Επεξήγηση επιθέσεων κακόβουλου λογισμικού χωρίς αρχεία (με παραδείγματα)
Το κακόβουλο λογισμικό είναι κακόβουλο λογισμικό που δρα σε αντίθεση με τα συμφέροντα του υπολογιστή που το φιλοξενεί. Ιοί, σκουλήκια και Trojans είναι όλα τύπους κακόβουλου λογισμικού . Ο τυπικός τρόπος με τον οποίο μια συσκευή μολύνεται από κακόβουλο λογισμικό είναι μέσω ενός εκτελέσιμου προγράμματος που αντιγράφεται στον υπολογιστή του θύματος. Αυτό το αρχείο συχνά μεταμφιέζεται σε διαφορετική μορφή αρχείου, όπως PDF ή JPEG, ή είναι κρυμμένο μέσα σε ένα αρχείο μεταφοράς, όπως ένα συμπιεσμένο αρχείο zip.
Είναι ιός το κακόβουλο λογισμικό χωρίς αρχεία;
Όταν εκτελείται κακόβουλο λογισμικό, οι οδηγίες του αρχείου φορτώνονται στη μνήμη. Είναι αυτή η ενεργή διαδικασία που προκαλεί τη ζημιά. Το κακόβουλο λογισμικό χωρίς αρχεία είναι το ίδιο με έναν παραδοσιακό ιό, καθώς είναι μια διαδικασία που λειτουργεί στη μνήμη. Η διαφορά μεταξύ αυτού του νέου τύπου κακόβουλου λογισμικού και των παραδοσιακών ιών είναι αυτή ο κώδικας για κακόβουλο λογισμικό χωρίς αρχεία δεν αποθηκεύεται σε αρχείο ούτε εγκαθίσταται στον υπολογιστή του θύματος . Το κακόβουλο λογισμικό χωρίς αρχεία φορτώνεται απευθείας στη μνήμη ως εντολές του συστήματος και εκτελείται αμέσως. Συχνά θα συνεχίσει να εκτελείται έως ότου απενεργοποιηθεί η κεντρική συσκευή - η θέση ενός υπολογιστή σε κατάσταση αναμονής δεν θα εξοντώσει τη διαδικασία κακόβουλου λογισμικού. Η συντριπτική πλειοψηφία των κακόβουλων προγραμμάτων χωρίς αρχεία στοχεύει υπολογιστές με Windows.
Δείτε επίσης: Πλήρης οδηγός για την αφαίρεση και την πρόληψη κακόβουλου λογισμικού των Windows
Προέλευση κακόβουλου λογισμικού χωρίς αρχεία
Κανείς δεν ξέρει ποιος εφηύρε την έννοια του κακόβουλου λογισμικού χωρίς αρχεία. Ωστόσο, αυτός ο τύπος λειτουργίας εμφανίστηκε για πρώτη φορά το 2017. Τα πρώτα παραδείγματα αυτού του κακόβουλου λογισμικού ήταν τα Frodo, Number of the Beast και The Dark Avenger.
Η έννοια του 'χωρίς αρχείο'
Παρόλο που το μοντέλο χωρίς αρχείο είναι νέο, βασίζεται σε τυπικές τεχνικές κακόβουλου λογισμικού που λειτουργούν από τη δεκαετία του 1990. Θα ήταν δύσκολο να φορτώσετε ένα πρόγραμμα στη μνήμη χωρίς κανένα αρχείο. Η πραγματική λειτουργία της εγκατάστασης διαχειρίζεται ένα ξεχωριστό πρόγραμμα, το οποίο περιλαμβάνει ένα αρχείο. Η στρατηγική της ομαδοποίησης εξειδικευμένων προγραμμάτων κακόβουλου λογισμικού είναι κοινή πρακτική στην αρχιτεκτονική Trojan.
Ωστόσο, το σύστημα χωρίς αρχεία δεν περιλαμβάνει δεύτερο πρόγραμμα που έχει ληφθεί από πρόγραμμα εγκατάστασης κακόβουλου λογισμικού. Αντίθετα, τα μόνιμα, αξιόπιστα προγράμματα εκτελούνται με τρόπο που τα κάνει να λειτουργούν κακόβουλα. Η υπηρεσία υπολογιστή που κατέστησε δυνατό κακόβουλο λογισμικό χωρίς αρχεία είναι το PowerShell της Microsoft.
Γιατί τώρα?
Οι επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία έχουν γίνει πιο διαδεδομένες από το 2017 χάρη στη δημιουργία κιτ επίθεσης που ενσωματώνουν κλήσεις στο PowerShell. Αυτά τα κιτ είναι περιβάλλοντα δημιουργίας ιών. Τα πλαίσια χωρίς αρχείο περιλαμβάνουν Αυτοκρατορία και PowerSploit . Αυτά τα κιτ δημιουργούν τη φάση εισβολής μιας επίθεσης. Περιλαμβάνονται τα πλαίσια επίθεσης που δημιουργούν παρεμβατικά και επιζήμια σενάρια PowerShell για παράδοση αργότερα Metasploit και CobaltStrike.
Η off-the-shelf μέθοδος δημιουργίας επίθεσης χωρίς αρχεία έχει δει μια έκρηξη σε αυτόν τον τύπο κακόβουλου λογισμικού. ο Έκθεση του Ινστιτούτου Ponemon 'The State of Endpoint Security Risk Report' εκτιμά ότι το 77 τοις εκατό των επιθέσεων που εντοπίστηκαν το 2017 ήταν χωρίς αρχεία. Οι συντάκτες της έκθεσης πιστεύουν ότι οι επιθέσεις χωρίς αρχεία είναι δέκα φορές πιο επιτυχημένη παρά επιθέσεις που βασίζονται σε αρχεία.
