Узнайте все о бесфайловых вредоносных программах и о том, как защитить себя

Кибермир изобилует инцидентами, связанными с безопасностью. В то время как для большинства кибератак требуется какая-то приманка для проникновения в вашу систему, бесстрашные бесфайловые вредоносные программы живут вне сети и заражают, обращая ваше законное программное обеспечение против самого себя.

Но как атакует бесфайловое вредоносное ПО, если оно не использует никаких файлов? Какие методы используются чаще всего? И можете ли вы защитить свои устройства от бесфайловых вредоносных программ?

Как атакует бесфайловое вредоносное ПО?

Безфайловые вредоносные программы атакуют уже существующие уязвимости в установленном программном обеспечении.

Типичные примеры включают наборы эксплойтов, которые нацелены на уязвимости браузера, чтобы дать команду браузеру запустить вредоносный код с помощью утилиты Microsoft Powershell или с помощью макросов и сценариев.

Поскольку код для этих атак не хранится в файле и не устанавливается на машине жертвы, он загружает вредоносное ПО прямо в память по команде системы и запускается мгновенно.

Отсутствие исполняемых файлов затрудняет их обнаружение традиционными антивирусными решениями. Естественно, это делает безфайловые вредоносные программы еще более опасными.

Общие методы, используемые бесфайловыми вредоносными программами

Бесфайловому вредоносному ПО не нужен код или файлы для запуска, но требуется модификация собственной среды и инструментов, которые оно пытается атаковать.

Вот несколько распространенных методов, которые бесфайловые вредоносные программы используют для нацеливания на устройства.

Наборы эксплойтов

Эксплойты – это фрагменты «эксплуатируемого» кода или последовательностей, а набор эксплойтов – это набор эксплойтов. Эксплойты – лучший способ запустить бесфайловую атаку, поскольку они могут быть введены непосредственно в память без необходимости записывать что-либо на диск.

Атака с использованием набора эксплойтов запускается так же, как и обычная атака, когда жертву заманивают с помощью фишинговых писем или тактики социальной инженерии. Большинство комплектов включают эксплойты для ряда ранее существовавших уязвимостей в системе жертвы и консоль управления, с помощью которой злоумышленник может контролировать ее.

Вредоносное ПО, которое находится в памяти

Тип вредоносного ПО, известный как вредоносное ПО, постоянно находящееся в реестре, широко используется для бесфайловых атак. Этот вредоносный код запрограммирован на запуск каждый раз, когда вы открываете ОС, и остается скрытым внутри собственных файлов реестра.

После установки бесфайлового вредоносного ПО в реестр Windows оно может оставаться там навсегда, избегая обнаружения.

Вредоносное ПО только для памяти

Этот тип вредоносного ПО находится только в памяти.

Злоумышленники в основном используют широко используемые инструменты системного администрирования и безопасности, включая PowerShell, Metasploit и Mimikatz, для внедрения своего вредоносного кода в память вашего компьютера.

Украденные учетные данные

Кража учетных данных для проведения бесфайловой атаки – очень распространенное явление. Украденные учетные данные можно легко использовать для нацеливания на устройство под предлогом реального пользователя.

Как только злоумышленники захватят устройство с помощью украденных учетных данных, они могут использовать для атаки собственные инструменты, такие как Windows Management Instrumentation (WMI) или PowerShell. Большинство киберпреступников также создают учетные записи пользователей, чтобы получить доступ к любой системе.

Связанный: Риск компрометации учетных данных и инсайдерских угроз на рабочем месте

Примеры бесфайловых атак

Бесфайловые вредоносные программы существуют довольно давно, но они стали основной атакой только в 2017 году, когда злоумышленники создали комплекты, объединяющие вызовы PowerShell.

Вот несколько интересных примеров безфайловых вредоносных программ, о некоторых из которых вы, несомненно, слышали.

Темный мститель

Это предвестник бесфайловых атак вредоносных программ. Обнаруженный в сентябре 1989 года, он требовал файла в качестве начальной точки доставки, но позже работал внутри памяти.

Основная цель этой атаки состояла в том, чтобы заражать исполняемые файлы каждый раз, когда они запускались на зараженном компьютере. Заразятся даже скопированные файлы. Создатель этой атаки известен как «Темный мститель».

Фродо

Frodo не является безфайловой атакой в ​​полном смысле этого слова, но это был первый вирус, который был загружен в загрузочный сектор компьютера, что сделало его частично безфайловым.

