Home-theater-designers
Кибермир изобилует инцидентами, связанными с безопасностью. В то время как для большинства кибератак требуется какая-то приманка для проникновения в вашу систему, бесстрашная бесфайловая вредоносная программа живет вне сети и заражает, обращая ваше законное программное обеспечение против самого себя.
Но как атакует бесфайловое вредоносное ПО, если оно не использует никаких файлов? Какие методы используются чаще всего? И можете ли вы защитить свои устройства от бесфайловых вредоносных программ?
Как атакует бесфайловое вредоносное ПО?
Бесфайловые вредоносные программы атакуют уже существующие уязвимости в установленном программном обеспечении.
Типичные примеры включают наборы эксплойтов, которые нацелены на уязвимости браузера, чтобы дать команду браузеру запустить вредоносный код с помощью утилиты Microsoft Powershell или с помощью макросов и сценариев.
Поскольку код для этих атак не хранится в файле и не устанавливается на машине жертвы, он загружает вредоносное ПО прямо в память по команде системы и запускается мгновенно.
Отсутствие исполняемых файлов затрудняет их обнаружение традиционными антивирусными решениями. Естественно, это делает безфайловые вредоносные программы еще более опасными.
Общие методы, используемые бесфайловыми вредоносными программами
Бесфайловому вредоносному ПО не нужен код или файлы для запуска, но требуется модификация собственной среды и инструментов, которые оно пытается атаковать.
Вот несколько распространенных методов, которые бесфайловые вредоносные программы используют для нацеливания на устройства.
Наборы эксплойтов
Эксплойты - это фрагменты «эксплуатируемого» кода или последовательностей, а набор эксплойтов - это набор эксплойтов. Эксплойты - лучший способ запустить бесфайловую атаку, поскольку они могут быть введены непосредственно в память без необходимости записывать что-либо на диск.
Атака с использованием набора эксплойтов запускается так же, как и обычная атака, когда жертву заманивают с помощью фишинговых писем или тактики социальной инженерии. Большинство комплектов включают эксплойты для ряда ранее существовавших уязвимостей в системе жертвы и консоль управления, с помощью которой злоумышленник может контролировать ее.
Вредоносное ПО, которое находится в памяти
Тип вредоносного ПО, известный как вредоносное ПО, постоянно находящееся в реестре, широко используется для бесфайловых атак. Этот вредоносный код запрограммирован на запуск каждый раз, когда вы открываете ОС, и остается скрытым внутри собственных файлов реестра.
После установки бесфайлового вредоносного ПО в реестр Windows оно может оставаться там навсегда, избегая обнаружения.
Вредоносное ПО только для памяти
Этот тип вредоносного ПО находится только в памяти.
Злоумышленники в основном используют широко используемые инструменты системного администрирования и безопасности, включая PowerShell, Metasploit и Mimikatz, для внедрения своего вредоносного кода в память вашего компьютера.
Украденные учетные данные
Кража учетных данных для проведения бесфайловой атаки - очень распространенное явление. Украденные учетные данные можно легко использовать для нацеливания на устройство под предлогом реального пользователя.
Как только злоумышленники захватят устройство с помощью украденных учетных данных, они могут использовать для атаки собственные инструменты, такие как Windows Management Instrumentation (WMI) или PowerShell. Большинство киберпреступников также создают учетные записи пользователей, чтобы получить доступ к любой системе.
Связанный: Риск компрометации учетных данных и инсайдерских угроз на рабочем месте
Примеры бесфайловых атак
Бесфайловые вредоносные программы существуют уже довольно давно, но они стали основной атакой только в 2017 году, когда злоумышленники создали комплекты, объединяющие вызовы PowerShell.
Вот несколько интересных примеров безфайловых вредоносных программ, о некоторых из которых вы, несомненно, слышали.
Темный мститель
Это предвестник атак безфайлового вредоносного ПО. Обнаруженный в сентябре 1989 года, он требовал файла в качестве начальной точки доставки, но позже работал внутри памяти.
Основная цель этой атаки состояла в том, чтобы заражать исполняемые файлы каждый раз, когда они запускались на зараженном компьютере. Заразятся даже скопированные файлы. Создатель этой атаки известен как «Темный мститель».
Фродо
Frodo не является безфайловой атакой в истинном смысле этого слова, но это был первый вирус, который был загружен в загрузочный сектор компьютера, что сделало его частично безфайловым.
сколько уведомлений о нарушении авторских прав я могу получить
Он был обнаружен в октябре 1989 года как безобидная шутка с целью высветить сообщение «Фродо жив» на экранах зараженных компьютеров. Однако из-за плохо написанного кода это фактически превратилось в разрушительную атаку для своих хостов.
Операция Cobalt Kitty
Эта знаменитая атака была обнаружена в мае 2017 года и была осуществлена в системе азиатской корпорации.
Сценарии PowerShell, использованные для этой атаки, были связаны с внешним сервером управления и контроля, что позволило ему запустить серию атак, включая вирус Cobalt Strike Beacon.