Ένα πιο πρόσφατο κανω ΑΝΑΦΟΡΑ παρουσίασε αύξηση 888% στον εντοπισμό κακόβουλου λογισμικού χωρίς αρχεία το 2020.
Σχετικά με το PowerShell
Το PowerShell είναι ένας διερμηνέας σεναρίων. Ένα σενάριο είναι μια συλλογή εντολών που μπορούν να εκτελεστούν μεμονωμένα πληκτρολογώντας τες . Ωστόσο, όταν γράφετε ένα αρχείο απλού κειμένου που περιέχει μια σειρά από εντολές του λειτουργικού συστήματος, γίνεται σενάριο . Ένα σενάριο δεν θα κάνει τίποτα αν κάνετε απλώς κλικ σε αυτό. Στη βασική του κατάσταση, το σενάριο είναι απλώς ένα αρχείο απλού κειμένου. αντι αυτου , στο πρέπει να περάσετε το σενάριο ως παράμετρο σε ένα πρόγραμμα διερμηνέα . Στη συνέχεια, ο διερμηνέας διαβάζει το αρχείο και εκτελεί κάθε εντολή που περιέχεται μέσα.
Το πρόγραμμα PowerShell εκτελείται στη μνήμη του συστήματος για την οποία δεν είναι δυνατή η αναζήτηση ή η αναζήτηση, έτσι ώστε καθιστά σχεδόν αδύνατο να εντοπιστούν κακόβουλες δραστηριότητες PowerShell . Το PowerShell έχει πλήρη πρόσβαση στο βασικό λειτουργικό σύστημα ενός υπολογιστή με Windows, επομένως μπορεί να προκαλέσει τον πλήρη όλεθρο επειδή υπονομεύει όλα τα χαρακτηριστικά ασφαλείας, όπως τους λογαριασμούς χρηστών . Μπορεί ακόμη και να χειριστεί τον ορισμό των λογαριασμών χρηστών και την προστασία με κωδικό πρόσβασης.
Πρέπει να διαγράψω το Powershell;
Το PowerShell είναι πολύ χρήσιμο και χρησιμοποιείται ευρέως από πολλά τυπικά προγράμματα, ιδιαίτερα βοηθητικά προγράμματα της Microsoft . Το πρόγραμμα μπορεί να εκτελεστεί από απόσταση και μπορεί επίσης να εκτελέσει εντολές σε άλλους υπολογιστές στους οποίους είναι συνδεδεμένος ο κεντρικός υπολογιστής μέσω δικτύου ή Διαδικτύου. Η διαχείριση των λειτουργιών απομακρυσμένης εκτέλεσης του PowerShell γίνεται στην πραγματικότητα από ένα άλλο εγγενές εργαλείο των Windows, που ονομάζεται WinRM . Οι ρουτίνες του PowerShell δεν αποκλείονται από τείχη προστασίας ή προγράμματα προστασίας από ιούς, επειδή είναι πανταχού παρόντα σε σύγχρονα περιβάλλοντα πληροφορικής και ο αποκλεισμός τους θα έκλεινε ένα μεγάλο τμήμα της δραστηριότητας του δικτύου.
Ένα άλλο εγγενές πρόγραμμα που μπορεί να χρησιμοποιηθεί για επιθέσεις χωρίς αρχεία είναι το Όργανα διαχείρισης των Windows (WMI) . Η χρήση του WMI είναι η μεταφορά εντολών στο PowerShell. Ένα παράδειγμα χρήσιμης λειτουργίας που μπορεί να εκτελέσει το WMI για έναν χάκερ χωρίς αρχεία είναι η δυνατότητα αφύπνισης του WinRM εάν έχει απενεργοποιηθεί σε ένα μηχάνημα. Το WMI παρέχει επίσης στον χάκερ πρόσβαση στο μητρώο ενός υπολογιστή.
Έχουμε καλύψει το PowerShell με περισσότερες λεπτομέρειες στο δικό μας Φύλλο εξαπάτησης PowerShell άρθρο.
Εκτέλεση κακόβουλου λογισμικού χωρίς αρχεία
Το πρόγραμμα εγκατάστασης που εκκινεί κακόβουλο λογισμικό χωρίς αρχεία δεν χρειάζεται να είναι εγκατεστημένο σε υπολογιστή για μεγάλο χρονικό διάστημα. Δεν αναμένεται να αντέξει στη συσκευή υποδοχής. Αντίθετα, μια κοινή μέθοδος παράδοσης για την εκκίνηση προγραμμάτων κακόβουλου λογισμικού χωρίς αρχεία είναι μέσω ιστοσελίδων.
Εκκινήσεις που βασίζονται στο Web
Μια ιστοσελίδα είναι γραμμένη σε HTML. Αυτή είναι απλώς μια γλώσσα μορφοποίησης χωρίς δυνατότητες προγραμματισμού. Ετσι, εμφανίστηκε ένας αριθμός γλωσσών δέσμης ενεργειών που επιτρέπουν την εκτέλεση λειτουργιών προγράμματος εντός ιστοσελίδων . Η JavaScript είναι ένα παράδειγμα γλώσσας δέσμης ενεργειών Ιστού. Είναι πολύ φυσιολογικό μια ιστοσελίδα να περιλαμβάνει JavaScript και τα προγράμματα κατά του κακόβουλου λογισμικού σπάνια προσπαθούν να την αναλύσουν.
