Малвер без датотека^{(Fileless Malware)} је можда нови термин за већину, али безбедносна индустрија то зна годинама. Прошле године је преко 140 предузећа широм света погођено овим малвером без датотека –^{(Fileless Malware –)} укључујући банке, телекомуникације и владине организације. Малвер без датотека^{(Fileless Malware)} , као што име објашњава, је врста злонамерног софтвера који не додирује диск нити користи датотеке у том процесу. Учитава се у контексту легитимног процеса. Међутим, неке безбедносне фирме тврде да напад без фајла оставља малу бинарну датотеку у компромитујућем хосту да би покренуо напад малвера. Такви напади су забележили значајан пораст у последњих неколико година и ризичнији су од традиционалних напада злонамерног софтвера.

Напади малвера без датотека

Напади злонамерног софтвера без датотека^{(Fileless Malware)} такође познати као напади без малвера^{(Non-Malware attacks)} . Они користе типичан скуп техника да уђу у ваше системе без употребе било какве датотеке злонамерног софтвера која се може открити. У последњих неколико година, нападачи су постали паметнији и развили су много различитих начина за покретање напада.

Злонамерни^(Fileless) софтвер без датотека инфицира рачунаре не остављајући за собом ниједан фајл на локалном чврстом диску, заобилазећи традиционалне безбедносне и форензичке алате.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Злонамерни софтвер без датотека налази се у меморији са случајним приступом^{(Random Access Memory)} вашег рачунарског система и ниједан антивирусни програм не прегледа меморију директно – тако да је то најбезбеднији режим да нападачи упадну у ваш рачунар и украду све ваше податке. Чак и најбољи антивирусни програми понекад пропусте малвер који се покреће у меморији.

Неке од недавних инфекција малвером без датотека^{(Fileless Malware)} које су заразиле рачунарске системе широм света су – Ковтер^(Kovter) , УСБ Тхиеф^{(USB Thief)} , ПоверСнифф^(PowerSniff) , Повеликс^(Poweliks) , ПхасеБот^(PhaseBot) , Дуку2^(Duqu2) , итд.

Како функционише малвер без датотека

Малвер без датотека када дође у меморију^(Memory) може да примени ваше изворне и системске административне Виндовс^(Windows) уграђене алате као што су ПоверСхелл^(PowerShell) , СЦ.еке^(SC.exe) и нетсх.еке^(netsh.exe) за покретање злонамерног кода и добијање администраторског приступа вашем систему, како би избаците команде и украдите ваше податке. Малвер без датотека^{(Fileless Malware)} понекад се такође може сакрити у руткитовима^{(Rootkits)(Rootkits)} или регистру^(Registry) оперативног система Виндовс.

Када уђу, нападачи користе Виндовс^{(Windows Thumbnail)} кеш сличица да сакрију механизам малвера. Међутим, злонамерном софтверу је и даље потребна статичка бинарна датотека да уђе у рачунар домаћин, а е-пошта је најчешћи медиј који се користи за исто. Када корисник кликне на злонамерни прилог, он уписује шифровану датотеку корисног оптерећења у Виндовс Регистри^{(Windows Registry)} .

^{(Fileless Malware)}Такође је познато да злонамерни софтвер без датотека користи алате као што су Мимикатз^(Mimikatz) и Метаспоилт^(Metaspoilt) за убацивање кода у меморију вашег рачунара и читање података који су тамо ускладиштени. Ови алати помажу нападачима да уђу дубље у ваш рачунар и украду све ваше податке.

Аналитика понашања и малвер без^(Fileless) датотека

Пошто већина обичних антивирусних програма користи потписе да идентификује датотеку малвера, малвер без датотека је тешко открити. Стога, безбедносне фирме користе аналитику понашања за откривање злонамерног софтвера. Ово ново безбедносно решење је дизајнирано да се избори са претходним нападима и понашањем корисника и рачунара. Свако ненормално понашање које указује на злонамерни садржај се затим обавештава упозорењима.

Када ниједно решење за крајњу тачку не може да открије малвер без датотека, аналитика понашања открива свако аномално понашање као што је сумњива активност пријављивања, неуобичајено радно време или коришћење било ког нетипичног ресурса. Ово безбедносно решење бележи податке о догађајима током сесија у којима корисници користе било коју апликацију, претражују веб локацију, играју игрице, комуницирају на друштвеним медијима итд.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Како се заштитити од и открити малвер без датотека^{(Fileless Malware)}

Пратите основне мере предострожности да бисте заштитили свој Виндовс рачунар^{(precautions to secure your Windows computer)} :

• Примените^(Apply) све најновије исправке за Виндовс –^{(Windows Updates –)} посебно безбедносне исправке за ваш оперативни систем.
• Уверите^(Make) се да је сав ваш инсталирани софтвер закрпљен и ажуриран на најновије верзије
• Користите добар безбедносни производ који може ефикасно да скенира меморију вашег рачунара и такође блокира злонамерне веб странице на којима се можда налазе Екплоитс^(Exploits) . Требало би да нуди праћење понашања^(Behavior) , скенирање меморије^(Memory) и заштиту сектора покретања .^{(Boot Sector)}
• Будите опрезни пре преузимања прилога е-поште^{(downloading any email attachments)} . Ово је да би се избегло преузимање корисног оптерећења.
• Користите јак заштитни зид^(Firewall) који вам омогућава да ефикасно контролишете мрежни^(Network) саобраћај.

