Вредоносное ПО стало критической тенденцией для компаний по всему миру. Мы смотрим на вымогателей и другие угрозы, которые уже скрываются за углом. Правильно, что способность к инновациям в киберпреступности не может быть проигнорирована, и доказательством этого является без файловое вредоносное ПО тип вредоносного ПО, которое можно запустить без установки программного обеспечения на компьютер жертвы. Вместо этого, встроенные инструменты в операционной системе Windows (OS) взломаны кибер-злоумышленниками и используются для выполнения атак.
Атаки без файлов являются одним из инструментов выбора для хакеров из-за незаметного способа, которым они могут заразить системы без следа. В рамках этой области охранные фирмы отреагировали улучшением своих возможностей обнаружения. Тем не менее, кибер-злоумышленники остаются на шаг впереди защитников, на этот раз смещая подход к методам без файлов, оставаясь необнаружимыми.
Эта угроза не требует загрузки и выполнения вредоносных файлов и не связана с каким-либо конкретным вектором атаки. Вместо этого он может воспользоваться уязвимостями нулевого дня в операционных системах или внедрить вредоносный код в память из приложения, загруженного с нелегального веб-сайта. Затем этот метод использует преимущества стандартных инструментов Windows, в частности PowerShell и инструментария управления Windows (WMI), и использует их для злонамеренных действий. Кроме того, уже установленные приложения используются (например, веб-браузеры или приложения Office) для маскировки и распространения вредоносного поведения.
Способ действия этой угрозы прост: использовать законную деятельность в качестве формы для маскировки незаконной деятельности. Эти атаки разрушительны; они получают дистанционное управление системой, извлекают данные или объединяются с другими эксплойтами, стирая свои следы, делая их невидимыми для криминалистических инструментов.
Поскольку традиционное вредоносное ПО не используется, нет никакой сигнатуры, которую антивирус (AV) может обнаружить, что значительно снижает эффективность решений для защиты конечных точек, установленных компаниями. Эти атаки почти полностью хранятся в памяти и используют законные инструменты системного администрирования для выполнения и распространения, что делает определение того, что является законным использованием PowerShell, и что делает деятельность злоумышленника очень сложной задачей. Если угрозы без файлов не зависят от конечных точек для поддержания подключения, время атаки и их продолжительность также неизвестны, и система может быть перезагружена в любое время. Его высокая гибкость гарантирует, что он может связываться с другими для большей простоты распространения.
Причина, по которой искушенные и современные кибер-злоумышленники сместили акцент с популярных стратегий борьбы с вредоносными программами, проста: традиционные антивирусные программы и решения для защиты от вредоносных программ не ищут, куда идут эти атаки вредоносных программ - физический вредоносный файл больше не нужен.
Это означает, что традиционные антивирусные программы все больше устаревают при обнаружении «этого семейства компьютерных вредоносных программ», поскольку они обычно работают на основе сигнатур файлов и поведенческого анализа на основе файлов, хранящихся на зараженной машине.
Несмотря на то, что этот новый тип вредоносных программ не обнаруживается, мы представим его так, чтобы его нельзя было обнаружить буквально. На самом деле, он кажется необнаружимым по сравнению с итерациями вредоносных программ, которые сегодня делают заголовки в Интернете. Обратите внимание, что приведенные ниже шаги не являются надежными, но обеспечивают многоуровневый и систематический подход к безопасности, который должен минимизировать риск атак без файловых вредоносных программ в организациях.
Таким образом, поддержание операционной системы и прикладного программного обеспечения в актуальном состоянии является первой мерой, которая должна быть предпринята - остановка уязвимостей означает закрытие двери для таких атак.
Также оказывается эффективным отключение таких инструментов, как PowerShell или инструментарий управления Windows, если организация подает в отставку, чтобы отказаться от них. Кроме того, крайне важно отключить все формы выполнения макросов, поскольку это предотвращает запуск небезопасного кода в системе. Однако, если это невозможно, может иметь смысл только разрешить авторизованным макросам (например, с цифровой подписью) обеспечивать защиту устройств.
Организации должны инвестировать в активный мониторинг конечных точек, особенно в решения, которые имеют эвристический компонент, который использует поведенческую аналитику системы, поскольку таким образом можно обнаружить возможные отклонения от обычного стандарта.
В общем, внедрите стратегию безопасности в своей организации, регулярно проверяйте журналы безопасности на предмет чрезмерных объемов данных, покидающих сеть, ищите изменения в привычных моделях поведения системы по сравнению с базовыми показателями и, и продолжайте, регулярно обновляйте программное обеспечение.