Η JavaScript που δημιουργεί κακόβουλο λογισμικό χωρίς αρχεία καλεί το PowerShell και το τροφοδοτεί με μια σειρά από εντολές. Κάθε εντολή εκτελείται στη μνήμη χωρίς να χρειάζεται να αναπηδήσει μέσα από ένα αρχείο στο δίσκο . Μόλις εκτελεστούν όλες οι εντολές, η JavaScript κλείνει το παράθυρο του PowerShell και δεν υπάρχει κανένα ίχνος ότι ένα σενάριο εκτελέστηκε. Παρόλο που ο κώδικας για την ιστοσελίδα θα αποθηκευτεί προσωρινά στο δίσκο κατά τη φόρτωσή της στο πρόγραμμα περιήγησης, όταν αυτή η ιστοσελίδα κλείσει, ο κώδικας που τη δημιούργησε διαγράφεται .
Άλλοι μεταφορείς
Ένας άλλος κοινός φορέας κακόβουλου λογισμικού χωρίς αρχεία είναι το σύστημα αναπαραγωγής βίντεο Flash. Οι μακροεντολές στα εργαλεία του Microsoft Office μπορούν επίσης να χρησιμοποιηθούν από χάκερ για την παράδοση κακόβουλου λογισμικού χωρίς αρχεία.
Το γεγονός ότι η ζημιά που προκαλείται από κακόβουλο λογισμικό χωρίς αρχεία εκτελείται από οδηγίες που αποστέλλονται σε εγγενή προγράμματα, αντί από κακόβουλο κώδικα, δίνει σε αυτόν τον τύπο εισβολής το όνομα ' επίθεση χωρίς κακόβουλο λογισμικό .»
Επιμονή κακόβουλου λογισμικού χωρίς αρχεία
Όταν απενεργοποιείτε έναν υπολογιστή, όλες οι ενεργές διεργασίες τερματίζονται. Οι διεργασίες που είναι υπηρεσίες του λειτουργικού συστήματος ξεκινούν ξανά όταν ενεργοποιείτε τον υπολογιστή . Πρέπει να περιμένετε λίγο μεταξύ του κλικ στο κουμπί λειτουργίας στον υπολογιστή σας και του σημείου στο οποίο φορτώνεται η επιφάνεια εργασίας και μπορείτε να ξεκινήσετε το άνοιγμα εφαρμογών. Ακόμη και όταν η επιφάνεια εργασίας είναι έτοιμη, θα παρατηρήσετε ότι ο υπολογιστής σας εξακολουθεί να είναι πολύ απασχολημένος καθώς συνεχίζει να εκκινεί διαδικασίες παρασκηνίου.
Σενάρια εμμονής
Το κακόβουλο λογισμικό χωρίς αρχεία εγγράφει το σενάριό του στο Μητρώο των Windows. Αυτή είναι μια λειτουργία του λειτουργικού συστήματος που εκκινεί προγράμματα είτε κατά την εκκίνηση του συστήματος είτε βάσει χρονοδιαγράμματος . Ο κώδικας που εκτελεί το κακόβουλο λογισμικό χωρίς αρχεία είναι στην πραγματικότητα ένα σενάριο. Ένα σενάριο είναι μια λίστα εντολών απλού κειμένου και όχι ένα μεταγλωττισμένο εκτελέσιμο αρχείο.
Οι σύντομες λίστες οδηγιών δεν χρειάζεται να αποθηκεύονται σε ένα αρχείο. Ωστόσο, τα μεγαλύτερα και πιο περίπλοκα σενάρια αποθηκεύονται για επανεκκίνηση κατά την εκκίνηση του συστήματος. Σε αυτές τις περιπτώσεις, αν και το πρόγραμμα ταξινομείται ως 'χωρίς αρχείο', στην πραγματικότητα εμπλέκεται ένα αρχείο.
Αναγνωριστικά διεργασίας
Καθώς το κακόβουλο λογισμικό χωρίς αρχεία εκκινεί προγράμματα εγγενή στο λειτουργικό σύστημα αντί για το δικό του πρόγραμμα, οι λειτουργίες αυτών των οδηγιών δεν εμφανίζονται στο Διαχειριστής εργασιών κάτω από το όνομα του προγράμματος κακόβουλου λογισμικού. Αντίθετα, οποιοσδήποτε εξετάζει ενεργές διεργασίες θα δει το όνομα της διεπαφής που διαχειρίστηκε την εκκίνηση του σεναρίου, όπως το PowerShell και, στη συνέχεια, θα δει τις κοινές διεργασίες που λειτουργούν με το δικό του όνομα.
Παραδείγματα επιθέσεων κακόβουλου λογισμικού χωρίς αρχείο
Το φαινόμενο κακόβουλου λογισμικού χωρίς αρχεία είναι σχετικά πρόσφατο και επομένως δεν έχουν υπάρξει ακόμη πολλά παραδείγματα. Ωστόσο, εδώ είναι μερικές από τις επιθέσεις που έχουν σημειωθεί από το 2017.
Φρόντο
Αν και ο Frodo δεν ήταν πραγματικά ένας ιός χωρίς αρχεία, περιλαμβάνεται σε αυτόν τον κατάλογο καθώς θεωρείται ένας από τους προδρόμους του είδους. Η πτυχή του ιού που τον επισημαίνει ως πρόδρομο κακόβουλου λογισμικού χωρίς αρχεία είναι ότι φορτώθηκε στον τομέα εκκίνησης ενός υπολογιστή.
Ο Φρόντο ανακαλύφθηκε τον Οκτώβριο του 1989 . Ήταν σχετικά ακίνδυνο στο ότι ήταν μια φάρσα και όχι ένα καταστροφικό κομμάτι κώδικα. Στόχος του ήταν να αναβοσβήσει το μήνυμα ' Ο Φρόντο ζει » στην οθόνη του μολυσμένου υπολογιστή. Ωστόσο, το πρόγραμμα ήταν τόσο άσχημα γραμμένο που είχε τη δυνατότητα να βλάψει κατά λάθος τον οικοδεσπότη του.