Он был обнаружен в октябре 1989 года как безобидная шутка с целью высветить сообщение «Фродо жив» на экранах зараженных компьютеров. Однако из-за плохо написанного кода это фактически превратилось в разрушительную атаку для своих хостов.

Операция Cobalt Kitty

Эта знаменитая атака была обнаружена в мае 2017 года и была осуществлена ​​в системе азиатской корпорации.

Сценарии PowerShell, использованные для этой атаки, были связаны с внешним сервером управления и контроля, что позволило ему запустить серию атак, включая вирус Cobalt Strike Beacon.

Misfox

Эта атака была обнаружена группой реагирования на инциденты Microsoft еще в апреле 2016 года. Она использует безфайловые методологии выполнения команд через PowerShell, а также обеспечивает постоянство за счет проникновения в реестр.

Поскольку эта атака была обнаружена группой безопасности Microsoft, в Защитник Windows было добавлено комплексное решение для защиты от этого вредоносного ПО.

WannaMine

Эта атака осуществляется путем майнинга криптовалюты на главном компьютере.

Впервые атака была обнаружена в середине 2017 года при запуске в памяти без каких-либо следов файловой программы.

Фиолетовая лиса

Purple Fox изначально был создан в 2018 году как бесфайловый троян-загрузчик, которому для заражения устройств требовался набор эксплойтов. Он снова появился в реконфигурированном виде с дополнительным модулем червя.

По теме: Что такое вредоносное ПО Purple Fox и как оно может распространяться на Windows?

Атака инициируется фишинговым письмом, доставляющим полезную нагрузку червя, который автоматически сканирует и заражает системы на базе Windows.

Purple Fox также может использовать атаки методом перебора, сканируя уязвимые порты. Как только целевой порт найден, он проникает в него для распространения инфекции.

Как предотвратить бесфайловое вредоносное ПО

Мы выяснили, насколько опасными могут быть бесфайловые вредоносные программы, особенно потому, что некоторые пакеты безопасности не могут их обнаружить. Следующие пять советов могут помочь смягчить любой жанр бесфайловых атак.

Электронная почта является самой большой отправной точкой для бесфайловых атак, поскольку наивных пользователей электронной почты можно заманить открытием вредоносных почтовых ссылок.

Не нажимайте на ссылки, в которых вы не уверены на 100 процентов. Вы можете проверить, где в первую очередь заканчивается URL-адрес, или узнать, можете ли вы доверять ему, исходя из ваших отношений с отправителем и содержимого электронного письма в противном случае.

Кроме того, нельзя открывать вложения, отправленные из неизвестных источников, особенно те, которые содержат загружаемые файлы, такие как PDF-файлы и документы Microsoft Word.

2. Не убивайте JavaScript

JavaScript может оказать большое влияние на бесфайловые вредоносные программы, но полное его отключение не помогает.

Помимо того факта, что большинство посещаемых вами страниц будут либо пустыми, либо с отсутствующими элементами, в Windows также есть встроенный интерпретатор JavaScript, который можно вызывать из веб-страницы без необходимости использования JavaScript.

Самый большой недостаток заключается в том, что он может дать вам ложное ощущение безопасности от бесфайловых вредоносных программ.

3. Отключить Flash.

Flash использует Windows PowerShell Tool для выполнения команд с помощью командной строки во время работы в памяти.

Для правильной защиты от бесфайловых вредоносных программ важно отключать Flash, если в этом нет особой необходимости.

4. Используйте защиту браузера.

Защита домашнего и рабочего браузеров – ключ к предотвращению распространения бесфайловых атак.

Для рабочих сред создайте офисную политику, которая разрешает использовать только один тип браузера для всех рабочих столов.

Очень полезно установить защиту браузера, такую ​​как Application Guard в Защитнике Windows . Это программное обеспечение, входящее в состав Office 365, было написано с особыми процедурами для защиты от бесфайловых атак.

5. Реализуйте надежную аутентификацию.

Основным виновником распространения бесфайловых вредоносных программ является не PowerShell, а скорее слабая система аутентификации.

Внедрение надежных политик аутентификации и ограничение привилегированного доступа путем реализации принципа наименьших привилегий (POLP) может значительно снизить риск бесфайловых вредоносных программ.

Победить бесфайловое вредоносное ПО

Не оставляя следов, бесфайловые вредоносные программы используют встроенные в ваш компьютер «безопасные» инструменты для проведения атак.

Однако лучший способ победить бесфайловые или любые вредоносные программы – это узнать и понять различные методы, используемые при проведении этих атак.