A fájl nélküli rosszindulatú programok megértése és az ellene való védekezés

Ha úgy gondolta, hogy rosszindulatú rosszindulatú program telepítése számítógépére, várja meg, amíg meg nem találja a fájl nélküli kártevőt, egy rejtett behatolót, amely nem hagy nyomot a tárolómeghajtón.

A hagyományos rosszindulatú programokat könnyebb eltávolítani, ha egyszer észlelik, mivel látható fájlok vannak a tárolómeghajtón a víruskereső ellenőrzéséhez és eltávolításához. A fájl nélküli rosszindulatú programok teljes egészében a számítógép memóriájából (RAM) működnek, így sokkal nehezebb észlelni őket.

Ebben a bejegyzésben mindent elmondok, amit a fájl nélküli rosszindulatú programokról és az ellenük való védekezésről tudni kell.

Mi az a Fileless Malware?

SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjA+WQ4MOK6m26mOK6m CYA6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD0Vac3b7q63RwKWpXD0Vac3b252 w3hwpY+50VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAXfoRzzPBLZlI344LgDJW9WHs/ tpgCAAA=

A fájl nélküli rosszindulatú program egy rosszindulatú kódrészlet, amely a rendszer memóriájából hajtja végre magát. Főleg legális alkalmazásokban keresi a sebezhetőségeket, majd feltöri azokat, hogy végrehajtsa magát. Ritka esetekben megnyithatja saját rosszindulatú folyamatait a funkciók végrehajtásához.

Mivel a víruskereső általában a letöltött és telepített fájlokat/programokat vizsgálja, a fájl nélküli rosszindulatú programokat sokkal nehezebb felismerni, mivel nincs hozzájuk társított fájl. Az általa végrehajtott rosszindulatú funkciók hasonlóak a legtöbb más rosszindulatú programhoz; a fő különbség az, hogy a PC-ben hogyan helyezkedik el.

Hogyan fertőzi meg a fájl nélküli rosszindulatú program az eszközt?

A legtöbb más típusú rosszindulatú programhoz hasonlóan a fájl nélküli rosszindulatú programok is főként e-mailben lévő rosszindulatú hivatkozásokon, rosszindulatú webhelyeken vagy social engineering támadásokon keresztül terjednek. A végrehajtás azonban különbözik, mivel a számítógépen lévő programokban vagy magában az operációs rendszerben keresi a sebezhetőségeket.

A gyakori sebezhető alkalmazások közé tartozik a Powershell, a Windows Management Instrumentation (WMI), a böngésző és az összes telepített sebezhető beépülő modul. A biztonsági rést kihasználva rosszindulatú kódot fecskendez be a legitim programba, és a célnak megfelelően hajt végre feladatokat.

Például egy fertőzött Powershell rendszergazdai szintű parancsokat hajthat végre adatok ellopására vagy fontos adatok titkosítására.

Kép forrása: TrendMicro

A „folyamatürítést” is használhatja, hogy kiürítse egy legitim folyamat tartalmát, majd feltöltse azt rosszindulatú kódjával, hogy a neve alatt működjön.

PowerGhost jó példa egy fájl nélküli rosszindulatú támadásra, amely a WMI-t és a Powershell-t használta a vállalati számítógépek észlelés nélküli titkosítására.

Milyen veszélyeket jelentenek a fájl nélküli rosszindulatú programok?

Ahogy korábban mondtam, a fájl nélküli rosszindulatú programok a legtöbb olyan feladatot el tudják látni, amelyek hasonlóak a számítógépes tárolókban található rosszindulatú programokhoz. Minden attól függ, hogy milyen célból kódolták a fájl nélküli kártevőt, és milyen sebezhetőséget használ ki.

Az általa végrehajtott általános rosszindulatú funkciók közé tartozik az adatlopás, a hitelesítő adatok ellopása, az adattitkosítás, a tevékenység megfigyelése, a kulcsnaplózás, a kripto-bányászat, a DDoS támadások és a biztonsági beállítások módosítása további támadásokhoz.

A jobb kép érdekében az alábbiakban felsorolom a korábbi széles körű, fájl nélküli rosszindulatú támadásokat:

PowerWare: Ez a zsarolóprogram egy olyan típusa volt, amely a Powershell segítségével parancsokat futott le a fontos fájlok zárolására, és megpróbálta meghamisítani, hogy titkosítva vannak. Ezt követően kriptovalutában kéri a fizetést.

PowerSniff: A Microsoft Word biztonsági beállításait kihasználva terjedt el a dokumentumként küldött makrók végrehajtására. A makró átkutatta a számítógépet, és ellopta a hitelesítő adatokat.

TrickBot: Bár nem teljesen fájl nélküli kártevő, a TricktBot az egyik fejlett verziójában betöltötte a moduljait a memóriába. A rosszindulatú program fő célja pénzügyi hitelesítő adatok ellopása volt.