Ο Σκοτεινός Εκδικητής
Αυτός είναι ένας άλλος προδρομικός δείκτης της μεθοδολογίας ιών χωρίς αρχεία και ανακαλύφθηκε για πρώτη φορά τον Σεπτέμβριο του 1989. Αυτός ο ιός απαιτούσε ένα αρχείο ως σύστημα παράδοσης, αλλά στη συνέχεια λειτουργούσε στη μνήμη.
Στόχος του ήταν να μολύνει εκτελέσιμα αρχεία κάθε φορά που εκτελούνταν σε μολυσμένο υπολογιστή. Θα μόλυνε ακόμη και αρχεία όποτε αντιγράφονταν . Ο δημιουργός αυτού του ιού έγινε γνωστός ως Dark Avenger.
Major 2.0
Η Kaspersky Labs με έδρα τη Μόσχα έχει αναδειχθεί ως ένας από τους κορυφαίους παραγωγούς κατά του κακόβουλου λογισμικού στον κόσμο. Το 2015 ανακάλυψαν μια από τις πρώτες μολύνσεις κακόβουλου λογισμικού χωρίς αρχείο που επιτίθεται στο δικό τους σύστημα πληροφορικής .
Αυτός ο ιός ονομάστηκε Major 2.0 από τους ερευνητές της Kaspersky, οι οποίοι υπολόγισαν ότι ο ιός δεν είχε εντοπιστεί στο δίκτυο για τουλάχιστον έξι μήνες. Τα χαρακτηριστικά του Duqu 2.0 το προσδιόρισαν ως παραλλαγή του Stuxnet, το οποίο δημιουργήθηκε από τις μυστικές υπηρεσίες των ΗΠΑ και του Ισραήλ.
Επιχείρηση Cobalt Kitty
Αυτή ήταν μια προχωρημένη επίμονη απειλή που άντεξε για τουλάχιστον ένα χρόνο πριν γίνει εντοπίστηκε τον Μάιο του 2017 .
Το κακόβουλο λογισμικό εκτελέστηκε στο σύστημα μιας ασιατικής εταιρείας και τα εμπλεκόμενα σενάρια PowerShell μπορούσαν να επικοινωνούν με έναν εξωτερικό διακομιστή εντολών και ελέγχου. Αυτό της επέτρεψε να ξεκινήσει μια σειρά επιθέσεων, που περιελάμβαναν τον ιό Cobalt Strike Beacon.
Μετρητής
Το πρόγραμμα Meterpreter βρήκε τον δρόμο του στη μνήμη των υπολογιστών σε περισσότερες από 100 τράπεζες σε 40 χώρες τον Φεβρουάριο του 2017. Το Meterpreter είναι ένα ενσωματωμένο στοιχείο του κιτ κακόβουλου λογισμικού, που ονομάζεται Metasploit .
Αυτή η επίθεση είχε ως στόχο τον έλεγχο μηχανημάτων ATM και τη διευκόλυνση μιας ληστείας μετρητών. Η ανακάλυψη του κακόβουλου λογισμικού απέτρεψε την απόπειρα ληστείας σε όλες εκτός από μία χώρα. Χάκερ στη Ρωσία κατάφεραν να ελέγξουν τα ΑΤΜ οκτώ τραπεζικών υποκαταστημάτων και να αποσύρουν 800.000 δολάρια . Η Kaspersky Labs ανακάλυψε αυτήν την κρυφή επίθεση όταν κλήθηκε από μια μολυσμένη τράπεζα να ερευνήσει την εισβολή.
UIWIX
Η επίθεση ransomware WannaCry τον Μάιο του 2017 προσέλκυσε μεγάλη κάλυψη από τα μέσα ενημέρωσης. Το UIWIX κυκλοφόρησε λίγο αργότερα, αλλά με λιγότερη επιτυχία. Το UIWIX χρησιμοποιεί το ίδιο exploit με το WannaCry, το οποίο ονομάζεται Eternal Blue. Ωστόσο, έχει ένα σύστημα εκτέλεσης χωρίς αρχεία . Η δημοσιότητα που περιέβαλε την κυκλοφορία του WannaCry ώθησε τη Microsoft να καταλήξει σε μια ενημερωμένη έκδοση κώδικα που έλυσε μια αδυναμία στην έκδοση XP των Windows.
Η επείγουσα ανάγκη με την οποία οι κάτοχοι μηχανών XP έκλεισαν αυτό το exploit εγκαθιστώντας την ενημέρωση κώδικα σήμαινε ότι είχαν απομείνει λίγοι ευάλωτοι υπολογιστές μέχρι την κυκλοφορία του UIWIX. Το UIWIX είναι ένα παράδειγμα του πώς Αιώνιο Μπλε χρησιμοποιείται όλο και περισσότερο σε επιθέσεις χωρίς αρχεία. Αυτή είναι μια επίθεση λύτρων με απαιτήσεις γραμμένες στα αγγλικά. Το πρόγραμμα δεν θα εκτελεστεί στη Ρωσία, το Καζακστάν ή τη Λευκορωσία.
WannaMine
Η εκμετάλλευση του Eternal Blue χρησιμοποιείται επίσης από χάκερ εξορύκτες κρυπτονομισμάτων και απευθύνεται στους μεγάλους διακομιστές εταιρειών. Αυτό το κακόβουλο λογισμικό χωρίς αρχεία εξορύσσει κρυπτονομίσματα στον κεντρικό υπολογιστή .