Misfox
Эта атака была обнаружена группой реагирования на инциденты Microsoft еще в апреле 2016 года. Она использует безфайловые методологии выполнения команд через PowerShell, а также обеспечивает постоянство за счет проникновения в реестр.
Поскольку эта атака была обнаружена группой безопасности Microsoft, в Защитник Windows было добавлено комплексное решение для защиты от этого вредоносного ПО.
WannaMine
Эта атака осуществляется путем майнинга криптовалюты на главном компьютере.
Впервые атака была обнаружена в середине 2017 года при запуске в памяти без каких-либо следов файловой программы.
Фиолетовая лиса
Purple Fox изначально был создан в 2018 году как бесфайловый троян-загрузчик, которому для заражения устройств требовался набор эксплойтов. Он появился в реконфигурированном виде с дополнительным модулем червя.
По теме: Что такое вредоносное ПО Purple Fox и как оно может распространяться на Windows?
сделать установочный диск Windows 10
Атака инициируется фишинговым письмом, доставляющим полезную нагрузку червя, который автоматически сканирует и заражает системы на базе Windows.
Purple Fox также может использовать атаки методом перебора, сканируя уязвимые порты. Как только целевой порт найден, он инфильтрируется для распространения инфекции.
Как предотвратить бесфайловое вредоносное ПО
Мы установили, насколько опасными могут быть бесфайловые вредоносные программы, особенно потому, что некоторые пакеты безопасности не могут их обнаружить. Следующие пять советов могут помочь смягчить любой жанр бесфайловых атак.
1. Не открывайте подозрительные ссылки и вложения.
Электронная почта является самой большой отправной точкой для бесфайловых атак, поскольку наивные пользователи электронной почты могут быть заманены открытием вредоносных почтовых ссылок.
Не нажимайте на ссылки вы не уверены на 100 процентов. Вы можете проверить, где в первую очередь заканчивается URL-адрес, или узнать, можете ли вы доверять ему, исходя из ваших отношений с отправителем и содержимого электронного письма в противном случае.
Кроме того, нельзя открывать вложения, отправленные из неизвестных источников, особенно те, которые содержат загружаемые файлы, такие как PDF-файлы и документы Microsoft Word.
2. Не убивайте JavaScript
JavaScript может оказать большое влияние на бесфайловые вредоносные программы, но полное его отключение не помогает.
Помимо того факта, что большинство посещаемых вами страниц будут либо пустыми, либо с отсутствующими элементами, в Windows также есть встроенный интерпретатор JavaScript, который можно вызывать из веб-страницы без необходимости использования JavaScript.
Самый большой недостаток заключается в том, что он может дать вам ложное ощущение безопасности от бесфайловых вредоносных программ.
3. Отключить Flash.
Flash использует Windows PowerShell Tool для выполнения команд с помощью командной строки, когда он выполняется в памяти.
Чтобы правильно защититься от бесфайловых вредоносных программ, важно отключить Flash, если в этом нет особой необходимости.
4. Используйте защиту браузера.
Защита домашнего и рабочего браузеров - ключ к предотвращению распространения бесфайловых атак.
Для рабочих сред создайте офисную политику, которая разрешает использовать только один тип браузера для всех рабочих столов.
Установка защиты браузера как Application Guard в Защитнике Windows очень полезен. Это программное обеспечение, входящее в состав Office 365, было написано с особыми процедурами для защиты от бесфайловых атак.
5. Реализуйте надежную аутентификацию.
Основным виновником распространения бесфайловых вредоносных программ является не PowerShell, а скорее слабая система аутентификации.
Внедрение надежных политик аутентификации и ограничение привилегированного доступа путем реализации принципа наименьших привилегий (POLP) может значительно снизить риск бесфайловых вредоносных программ.
Победить бесфайловое вредоносное ПО
Не оставляя следов, бесфайловые вредоносные программы используют встроенные в ваш компьютер «безопасные» инструменты для проведения атак.
Однако лучший способ победить бесфайловые или любые вредоносные программы - это узнать и понять различные методы, используемые при проведении этих атак.
Делиться Делиться Твитнуть Эл. адрес 5 распространенных векторов атак киберпреступлений и как их избежатьКиберпреступники полагаются на одну и ту же группу векторов атак, пытаясь обмануть вас. Узнайте, что это за векторы, и избегайте их.
Читать далее Похожие темы- Безопасность
- Интернет-безопасность
- Защитник Windows
- Вредоносное ПО
Кинза - энтузиаст технологий, технический писатель и самопровозглашенный компьютерщик, которая живет в Северной Вирджинии со своим мужем и двумя детьми. Имея за плечами степень бакалавра компьютерных сетей и многочисленные сертификаты в области ИТ, она работала в телекоммуникационной отрасли, прежде чем заняться написанием технических текстов. Занимая нишу в области кибербезопасности и облачных технологий, она с удовольствием помогает клиентам удовлетворить их разнообразные требования к написанию технической документации по всему миру. В свободное время она любит читать художественную литературу, блоги о технологиях, сочинять остроумные детские сказки и готовить для своей семьи.
Ещё от Kinza YasarПодписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться