Бесфайловое вредоносное ПО — это тип вредоносного программного обеспечения, использующего легитимные программы для заражения компьютера. Оно не зависит от файлов и не оставляет следов, что затрудняет обнаружение и удаление такого вредоносного ПО.
Современные злоумышленники знают стратегии, которые организации используют для блокирования атак, и создают все более изощренные целенаправленные вредоносные программы, чтобы обойти защиту. Анализ показывает, что самые эффективные методы взлома, как правило, самые новые. Бесфайловое вредоносное ПО эффективно обходит все, кроме самых сложных решений безопасности.
Бесфайловое вредоносное ПО появилось в 2017 году как основной тип атаки, но многие из этих методов атаки существуют уже некоторое время. Frodo, Number of the Beast и The Dark Avenger были ранними примерами этого типа вредоносных программ. Недавние громкие бесфайловые атаки включают взлом Национального комитета Демократической партии и взлом Equifax.
Что делает бесфайловые инфекции такими коварными, так это то, что делает их такими эффективными. Есть утверждения, что бесфайловое вредоносное ПО «необнаружимо». Это не совсем так, это просто означает, что атаки без файлов часто не обнаруживаются антивирусом, белым списком и другими традиционными решениями для защиты конечных точек. Фактически, эксперты по кибербезопасности утверждают, что атаки без файлов имеют в 10 раз больше шансов на успех, чем атаки на основе файлов.
Как происходит бесфайловая атака?
Бесфайловые атаки относятся к широкой категории атак с малозаметными характеристиками (LOC) — типа скрытой атаки, которая избегает обнаружения большинством решений по обеспечению безопасности и оказывает влияние на работу по криминалистическому анализу. Хотя бесфайловые вредоносные программы и не считаются традиционными вирусами, они работают аналогичным образом — они действуют в памяти.
Не сохраняясь в файле и не устанавливаясь непосредственно на компьютер, бесфайловые инфекции попадают прямо в память, а вредоносное содержимое никогда не затрагивает жесткий диск. Во многих атаках LOC используется Microsoft Windows PowerShell, законный и полезный инструмент, используемый администраторами для автоматизации задач и управления конфигурацией. PowerShell состоит из оболочки командной строки и связанного с ней языка сценариев, предоставляя злоумышленникам доступ практически ко всему в Windows.
Как и большинство современных атак, атаки без файлов часто используют социальную инженерию, чтобы заставить пользователей щелкнуть ссылку или вложение в фишинговом электронном письме. Бесфайловые атаки обычно используются для бокового перемещения, то есть они переходят от одного устройства к другому с целью получения прав доступа к ценным данным в корпоративной сети.
Чтобы избежать подозрений, бесфайловое вредоносное ПО проникает во внутренние части доверенных приложений из белого списка (таких как PowerShell и исполняемые файлы хоста сценариев Windows, такие как wscript.exe и cscript.exe) или операционной системы, чтобы инициировать вредоносные процессы. Эти атаки злоупотребляют моделью доверия, используемой приложениями безопасности, которые могут не отслеживать программы из белого списка.
Важно отметить, что в приведенном выше сценарии хакеру не нужно выяснять, как доставить вредоносную программу через антивирус и защиту от вредоносных программ. Большинство автоматизированных датчиков не могут обнаружить изменения в командной строке. Опытный аналитик может идентифицировать эти сценарии, но часто не знает, где их искать.
Как можно защититься от бесфайловых атак?
По мере того, как индустрия кибербезопасности становится все более изощренной в блокировании эксплойтов, продолжительность жизни бесфайловых атак становится все короче и короче. Один из способов защититься от бесфайловых заражений — просто поддерживать программное обеспечение в актуальном состоянии.
Это особенно относится к приложениям Microsoft. Например, последний пакет Microsoft 365 включает усиленные меры безопасности. Microsoft также обновила свой пакет Защитника Windows для обнаружения нестандартной активности PowerShell.
Настоящим ключом к успешному противодействию бесфайловым атакам является комплексный подход, охватывающий весь жизненный цикл угрозы. Имея многоуровневую защиту, вы получаете преимущество перед злоумышленниками, поскольку можете исследовать каждую фазу кампании до, во время и после атаки.
Две вещи особенно важны:
- Возможность видеть и измерять происходящее: обнаружение методов, используемых при атаке, мониторинг действий в PowerShell или других механизмах сценариев, доступ к сводным данным об угрозах и получение информации о действиях пользователей.
- Возможность контролировать состояние целевой системы: останавливать произвольные процессы, исправлять процессы, являющиеся частью атаки, и изолировать зараженные устройства.
Успешное прерывание бесфайловых атак требует целостного подхода, который может масштабироваться и быстро выполнять соответствующие действия там и тогда, где и когда они требуются.
Как защититься от определенных типов бесфайловых угроз?
Для защиты от бесфайловых угроз исследовательские группы и команды экспертов анализируют подозрительные объекты и поведение на наличие вредоносных угроз и разрабатывают инструменты, которые напрямую блокируют различные варианты бесфайловых угроз. Используются также сигнатуры, которые блокируют различные варианты бесфайловых угроз. Например:
Бесфайловая угроза: рефлексивная самоинъекция.
Рефлексивная самоинъекция относится к загрузке переносимого исполняемого файла (PE) из памяти, а не с диска. Созданная функция/скрипт может рефлексивно загружать переносимый исполняемый файл без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить PE в сам процесс PowerShell.
Бесфайловая угроза: рефлексивная самоинъекция EXE.
Рефлексивная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция/скрипт может рефлексивно загружать исполняемый файл (EXE) без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить EXE-файл в сам процесс PowerShell.
Бесфайловая угроза: удаленная инъекция рефлексивной DLL.
Рефлексивная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция/скрипт может рефлексивно загружать DLL, не регистрируясь в качестве загруженного модуля в процессе, и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить DLL в удаленный процесс.
Бесфайловая угроза: выполнение вредоносного кода с использованием технологии DotNetToJScript.
Эта атака заключается в попытке выполнения вредоносного шелл-кода с использованием технологии DotNetToJScript, которая используется распространенными безфайловыми атаками, такими как CACTUSTORCH. Векторы атаки DotNetToJScript позволяют загружать и выполнять вредоносные сборки .NET (DLL, EXE и т. д.) прямо из памяти с помощью библиотек .NET, предоставляемых через COM. Как и любой другой типичный метод бесфайловой атаки, DotNetToJScript не записывает какую-либо часть вредоносной .NET DLL или EXE на жесткий диск компьютера.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.