Χάρη στη μυστικότητα του μοντέλου χωρίς κακόβουλο λογισμικό, πολλές από αυτές τις μολύνσεις επιμένουν για μήνες. Ο ιός εντοπίστηκε για πρώτη φορά να τρέχει στη μνήμη χωρίς κανένα ίχνος προγράμματος που βασίζεται σε αρχεία στα μέσα του 2017 και οι νέες μολύνσεις βρίσκονται σε εξέλιξη. Ο σκοπός του WannaMine είναι η δημιουργία Monero .
Misfox
Το Misfox εντοπίστηκε για πρώτη φορά από την ομάδα της Microsoft Incident Response Απρίλιος 2016 . Το Misfox χρησιμοποιεί τις κλασικές τεχνικές χωρίς αρχείο για την εκτέλεση εντολών μέσω του PowerShell και την επίτευξη επιμονής μέσω μόλυνσης από το μητρώο.
Οι δημιουργοί του Misfox είχαν την ατυχία να εντοπίσουν το κακόβουλο λογισμικό τους από μια βασική ομάδα ασφαλείας της Microsoft . Αυτό οδήγησε στη δέσμη της Microsoft μια λύση για αυτό το κακόβουλο λογισμικό στο Windows Defender.
Τάσεις κακόβουλου λογισμικού χωρίς αρχεία
Αν και υπήρξε αξιοσημείωτη αύξηση στον αριθμό των επιθέσεων κακόβουλου λογισμικού χωρίς αρχεία στις αρχές του 2017, η επιτυχία αυτής της τεχνικής φαίνεται να μειώνεται . Η άνοδος του 2017 οφειλόταν στην ανακάλυψη και τον ορισμό της τεχνικής και τη διατύπωσή της σε κιτ εργαλείων χάκερ, γεγονός που έκανε τη μεθοδολογία εύκολη στην εφαρμογή.
Κύκλος ζωής κακόβουλου λογισμικού
Η αξιοσημείωτη έλλειψη επιτυχίας του UIWIX σε σύγκριση με τον άμεσο προκάτοχό του WannaCry δείχνει οι πιο αποτελεσματικές τεχνικές χάκερ είναι νέες. Η ταχύτητα με την οποία η βιομηχανία της κυβερνοασφάλειας σπεύδει τώρα να κλείσει τα exploits μειώνει σημαντικά τη διάρκεια επίθεσης νέων ιών και μεθόδων μόλυνσης.
Αμυντική απάντηση
Αν και Το κακόβουλο λογισμικό χωρίς αρχεία είναι πιο δύσκολο να εντοπιστεί από τις παραδοσιακές μολύνσεις που βασίζονται σε αρχεία , η συγκεκριμένη στόχευση των υπηρεσιών των Windows αποτέλεσε πρόκληση για τη Microsoft και αντιμετώπισε πλήρως αυτήν την πρόκληση. Η απάντηση σε επιθέσεις χωρίς κακόβουλο λογισμικό προήλθε από την ίδια τη Microsoft παρά από τη βιομηχανία κατά του κακόβουλου λογισμικού.
Οι διαδικασίες συστήματος που χρησιμοποιούνται από κακόβουλο λογισμικό χωρίς αρχεία είναι τόσο σημαντικές για τα λειτουργικά συστήματα της Microsoft και τους προγραμματιστές λογισμικού Windows που δεν μπορούν να απενεργοποιηθούν χωρίς να χαθούν οι περισσότερες από τις δυνατότητες λογισμικού υποδομής πληροφορικής μιας επιχείρησης .
Επομένως, Η Microsoft αναβάθμισε το πακέτο Windows Defender για να ανιχνεύσει ακανόνιστη δραστηριότητα από το PowerShell και το WMI . Η λεπτή ρύθμιση του Windows Defender επέτρεψε στη Microsoft να διπλασιάσει τον αριθμό των περιστατικών που απέκλεισε το τείχος προστασίας το δεύτερο τρίμηνο του 2017 σε σύγκριση με το προηγούμενο τρίμηνο. Αυτή η επιτυχία ενάντια στο Misfox θα παγίδευε επίσης άλλους ιούς που εκμεταλλεύονται το PowerShell.
Οι εξελίξεις στην άμυνα των Windows
Η Microsoft έχει δημιουργήσει μια ολόκληρη σειρά εμπορικών προϊόντων υποστήριξης με το όνομα ομπρέλα Microsoft 365 . Αυτή η σουίτα περιλαμβάνει βελτιωμένα μέτρα ασφαλείας μαζί με μια ενημερωμένη έκδοση του το γραφείο της Microsoft .
Καθώς το κακόβουλο λογισμικό χωρίς αρχεία επιτίθεται σχεδόν αποκλειστικά στα Windows, αυτό είναι ένα πρόβλημα της Microsoft και η απάντηση της εταιρείας θα πρέπει να μειώσει γρήγορα τον κίνδυνο επιθέσεων χωρίς κακόβουλο λογισμικό.
Πώς να σταματήσετε το κακόβουλο λογισμικό χωρίς αρχεία
Η κύρια άμυνα ενάντια σε κάθε είδους κακόβουλο λογισμικό είναι να διατηρείτε το λογισμικό σας ενημερωμένο. Καθώς η Microsoft είναι πολύ ενεργή στη λήψη μέτρων για τον αποκλεισμό της εκμετάλλευσης του PowerShell και του WMI, η εγκατάσταση τυχόν ενημερώσεων από τη Microsoft θα πρέπει να αποτελεί προτεραιότητα.