Netwalker Ransomware: Ez egy másik zsarolóprogram, amely fájl nélküli taktikát használ, de a titkosítása valódi. A legális Microsoft-folyamatokat rosszindulatú kódra cserélte, hogy elrejtse magát és parancsokat futtasson.

Hogyan lehet felismerni a fájl nélküli rosszindulatú programokat?

Mivel a fájl nélküli kártevők alattomosak, nagyon nehéz felismerni őket. Ha úgy gondolja, hogy rosszindulatú hivatkozásra kattintott, és a számítógépe megfertőződött, néhány dolgot megtehet, hogy kitalálja, és a védelmi intézkedések felé haladjon.

Az alábbiakban néhány gyakori nyomot kell keresni:

Szokatlan rendszerviselkedés: A fájl nélküli rosszindulatú programok szokatlan viselkedést idézhetnek elő, például bizonyos alkalmazások megnyitását és bezárását, számítógép lefagyását, összeomlásokat vagy újraindításokat stb.

A teljesítmény lassulása: A rendszer általános teljesítményének hirtelen csökkenését észlelheti. Ez lefagyáshoz is vezethet.

Szokatlan hálózati tevékenység: A lassabb hálózati teljesítmény mellett szokatlan forgalmat észlelhet egy olyan domain felé, amelyhez nem lépett hozzá. Hálózatelemzéshez mindig a GlassWire-t ajánlom.

Egy folyamat magas CPU-használata: Nyissa meg a Feladatkezelőt, és nézze meg, hogy egy szokatlan folyamat nem használ-e túl sok CPU-erőforrást. Egy kompromittált folyamat általában akkor is nagy CPU-teljesítményt használ, ha nincs aktív használatban.

Változások a víruskereső alkalmazásban: A fájl nélküli rosszindulatú programok megpróbálhatják letiltani a víruskereső szoftvert, hogy a számítógépet sebezhetővé tegyék a rosszindulatú programok több típusával szemben.

Ezeken kívül olyan víruskeresőt is kell használnia, amely beépített viselkedésészlelő funkciókkal rendelkezik a fájl nélküli rosszindulatú programok elkapásához. Az ilyen víruskereső alkalmazások képesek észlelni az alkalmazások és folyamatok szokatlan viselkedését, hogy észleljék, ha fertőzöttek.

A Kaspersky Antivirus erre a célra szánt fájl nélküli kártevő elleni védelem olyan eszközök, amelyek nemcsak szokatlan viselkedést észlelnek, hanem olyan érzékeny Windows-funkciókat is átvizsgálnak, mint a WMI vagy a Windows Registry, hogy rosszindulatú kódokat keressenek. A Kaspersky emellett hosszú múltra tekint vissza a népszerű fájl nélküli rosszindulatú támadások felfedezésében.

Mi a teendő, ha készüléke megfertőződött?

Ha úgy gondolja, hogy számítógépe megfertőződött, nagy eséllyel már túl késő. Ha a rosszindulatú program el akart lopni valamit, akkor valószínűleg már megtették.

Azonban az első védelmi vonal a számítógép teljes kikapcsolása és újraindítása. Mivel a RAM illékony memória, teljesen törlődik, amikor a számítógép leáll. Ez remélhetőleg automatikusan eltávolítja a fájl nélküli rosszindulatú programot, mielőtt bármiféle kárt okozna.

Sajnos a legtöbb fájl nélküli rosszindulatú program beépített módszerekkel rendelkezik az újraindítás túlélésére, például a kód betöltésére a rendszerleíró adatbázis bejegyzésébe. Ha lehetséges, próbálja meg elindítani a számítógépet csökkentett módban, majd kövesse az alábbi módszereket:

#1. Keresés víruskeresővel

Ismét szüksége lesz egy víruskereső alkalmazásra, amely rendelkezik a fájl nélküli rosszindulatú programok elleni védelem eszközeivel. Továbbra is a Kasperskyt ajánlom a fájl nélküli rosszindulatú programok által végrehajtott módosítások megtalálásához. Azonban kipróbálhatja a Malwarebytes-t is, amely mesterséges intelligencia alapú viselkedésészlelést biztosít a fájl nélküli rosszindulatú programok számára.

#2. Használja a Rendszer-visszaállítást

A Rendszer-visszaállítás időben visszaállíthatja a számítógépet egy korábbi állapotba, és visszaállíthatja az összes módosítást. Mivel alapértelmezés szerint minden Windows PC-n engedélyezve van, a számítógépén is engedélyeznie kell, hacsak nem saját maga tiltotta le.

A Rendszer-visszaállítás megnyitásához egyszerűen írja be a Recovery parancsot a Windows keresőbe. Itt láthatja az összes jelenleg elmentett visszaállítási pontot, amelyhez visszatérhet. Az összes változás kijavításához válassza ki a rosszindulatú programfertőzés előtti lehetőséget.

