Бесфайловое вредоносное ПО: все, что вам нужно знать об этом скрытом злоумышленнике
Мир ИТ-безопасности с самого начала никогда не сталкивался с нехваткой кибератак. В прошлом году произошли одни из самых новых, передовых и смертоносных кибератак и взломов в истории. Рост числа новых вредоносных программ, распространение программ-вымогателей и фишинга в совокупности нарушили работу предприятий и организаций. Вредоносное ПО и киберугрозы развиваются беспрецедентными темпами, и злоумышленники совершенствуют свои методы и приемы для создания передовых вредоносных программ. Одним из таких новых видов вредоносного ПО является бесфайловое вредоносное ПО, на долю которого в настоящее время приходится примерно 15 процентов известных кибератак. В 2017 году жертвами бесфайлового вредоносного ПО стали различные отрасли, включая банковское дело, телекоммуникации, государственные организации и ИТ-предприятия.
Что такое бесфайловое вредоносное ПО?
Бесфайловое вредоносное ПО, как следует из названия, представляет собой тип кибератаки, в процессе которой не используются никакие файлы. Бесфайловые атаки также называют атаками без вредоносного ПО, поскольку они не могут быть обнаружены большинством традиционных антивирусных решений.
Необнаруживаемая угроза
Даже самые законные и безопасные операционные системы и приложения имеют уязвимости, которыми могут воспользоваться злоумышленники. Ирония здесь в том, что об этих лазейках часто не узнают до тех пор, пока не будет нанесен ущерб. Бесфайловые вредоносные программы также создаются на аналогичной основе и обычно запускаются с помощью скриптов PowerShell.
В отличие от большинства вредоносных программ, эти бесфайловые инфекции не размещают никаких полезных файлов на жестком диске системы. Вместо этого вредоносный код находится исключительно в компонентах памяти системы, таких как ОЗУ или регистры, не оставляя следов в файловых системах машины. В результате традиционные антивирусные продукты не могут идентифицировать эту атаку, и без каких-либо мер хакеры могут нанести системе всевозможные повреждения.
Как это работает?
Существуют различные способы поражения бесфайловой атакой. Независимо от способа вторжения, работа этой вредоносной программы одинакова. Вот общий сценарий, объясняющий работу бесфайловой атаки вредоносного ПО.
Когда пользователь щелкает или открывает вредоносную ссылку или посещает скомпрометированный веб-сайт через браузер, бесфайловое вредоносное ПО попадает в системную память, например в оперативную память, через неисправные Flash-плееры или любой другой подключаемый модуль браузера, позволяющий запускать сценарии. Flash является одним из наиболее распространенных векторов атак из-за большого количества уязвимостей.
Как только вредоносное ПО попадает в память системы, оно может получить контроль над собственными инструментами администратора и языками сценариев, такими как PowerShell или netsh.exe, используя административный доступ к системе. Как только это будет сделано, злоумышленники могут получить полный доступ ко всем вашим конфиденциальным данным и могут потребовать солидный выкуп, чтобы вернуть вам доступ к данным.
Каковы его последствия?
Бесфайловые вредоносные программы обладают различными свойствами и характеристиками, которые делают их уникальными среди других вредоносных программ или кибератак. Они более незаметны, поскольку у них есть возможность избежать обнаружения продуктами безопасности. Они находятся в памяти системы, отключают основной язык сценариев системы и выполняют свои собственные команды с правами администратора. Это может не только предоставить злоумышленникам доступ к системам, но и вывести из строя всю систему и ее данные. Если безфайловые вредоносные программы снабжены кодами шифрования, они также могут зашифровать данные пользователя, ведущие к программе-вымогателю. Хотя память в системе сбрасывается при выключении, они могут оставаться в системе максимально долгое время, что дает им постоянство, необходимое для нанесения ущерба.
Как избежать заражения бесфайловым вредоносным ПО
Итак, как нам избежать или бороться с чем-то, что остается неотслеживаемым? Вот некоторые из наиболее эффективных способов обнаружения и предотвращения заражения бесфайловыми вредоносными программами, по мнению экспертов по безопасности.
Поведенческий анализ
Хотя большинство мер безопасности конечных точек, таких как антивирус, не могут обнаружить бесфайловые вирусы, эксперты предполагают, что безфайловые вредоносные программы можно отследить на основе поведения системы. Поскольку вредоносное ПО находится в основной памяти системы, оно может помешать нормальному функционированию системы, что может привести к снижению производительности или зависанию системы. Пользователям необходимо проанализировать эти поведенческие отклонения и существенные изменения в обычном функционировании системы, чтобы обнаружить это вредоносное ПО.
Будьте в курсе, никогда не пропускайте обновления безопасности
Почти все поставщики программных решений и приложений предоставляют своевременные обновления для повышения производительности и безопасности своих продуктов. Однако мы, конечные пользователи, часто упускаем из виду эти обновления. Независимо от типа кибератаки неисправное или устаревшее программное обеспечение является одним из самых простых способов проникновения злоумышленников в системы. Как упоминалось выше, бесфайловые вредоносные программы проникают в систему, как правило, через неисправные плагины для браузера и Flash-плееры. Поэтому абсолютно необходимо постоянно обновлять все программное обеспечение и приложения в вашей системе.
Ограничить запуск ненужных языков сценариев
Бесфайловые вредоносные программы выполняют функции через языки сценариев и другие среды управления, встроенные в операционные системы. В большинстве этих атак среды PowerShell или Windows Management Instrumentation (WMI) используются в качестве среды для запуска вредоносных сценариев, выводящих систему из строя. Поэтому отключайте эти режимы сценариев по умолчанию, когда они не используются, чтобы ограничить возможности бесфайловых кибератак.
Усильте брандмауэр для контроля сетевого трафика
Брандмауэры играют важную роль в предотвращении вторжений и блокировании подключений к незащищенным сайтам. Большинство бесфайловых вредоносных программ проникают в систему посредством фишинга или доступа к вредоносным сайтам. Брандмауэры должны быть правильно настроены, чтобы эффективно контролировать сетевой трафик.
В дополнение к вышеперечисленным мерам есть несколько других важных вещей, таких как использование расширенной безопасности конечных точек, надлежащий мониторинг ролей и сети, добавление приложений в белый список и многое другое, которые могут помочь в борьбе с этими кибератаками.