Μην σκοτώσετε το JavaScript
Αν και Το JavaScript είναι ένα σημαντικό κανάλι για κακόβουλο λογισμικό χωρίς αρχεία , η απενεργοποίησή του σε προγράμματα περιήγησης δεν είναι πραγματικά μια μακροπρόθεσμη λύση στο πρόβλημα του κακόβουλου λογισμικού. Αυτό συμβαίνει επειδή τα περισσότερα JavaScript εμφανίζονται σε ιστοσελίδες για κάποιο λόγο. Εάν το αποκλείσετε χονδρικά, θα διαπιστώσετε ότι πολλές από τις ιστοσελίδες που επισκέπτεστε είναι είτε κενές είτε στοιχεία που λείπουν. Ένας άλλος λόγος που το φιλτράρισμα JavaScript πιθανότατα δεν θα βοηθήσει είναι αυτός υπάρχει επίσης ένας διερμηνέας JavaScript ενσωματωμένος στα Windows και αυτό μπορεί να κληθεί μέσα από μια ιστοσελίδα χωρίς να χρειάζεται JavaScript.
Άλλα μέτρα που μπορείτε να λάβετε για να αποκλείσετε την εισβολή κακόβουλου λογισμικού χωρίς αρχεία είναι:
1. Ορίστε πολιτικές email
Προσέξτε τους υπαλλήλους να κάνουν κλικ σε συνδέσμους στα μηνύματα ηλεκτρονικού ταχυδρομείου. Δελεάζοντας κάποιον μέσα στο δίκτυο να έναν ιστότοπο που περιέχει τον κακόβουλο κώδικα είναι ο ευκολότερος τρόπος για να μεταφέρετε κακόβουλο λογισμικό χωρίς αρχεία σε έναν υπολογιστή με Windows.
Επίσης, προσέξτε τους εργαζόμενους να μην ανοίγουν συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου που δεν αποστέλλονται από αξιόπιστες πηγές. Δύο τύποι εγγράφων είναι ιδιαίτερα επικίνδυνα:
- Έγγραφα του Microsoft Office
Αν και η μορφή PDF χρησιμοποιείται ευρέως στις επιχειρήσεις , είναι επίσης ένα εξαιρετικό μέσο για τη διάδοση κακόβουλου λογισμικού όλων των τύπων. Το κακόβουλο λογισμικό χωρίς αρχεία υποστηρίζεται από τη δυνατότητα άμεσης φόρτωσης αρχείων PDF σε προγράμματα περιήγησης αντί να τα κατεβάσετε. Αυτά τα PDF μπορούν να παραδοθούν ως συνημμένα email ή ως «λευκές βίβλοι» που διατίθενται από ιστότοπους.
Εάν γίνει λήψη ενός PDF πριν ανοίξει, το τείχος προστασίας σας έχει την ευκαιρία να εντοπίσει τυχόν κακόβουλο κώδικα μέσα. Επίσης, Ένα από τα προβλήματα της ανίχνευσης μιας επίθεσης χωρίς αρχεία είναι να προσδιορίσετε από πού προήλθε . Εάν γίνει λήψη του αρχείου, είναι διαθέσιμο για ανάλυση αργότερα. Αυτό είναι προτιμότερο από τον εξαφανιζόμενο κακόβουλο κώδικα που δεν αφήνει ίχνη της ύπαρξής του μόλις κλείσει η καρτέλα προβολής PDF στο πρόγραμμα περιήγησης.
Απενεργοποιήστε τη δυνατότητα φόρτωσης αρχείων PDF σε προγράμματα περιήγησης. Θα πρέπει επίσης απενεργοποιήστε τα προγράμματα ανάγνωσης PDF από την ενεργοποίηση JavaScript .
Μακροεντολές Microsoft Office
Η χρήση του Μακροεντολές Microsoft Office για τη διάδοση κακόβουλου λογισμικού είναι ευρέως γνωστό στην κοινότητα της κυβερνοασφάλειας. Το λογισμικό παραγωγικότητας της Microsoft διατίθεται πλέον με απενεργοποιημένες δυνατότητες μακροεντολών. Οι εργαζόμενοι στους οποίους αποστέλλονται συνημμένα email σε μορφή Word ή Excel ενδέχεται να μπουν στον πειρασμό να ενεργοποιήσουν τις μακροεντολές όταν τους ζητηθεί.
Μια επίθεση μακροεντολών δεν είναι στην πραγματικότητα ένας αγωγός κακόβουλου λογισμικού χωρίς αρχεία. Ωστόσο, η διαδικτυακή διαθεσιμότητα των προϊόντων της Microsoft, συμπεριλαμβανομένων των θεατών για έγγραφα παραγωγικότητας για όσους δεν διαθέτουν τη σουίτα του Office, δημιουργεί ευκαιρίες για εκτελέστε μακροεντολές στο πρόγραμμα περιήγησης και ξεκινήστε κλήσεις σε PowerShell ή WMI .
Ευαισθητοποίηση των εργαζομένων
Εξηγήστε στους εργαζόμενους ότι πρέπει Ποτέ μην ενεργοποιείτε τις μακροεντολές του Microsoft Office σε κανένα έγγραφο . Αν και οι μακροεντολές είναι εξαιρετικές για την αυτοματοποίηση εργασιών, έχουν γίνει τόσο πιθανός κίνδυνος που είναι καλύτερο να βρείτε άλλες μεθόδους για τη δημιουργία φορμών και εγγράφων. Είναι καλύτερα οι εργαζόμενοί σας να μην εξοικειωθούν με τη δυνατότητα εκτέλεσης μακροεντολών σε έγγραφα.
