare aktivering af regler for angreb på overfladebegrænsning stopper de fleste af de nul dage, der blev identificeret i det sidste år eller deromkring."

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersecurity Insider Nyhedsbrev

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Leveres tirsdage og torsdage

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Tilmeld dig i dag

The complex stages of the fileless Astaroth attack.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Se også

  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sådan forhindres destruktive malware-angreb på din virksomhed: 7 tip (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sådan bliver du en cybersecurity-pro: Et snyderi (TechRepublic)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">10 farlige appsårbarheder, man skal passe på (TechRepublic download)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Windows 10-sikkerhed: En guide til forretningsførere (TechRepublic Premium)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Online sikkerhed 101: Tip til beskyttelse af dit privatliv mod hackere og spioner (ZDNet)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">De bedste passwordadministratorer i 2019 (CNET)
  • The complex stages of the fileless Astaroth attack.

    " data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Cybersikkerhed og cyberwar: Mere must-read-dækning (TechRepublic på Flipboard)

© Copyright 2020 | mobilegn.com