#3. Állítsa vissza a számítógépet

Ha nem volt visszaállítási pontja, akkor a számítógép alaphelyzetbe állításával is kijavíthatja az összes kárt, miközben megtartja a helyi adatokat. Az alaphelyzetbe állítás azonban törli a számítógépre telepített összes programot, ezért győződjön meg arról, hogy nincs bennük fontos mentett adat.

A Windows beállításaiban lépjen a Rendszer > Helyreállítás menüpontra, majd kattintson a Számítógép visszaállítása elemre. A felugró ablakban kattintson a Fájlok megtartása lehetőségre, és kövesse az utasításokat a visszaállításhoz.

Hogyan védekezzünk a fájl nélküli rosszindulatú programok ellen?

A rendszeres rosszindulatú programok ellen védő intézkedések többsége a fájl nélküli rosszindulatú programok ellen is véd. Csak győződjön meg arról, hogy viselkedésészlelő víruskeresőt telepít, és ne töltsön le rosszindulatú tartalmat, és ne kattintson rá.

Van azonban néhány védelmi intézkedés, amelyek fontosabbak a fájl nélküli rosszindulatú programok elleni védelemben. Az alábbiakban felsorolom őket:

Tartsa frissítve az operációs rendszert és az alkalmazásokat

A fájl nélküli rosszindulatú programok nagymértékben függenek az alkalmazások és az operációs rendszer biztonsági réseitől. Győződjön meg arról, hogy operációs rendszere a legújabb biztonsági frissítésekkel rendelkezik, és minden alkalmazás naprakész. E frissítések közül sok olyan biztonsági rések javítását tartalmazza, amelyeket a fájl nélküli rosszindulatú programok kihasználhatnak.

Legyen óvatos a böngészőbővítményekkel

A fájl nélküli rosszindulatú programok a böngésző beépülő moduljait is megfertőzhetik sebezhetőségekkel. Ügyeljen arra, hogy csak megbízható és jó hírű böngészőbővítményeket töltsön le, és tartsa azokat naprakészen. Fertőzés esetén ajánlatos újratelepíteni a bővítményeket, hogy megbizonyosodjon arról, hogy nem ők a tettesek.

Monitor hálózat

Szinte minden fájl nélküli rosszindulatú program hálózati kapcsolatot létesít saját szervereivel, hogy elvégezze feladatát. Egy olyan eszköz, mint a GlassWire, nemcsak a gyanús kapcsolatok megtekintésében segíthet, hanem a beépített tűzfalnak köszönhetően automatikusan blokkolja is azokat. Azt javaslom, hogy állítson be benne értesítéseket, hogy mindig kapjon értesítést, ha gyanús kapcsolatot észlel.

Növelje a biztonságot a felhasználói fiókok felügyeletében (UAC)

Beállíthatja, hogy a Windows UAC mindig értesítsen, ha Ön vagy egy alkalmazás rendszermódosítást hajt végre. Ez kissé bosszantóvá teheti a dolgokat az egyes változtatásokról szóló értesítések miatt, de nagymértékben növelheti a biztonságot a rejtett rosszindulatú programok, például a fájl nélküli kártevők ellen.

Keresse meg az UAC kifejezést a Windows Keresésben, és kattintson a Felhasználói fiókok felügyeleti beállításainak módosítása elemre. Itt állítsa a biztonsági sávot a tetejére.

Alkalmazza az Endpoint Security Solution megoldást

A vállalatok számára egy végponti biztonsági megoldás a biztonság központosításával megvédheti a hálózat összes számítógépét. Még ha egy eszköz meg is fertőződik, a hálózaton lévő többi eszköz biztonságban marad, és a biztonsági megoldás segíthet a fertőzött eszköz kijavításában. Frissítéseik is valós idejűek, így a sérülékenységek javítása után azonnal kijavításra kerülnek.

CrowdStrike erre a célra jó megoldás, amely mesterséges intelligencia alapú védelmet kínál a kibertámadások ellen. Van benne a dedikált memória szkenner funkció fájl nélküli kártevő elleni védelemhez.

Utolsó gondolatok 🖥️🦠

A fájl nélküli rosszindulatú programok valóban a legokosabb rosszindulatú támadások közé tartoznak. Néha a hackerek nagy támadásuk részeként is használják őket, hogy első hozzáférést szerezzenek, vagy gyengítsék a rendszert. Őszintén szólva, a legtöbb ilyen támadás könnyen elkerülhető, ha kordában tartjuk a kíváncsiságunkat, és nem kattintunk semmire, amiben kételkedünk.

Ezután arról is olvashat, hogyan vizsgálhatja meg és távolíthatja el a rosszindulatú programokat Android és iOS telefonokról.