2. Απενεργοποιήστε το Flash
Ακριβώς όπως το Adobe stablemate, το PDF, το σύστημα παράδοσης βίντεο web Το Flash έχει γίνει γνωστό ως χαρακτηριστικό φιλικό προς κακόβουλο λογισμικό σε μια ιστοσελίδα . Οι περισσότεροι ιστότοποι έχουν ήδη αφαιρέσει το Flash και το έχουν αντικαταστήσει με HTML5 για συμπερίληψη βίντεο. Επομένως, δεν είναι μεγάλη δυσκολία να αποκλείσετε την εμφάνιση αυτού του συστήματος στα προγράμματα περιήγησής σας.
Ενέργειες προγράμματος περιήγησης
Microsoft Edge δεν θα δεχτεί κώδικα Flash, οπότε αν αυτό είναι το πρόγραμμα περιήγησης της επιλογής σας, δεν χρειάζεται να κάνετε τίποτα. Και τα δυο Firefox και Χρώμιο σας δίνουν την επιλογή να αποκλείσετε το Flash στις οθόνες ρυθμίσεών τους και Internet Explorer δεν θα φορτώσει το Flash εάν απενεργοποιήσετε ActiveX .
Διαβάστε περισσότερα εδώ στο γιατί το Flash δεν είναι ασφαλές .
3. Απαγόρευση προσωπικής χρήσης των πόρων της εταιρείας
Εισαγάγετε μια πολιτική που απαγορεύει στους υπαλλήλους να χρησιμοποιούν υπολογιστές της εταιρείας για πρόσβαση σε προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου ή ιστότοπους αναψυχής. Αυτό μπορεί να μην είναι δημοφιλές, αλλά μπορείτε να δημιουργήσετε ένα ξεχωριστό δίκτυο Wi-Fi που επιτρέπει στους υπαλλήλους να χρησιμοποιούν προσωπικές συσκευές ώστε να έχουν πρόσβαση στο διαδίκτυο κατά τις περιόδους διαλειμμάτων.
Βιομηχανικές σχέσεις
Τέτοιες υπηρεσίες είναι δημοφιλείς στους εργαζόμενους και αφαιρούν τον πειρασμό του προσωπικού να παραβιάσει τους κανόνες και να προσπαθήσει να αποκτήσει πρόσβαση στο διαδίκτυο μέσω του κύριου δικτύου της εταιρείας. Το δίκτυο «ιδίας χρήσης» μπορεί να διατηρηθεί εντελώς ξεχωριστό από το κύριο σύστημα της εταιρείας για τη μείωση του κινδύνου διασταυρούμενης μόλυνσης. Ρύθμιση ξεχωριστού συστήματος wifi και πληρωμή για άλλο πρόγραμμα Διαδικτύου κοστίζει πολύ λιγότερο από τις απώλειες που θα μπορούσατε να αντιμετωπίσετε από μια επίθεση κακόβουλου λογισμικού .
4. Προστατέψτε τα προγράμματα περιήγησής σας
Δημιουργήστε μια πολιτική γραφείου που επιτρέπει μόνο έναν τύπο προγράμματος περιήγησης σε επιτραπέζιους υπολογιστές εταιρείας. Στη συνέχεια, εγκαταστήστε την προστασία του προγράμματος περιήγησης σε κάθε υπολογιστή. Microsoft παράγει Windows Defender Application Guard . Αυτό είναι μέρος του Office 365 και γράφτηκε με συγκεκριμένες διαδικασίες για την προστασία από επιθέσεις κακόβουλου λογισμικού χωρίς αρχεία . Αυτή η προστασία καλύπτει μόνο Internet Explorer και Microsoft Edge .
Windscrib
Εάν αποφασίσετε να χρησιμοποιήσετε Firefox ή Χρώμιο ως πρόγραμμα περιήγησης του γραφείου σας και, στη συνέχεια, εγκαταστήστε την επέκταση Windscrib σε κάθε πρόγραμμα περιήγησης. Αυτό το βοηθητικό πρόγραμμα θα εξετάσει κάθε ιστοσελίδα που φορτώνει το πρόγραμμα περιήγησης και θα αποκλείσει οποιαδήποτε σελίδα περιέχει κακόβουλο κώδικα. Η επέκταση είναι κυρίως VPN. Ωστόσο, όσο είναι εγκατεστημένη η επέκταση, η προστασία του προγράμματος περιήγησης παραμένει ενεργή ακόμα και αν το VPN είναι απενεργοποιημένο. Η επέκταση έχει επίσης μια προαιρετική δυνατότητα που θα αφαιρέσει τα κουμπιά 'Μου αρέσει' στα μέσα κοινωνικής δικτύωσης . Αυτά τα κουμπιά αποτελούν κίνδυνο για την ασφάλεια και μπορούν επίσης να περιέχουν κώδικα, ο οποίος δυνητικά θα μπορούσε να είναι ένας φορέας για φόρτωση στις οδηγίες του PowerShell.
5. Ενισχύστε τον έλεγχο ταυτότητας χρήστη
Η Microsoft προτείνει ότι η εξάπλωση του κακόβουλου λογισμικού χωρίς αρχεία δεν προκαλείται από την ύπαρξη του PowerShell, αλλά είναι αποτέλεσμα αδύναμου ελέγχου ταυτότητας χρήστη σε εταιρικά δίκτυα και διακομιστές . Μια επίθεση χωρίς κακόβουλο λογισμικό εξαπλώνεται σε όλο το δίκτυο εάν εγκατασταθεί σε έναν υπολογιστή του οποίου ο χρήστης έχει δικαιώματα πρόσβασης υψηλού επιπέδου σε μεγάλο αριθμό πόρων εντός του συστήματος πληροφορικής. ο Cobalt Kitty κακόβουλο λογισμικό εισήλθε στο σύστημα στοχεύοντας τους διευθυντές και τους διαχειριστές υποδομής της θύματα της εταιρείας. Αυτοί οι υπερχρήστες τείνουν να έχουν πρόσβαση σε όλα τα μέρη του δικτύου.