Прочитајте следеће^{(Read next)} : Шта су напади Ливинг Офф Тхе Ланд^{(Living Off The Land attacks)} ?

Fileless Malware Attacks, Protection and Detection

Fileless Malware may be a new term for most but the security industry has known it for years. Last year over 140 enterprises worldwide were hit with this Fileless Malware – including banks, telecoms, and government organizations. Fileless Malware, as the name explains is a kind of malware that doesn’t touch the disk or use any files in the process. It gets loaded in the context of a legitimate process. However, some security firms claim that the fileless attack leaves a small binary in the compromising host to initiate the malware attack. Such attacks have seen a significant rise in last few years and they are riskier than the traditional malware attacks.

Fileless Malware attacks

Fileless Malware attacks also known as Non-Malware attacks. They use a typical set of techniques to get into your systems without using any detectable malware file. In the past few years, the attackers have become smarter and have developed many different ways to launch the attack.

Fileless malware infects the computers leaving behind no file on the local hard drive, sidestepping the traditional security and forensics tools.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

The fileless malware resides in the Random Access Memory of your computer system, and no antivirus program inspects the memory directly – so it is the safest mode for the attackers to intrude in your PC and steal all your data. Even the best antivirus programs sometimes miss the malware running in the memory.

Some of the recent Fileless Malware infections that have infected computer systems worldwide are – Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

How does Fileless Malware work

The fileless malware when it lands into the Memory can deploy your native and system administrative Windows built-in tools like PowerShell, SC.exe, and netsh.exe to run the malicious code and get the admin access to your system, so as to carry out the commands and steal your data. Fileless Malware sometime may also hide in Rootkits or the Registry of the Windows operating system.

Once in, the attackers use the Windows Thumbnail cache to hide the malware mechanism. However, the malware still needs a static binary to enter the host PC, and email is the most common medium used for the same. When the user clicks on the malicious attachment, it writes an encrypted payload file in the Windows Registry.

Fileless Malware is also known to use tools like Mimikatz and Metaspoilt to inject the code into your PC’s memory and read the data stored there. These tools help the attackers to intrude deeper into your PC and steal all your data.

Behavioral analytics and Fileless malware

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Follow the basic precautions to secure your Windows computer:

• Apply all the latest Windows Updates – especially the security updates to your operating system.
• Make sure that all your installed software is patched and updated to their latest versions
• Use a good security product that can efficiently scan your computer’s memory and also block malicious web pages that may be hosting Exploits. It should offer Behavior monitoring, Memory scanning, and Boot Sector protection.
• Be careful before downloading any email attachments. This is to avoid downloading the payload.
• Use a strong Firewall that lets you effectively control Network traffic.

Read next: What are Living Off The Land attacks?

Related posts

• Напади рањивости на отмицу ДЛЛ-а, превенција и откривање

• Како избећи пхисхинг преваре и нападе?

• Шта је тројанац за даљински приступ? Превенција, откривање и уклањање

• Сајбер напади – дефиниција, врсте, превенција

• Цристал Сецурити је бесплатна алатка за откривање злонамерног софтвера заснована на облаку за рачунар

• Алати за удаљену администрацију: ризици, претње, превенција

• Најбољи скенери вируса и злонамерног софтвера ГАРАНТОВАНО ће уништити сваки вирус

• ИОбит Малваре Фигхтер Бесплатан преглед и преузимање

• Савети за заштиту рачунара од напада Тхундерспи-а

• Најбољи онлајн скенери малвера на мрежи за скенирање датотеке

• Како можете добити рачунарски вирус, тројанац, посао, шпијунски софтвер или малвер?

• Како проверити да ли у регистру има малвера у оперативном систему Виндовс 11/10

• Најбољи бесплатни софтвер за уклањање шпијунског и малвера

• Како уклонити злонамерни софтвер са рачунара у оперативном систему Виндовс 10

• Како уклонити вирус из Виндовс 11/10; Водич за уклањање злонамерног софтвера

• Шта су напади Ливинг Офф Тхе Ланд? Како остати безбедан?

• Како користити Аваст Боот Сцан за уклањање злонамерног софтвера са Виндовс рачунара

• Наведени модул није пронађен грешка у оперативном систему Виндовс 11/10

• Цриптојацкинг нове претње рударења претраживача о којима морате да знате

• Како уклонити Цхромиум вирус из Виндовс 11/10