Атаки, защита и обнаружение вредоносных программ

Файловое вредоносное ПО может быть новым термином для большинства, но индустрия безопасности известна в течение многих лет. В начале этого года более 140 предприятий по всему миру пострадали от этого «Безупречного вредоносного ПО», включая банки, телекоммуникационные компании и правительственные организации. Файловое вредоносное ПО, как объясняет имя, - это своего рода вредоносное ПО, которое не использует никакие файлы в этом процессе. Однако некоторые охранные фирмы утверждают, что файловая атака оставляет небольшую двоичную систему на компрометирующем узле, чтобы инициировать атаку вредоносного ПО. Такие атаки значительно возросли за последние несколько лет, и они более рискованны, чем традиционные атаки вредоносных программ.

Атаки с использованием файлового архива

Фиксация вложений для вредоносных программ, также известная как Атаки без вредоносного ПО . Они используют типичный набор методов для входа в ваши системы без использования обнаруживаемого вредоносного файла. В течение последних нескольких лет нападавшие стали более умными и разработали множество способов запуска атаки.

Безупречное вредоносное ПО заражает компьютеры, не оставляя файлов на локальном жестком диске, обойдя традиционные средства безопасности и криминалистики.

Уникальным в этой атаке является использование сложного вредоносного программного обеспечения, которое удалось прожить исключительно в памяти скомпрометированной машины, не оставляя следа на файловой системе машины. Файловое вредоносное ПО позволяет злоумышленникам избежать обнаружения большинства решений безопасности конечных точек, которые основаны на анализе статических файлов (Anti-Viruses). Последнее продвижение в программном обеспечении «Файловое» показывает, что внимание разработчиков переключается с маскировки сетевых операций на предотвращение обнаружения во время выполнения бокового перемещения внутри инфраструктуры жертвы, сообщает Microsoft.

Файловое вредоносное ПО находится в памяти произвольного доступа вашей компьютерной системы и никакой антивирусной программы не проверяет память напрямую - так что это самый безопасный режим для злоумышленников, который вторгается на ваш компьютер и крадет все ваши данные. Даже самые лучшие антивирусные программы иногда пропускают вредоносное ПО, запущенное в памяти.

Некоторые из недавних инфекций, связанных с вирусами, которые заражены компьютерными системами по всему миру, - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 и т. Д.

Как работает Fileless Malware

Беспилотная вредоносная программа, когда она попадает в Память , может развернуть ваши собственные и системные административные средства Windows, такие как PowerShell , SC.exe и netsh.exe для запуска вредоносного кода и получения доступа администратора к вашей системе, чтобы выполнять команды и красть ваши данные. Файловое вредоносное ПО иногда может скрывать в Rootkits или Registry операционной системы Windows.

Входящие, злоумышленники используют кэш Thumbnail Windows, чтобы скрыть механизм вредоносного ПО. Однако вредоносному ПО по-прежнему требуется статический двоичный код для входа на главный компьютер, а электронная почта - это наиболее распространенный носитель, используемый для этого. Когда пользователь нажимает на вредоносное вложение, он записывает зашифрованный файл полезной нагрузки в реестр Windows.

Файловое вредоносное ПО также известно для использования таких инструментов, как Mimikatz и Metaspoilt , чтобы ввести кода в память вашего ПК и прочитать данные, хранящиеся там. Эти инструменты помогают злоумышленникам проникнуть глубже в ваш компьютер и украсть все ваши данные.

Поведенческая аналитика и вредоносное ПО без шумов

Поскольку большинство обычных антивирусных программ используют подписи для идентификации вредоносного файла, файловое вредоносное ПО трудно обнаружить, Таким образом, фирмы безопасности используют поведенческую аналитику для обнаружения вредоносного ПО. Это новое решение безопасности предназначено для решения предыдущих атак и поведения пользователей и компьютеров. Любое ненормальное поведение, указывающее на вредоносное содержимое, затем уведомляется о предупреждениях.

Когда никакое решение конечной точки не может обнаружить файловое вредоносное ПО, поведенческая аналитика обнаруживает любое аномальное поведение, такое как подозрительная активность входа, необычное рабочее время или использование любого нетипичного ресурса. Это решение безопасности фиксирует данные о событиях во время сеансов, в которых пользователи используют любое приложение, просматривают веб-сайт, играют в игры, взаимодействуют в социальных сетях и т. Д.

Файловое вредоносное ПО станет более умным и более распространенным. Обычным методам и инструментам на основе сигнатур будет сложнее обнаружить этот сложный, скрытый тип вредоносного ПО, сообщает Microsoft.

Как защитить от и обнаруживать файловое вредоносное ПО

Следуйте основным мерам предосторожности для защиты компьютера под управлением Windows:

• Применить все последние обновления Windows - особенно обновления безопасности для вашей операционной системы.
• Убедитесь, что все установленное программное обеспечение исправлено и обновлено до последних версий
• Используйте хороший продукт безопасности, который может эффективно сканировать ваши памяти компьютеров, а также блокировать вредоносные веб-страницы, на которых может размещаться Exploits.
• Будьте внимательны перед загрузкой любых вложений электронной почты. Это необходимо для того, чтобы не загружать полезную нагрузку.
• Используйте сильный брандмауэр, который позволяет эффективно контролировать сетевой трафик.

Если вам нужно больше узнать об этом, перейдите к Microsoft и ознакомьтесь с этим документом McAfee.