Προστασία με κωδικό πρόσβασης
Χρησιμοποιώ θησαυροφυλάκια κωδικών πρόσβασης και να δημιουργήσετε διαφορετικά σημεία ελέγχου ταυτότητας για κάθε εξοπλισμό ή υπηρεσία στο δίκτυο. Θα πρέπει επίσης να εξετάσετε την εφαρμογή έλεγχος ταυτότητας δύο παραγόντων Αυτό απαιτεί ένα φυσικό gadget που δημιουργεί κώδικα για να παρέχει ένα δεύτερο επίπεδο κλειδιού πρόσβασης που δεν μπορεί να μιμηθεί το κακόβουλο λογισμικό.
Ζητήματα κακόβουλου λογισμικού χωρίς αρχεία
Το κακόβουλο λογισμικό χωρίς αρχεία είναι μια σχετικά πρόσφατη μέθοδος για εισβολή χάκερ σε ένα δίκτυο. Είναι ανησυχητικό γιατί είναι καινούργιο και Υπάρχουν λίγα άτομα στην κοινότητα της κυβερνοασφάλειας με τη γνώση και την εμπειρία για να αντιμετωπίσουν αυτό το πρόβλημα . Στην πραγματικότητα, η κύρια βιομηχανία κατά του κακόβουλου λογισμικού φαίνεται να συνέχισε να παραβλέπει αυτήν τη μεθοδολογία.
Παραθυράκι κατά του κακόβουλου λογισμικού
Ολόκληρο το λειτουργικό σύστημα των προγραμμάτων προστασίας από κακόβουλο λογισμικό βασίζεται στον έλεγχο αρχείων . Έτσι, η μετάβαση σε ένα σύστημα χωρίς αρχεία ήταν μια πολύ έξυπνη κίνηση από χάκερ που έχει τυφλώσει τις παραδοσιακές διαδικασίες προστασίας από ιούς. Αν και οι παραγωγοί προστασίας από ιούς αντιμετωπίζουν προβλήματα με τον επανασχεδιασμό των στρατηγικών τους, η Microsoft δεν έδειξε κανένα δισταγμό στο να ρίξει πόρους στο πρόβλημα και συνέβαλε στη μείωση των επιτυχιών επιθέσεων σε υπολογιστές με Windows.
Μελλοντικές εξελίξεις
Τώρα αμέσως, Το κακόβουλο λογισμικό χωρίς αρχεία επιτίθεται μόνο στο λειτουργικό σύστημα των Windows . Ωστόσο, οι χάκερ φαίνεται να έχουν μια τυπική γραμμή εγγραφής επιθέσεων για τα Windows πρώτα και στη συνέχεια να προσαρμόζουν αυτές τις στρατηγικές για Mac OS και Linux αργότερα. Οι επιθέσεις Android συνήθως ακολουθούν και το iOS χτυπιέται τελευταίο.
Η δυνατότητα παράδοσης κώδικα μέσω προγραμμάτων περιήγησης θα πρέπει να κάνει το κακόβουλο λογισμικό χωρίς αρχεία πολύ εύκολο να προσαρμοστεί σε άλλα λειτουργικά συστήματα. Το μόνο πρόβλημα που αντιμετωπίζουν οι χάκερ κατά τη μεταφορά αυτής της στρατηγικής επίθεσης είναι η ανάγκη να το ανακαλύψουν μια αντίστοιχη υπηρεσία σε Linux και Mac που θα ταιριάζει με τη χρησιμότητα του PowerShell . Το γεγονός ότι δεν έχουν βρει ακόμα αυτή τη δυνατότητα οφείλεται πιθανώς στο ότι είναι τόσο απασχολημένοι με την εκμετάλλευση του PowerShell αυτή τη στιγμή.
Ετοιμότητα συστήματος
Η νούμερο ένα άμυνα ενάντια στο κακόβουλο λογισμικό χωρίς αρχεία είναι να διατηρείτε ενημερωμένο όλο το λογισμικό σας . Η δεύτερη άμυνα είναι να αδυναμία ασφάλειας τερματισμού του προγράμματος περιήγησης, και η τρίτη ενέργεια είναι να εκπαιδεύστε τους υπαλλήλους σας σχετικά με τους ιστότοπους που επισκέπτονται και τα συνημμένα email που μπορεί να συναντήσουν .
Ξεκίνα τώρα
Τα καλά νέα είναι ότι όλα τα Οι κύριες στρατηγικές άμυνας ενάντια στο κακόβουλο λογισμικό χωρίς αρχεία δεν κοστίζουν τίποτα στην εφαρμογή τους . Επομένως, δεν πρέπει να υπάρχει τίποτα που να σας εμποδίζει να εφαρμόσετε μια πολιτική για να ενισχύσετε την άμυνα της εταιρείας σας έναντι κακόβουλου λογισμικού χωρίς αρχεία.
Σχετίζεται με:
10 Δωρεάν εργαλεία αφαίρεσης ιών και κακόβουλου λογισμικού
Κακόβουλο λογισμικό αλλαγής DNS
Εικόνες:
Αποτυχία του Powershell με Φίλιπ Στιούαρτ αδειούχος CC BY-SA 2.0
Ρυθμίσεις προσθηκών με Ρωτήστε το Xmodulo αδειούχος CC BY-SA 2.0
