Fileless Malware-aanvallen, beveiliging en detectie

Fileless Malware is voor veel gebruikers misschien een nieuwe term, maar de beveiligingsindustrie kent dit al jaren. Eerder dit jaar werden 140 filialen wereldwijd getroffen door deze Fileless Malware - inclusief banken, telecom en overheidsorganisaties. Fileless Malware, zoals de naam uitlegt, is een soort malware die geen bestanden in het proces gebruikt. Sommige beveiligingsfirma`s beweren echter dat de bestandsaanvallige aanval een klein binair getal achterlaat in de compromitterende host om de malwareaanval in te leiden. Dergelijke aanvallen hebben de afgelopen jaren een aanzienlijke stijging gekend en ze zijn risicovoller dan de traditionele malware-aanvallen.

Fileless Malware attacks

Fileless Malware attaks ook bekend als Non-Malware-aanvallen . Ze gebruiken een aantal typische technieken om in uw systemen te komen zonder een detecteerbaar malwarebestand te gebruiken. De afgelopen jaren zijn de aanvallers slimmer geworden en hebben ze verschillende manieren ontwikkeld om de aanval uit te voeren.

Fileless malware infecteert de computers zonder een bestand achter te laten op de lokale harde schijf, waardoor de traditionele beveiliging en forensische hulpprogramma`s worden omzeild.

Wat uniek is aan deze aanval, is het gebruik van een stuk geavanceerde kwaadaardige software, die erin slaagde om puur in het geheugen van een aangetaste machine te verblijven, zonder een spoor na te laten in het bestandssysteem van de machine. Fileless-malware stelt aanvallers in staat detectie te ontwijken van de meest ultieme beveiligingsoplossingen die zijn gebaseerd op analyse van statische bestanden (Anti-Virussen). De nieuwste vooruitgang in Fileless-malware toont aan dat de ontwikkelaars de aandacht verschoven van het vermommen van de netwerkbewerkingen naar het vermijden van detectie tijdens de uitvoering van zijwaartse bewegingen binnen de infrastructuur van het slachtoffer, zegt Microsoft.

De niet-verwijderde malware bevindt zich in het Random Access Memory van uw computersysteem en geen antivirusprogramma inspecteert het geheugen direct - dus het is de veiligste modus voor de aanvallers om zich in uw pc te storen en al uw gegevens te stelen. Zelfs de beste antivirusprogramma`s missen soms de malware die in het geheugen wordt uitgevoerd.

Enkele van de recente besmettingen met fileless malware die wereldwijd geïnfecteerde computersystemen hebben, zijn - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, enz.

Hoe werkt Fileless Malware

De fileloze malware die binnenkomt in het geheugen kan uw eigen ingebouwde systeemgebaseerde Windows-hulpprogramma`s implementeren, zoals PowerShell , SC.exe en netsh.exe om de schadelijke code uit te voeren en de beheerderstoegang tot uw systeem te krijgen, om de opdrachten uit te voeren en uw gegevens te stelen. Fileless Malware kan zich soms ook verbergen in Rootkits of het Register van het Windows-besturingssysteem.

Eenmaal ingebracht, gebruiken de aanvallers de Windows Thumbnail-cache om het malwaremechanisme te verbergen. De malware heeft echter nog steeds een statische binaire code nodig om de host-pc binnen te gaan en e-mail is het meest gebruikte medium voor hetzelfde. Wanneer de gebruiker op de schadelijke bijlage klikt, schrijft deze een gecodeerd payloadbestand in het Windows-register.

Fileless Malware is ook bekend voor het gebruik van hulpmiddelen zoals Mimikatz en Metaspoilt om de code in het geheugen van uw pc en lees de gegevens die daar zijn opgeslagen. Deze tools helpen de aanvaller om dieper op je pc te struinen en al je gegevens te stelen.

Gedragsanalyse en Fileless-malware

Omdat de meeste reguliere antivirusprogramma`s handtekeningen gebruiken om een ​​malwarebestand te identificeren, is de bestandsloze malware moeilijk te detecteren. Daarom gebruiken beveiligingsbedrijven gedragsanalyses om de malware te detecteren. Deze nieuwe beveiligingsoplossing is ontworpen om de eerdere aanvallen en het gedrag van de gebruikers en computers aan te pakken. Elk abnormaal gedrag dat wijst op kwaadaardige inhoud wordt vervolgens gemeld met meldingen.

Wanneer geen eindpuntoplossing de onoplosbare malware kan detecteren, detecteert gedragsanalyse elk afwijkend gedrag, zoals verdachte inlogactiviteit, ongebruikelijke werkuren of gebruik van een atypische bron. Deze beveiligingsoplossing legt de gebeurtenisgegevens vast tijdens de sessies waarbij gebruikers elke toepassing gebruiken, op een website browsen, games spelen, op sociale media communiceren enz.

Fileloze malware wordt alleen maar slimmer en meer algemeen. Reguliere, op handtekeningen gebaseerde technieken en tools zullen het moeilijker hebben om dit complexe, stealth-georiënteerde type malware te ontdekken, zegt Microsoft.

Hoe te beschermen tegen & detecteer Fileless Malware

Volg de elementaire voorzorgsmaatregelen om uw Windows-computer te beveiligen:

• Pas de nieuwste Windows-updates toe - vooral de beveiligingsupdates voor uw besturingssysteem.
• Zorg ervoor dat al uw geïnstalleerde software is gepatcht en geüpdatet naar de nieuwste versie
• Gebruik een goed beveiligingsproduct dat uw scannen efficiënt kan scannen geheugen van computers en blokkeer ook kwaadwillende webpagina`s die mogelijk gebruikmaken van Exploits.
• Wees voorzichtig voordat u e-mailbijlagen downloadt. Dit om te voorkomen dat de payload wordt gedownload.
• Gebruik een sterke firewall waarmee u effectief netwerkverkeer kunt beheren.

Als u meer over dit onderwerp wilt lezen, ga dan naar Microsoft en lees ook deze whitepaper van McAfee.