Home-theater-designers
Tietoverkko on täynnä turvallisuushäiriöitä. Vaikka useimmat kyberhyökkäykset tarvitsevat jonkinlaista syöttiä tunkeutuakseen järjestelmään, peloton tiedostoton haittaohjelma elää verkon ulkopuolelta ja tartuttaa kääntämällä laillisen ohjelmistosi itseään vastaan.
Mutta miten tiedostoton haittaohjelma hyökkää, jos se ei käytä tiedostoja? Mitkä ovat sen yleisimmät tekniikat? Ja voitko suojata laitteesi tiedostottomilta haittaohjelmilta?
Kuinka tiedostoton haittaohjelma hyökkää?
Tiedostoittomat haittaohjelmat hyökkäävät pelaamalla aiemmin asennetun ohjelmiston haavoittuvuuksilla.
Yleisiä esimerkkejä ovat hyväksikäyttöpaketit, jotka kohdistavat selaimen haavoittuvuuksia ja jotka käskivät selaimen suorittamaan haitallisen koodin Microsoftin Powershell -apuohjelman avulla tai kohdistamalla makrot ja komentosarjat.
Koska näiden hyökkäysten koodia ei ole tallennettu tiedostoon tai asennettu uhrin koneelle, se lataa haittaohjelman suoraan muistiin järjestelmän komentojen mukaan ja toimii välittömästi.
Suoritettavien tiedostojen puuttuminen vaikeuttaa perinteisten virustentorjuntaratkaisujen havaitsemista. Luonnollisesti tämä tekee tiedostottomista haittaohjelmista entistä vaarallisempia.
Fileless -haittaohjelmien yleiset tekniikat
Tiedostoton haittaohjelma ei tarvitse koodia tai tiedostoja käynnistyäkseen, mutta se vaatii muutoksia alkuperäiseen ympäristöön ja työkaluihin, joita se yrittää hyökätä.
Seuraavassa on joitain yleisiä tekniikoita, joilla tiedostoton haittaohjelma käyttää laitteiden kohdistamiseen.
Hyödyntämissarjat
Hyödyntämiset ovat ”hyödynnetyn” koodin tai sekvenssien osia ja hyväksikäyttöpaketti on kokoelma hyväksikäyttöjä. Hyödyntäminen on paras tapa käynnistää tiedostoton hyökkäys, koska ne voidaan syöttää suoraan muistiin ilman tarvetta kirjoittaa mitään levylle.
Hyökkäyspakkaushyökkäys käynnistetään samalla tavalla kuin tyypillinen hyökkäys, jossa uhri houkutellaan phishing -sähköpostien tai sosiaalisen suunnittelun taktiikoiden avulla. Useimmat sarjat sisältävät hyväksikäyttöjä uhrin järjestelmään jo olemassa olevien haavoittuvuuksien varalta ja hallintakonsolin, jonka avulla hyökkääjä voi hallita sitä.
Muistissa oleva haittaohjelma
Tiedostottomat hyökkäykset käyttävät laajalti haittaohjelmatyyppiä, joka tunnetaan rekisterin asukkaiden haittaohjelmana. Tämä haitallinen koodi on ohjelmoitu käynnistymään joka kerta, kun avaat käyttöjärjestelmän, ja se pysyy piilossa rekisterin alkuperäisten tiedostojen sisällä.
Kun tiedostoton haittaohjelma on asennettu Windowsin rekisteriin, se voi pysyä siellä pysyvästi välttäen havaitsemista.
Vain muistia haittaohjelma
Tämäntyyppinen haittaohjelma sijaitsee vain muistin sisällä.
Hyökkääjät käyttävät enimmäkseen laajalti käytettyjä järjestelmänhallinta- ja suojaustyökaluja - kuten PowerShell, Metasploit ja Mimikatz - pistääkseen haitallisen koodin tietokoneen muistiin.
Varastetut kirjautumistiedot
Kirjautumistietojen varastaminen tiedostoettoman hyökkäyksen toteuttamiseksi on hyvin yleistä. Varastettuja kirjautumistietoja voidaan helposti käyttää laitteen kohdistamiseen todellisen käyttäjän teeskennellessä.
Kun hyökkääjät saavat käsiinsä laitteen varastetun tunnistetiedon avulla, he voivat käyttää hyökkäyksen suorittamiseen alkuperäisiä työkaluja, kuten Windows Management Instrumentation (WMI) tai PowerShell. Useimmat tietoverkkorikolliset luovat myös käyttäjätilejä päästäkseen mihin tahansa järjestelmään.
Aiheeseen liittyviä: Tietojen vaarantumisen ja sisäpiiriuhkien riski työpaikalla
Esimerkkejä tiedostottomista hyökkäyksistä
Tiedostoton haittaohjelma on ollut olemassa jo jonkin aikaa, mutta se tuli valtavirran hyökkäykseksi vasta vuonna 2017, kun uhkatoimijat loivat paketit, jotka yhdistävät puhelut PowerShelliin.
Tässä on joitain mielenkiintoisia esimerkkejä tiedostottomista haittaohjelmista, joista osa olet varmasti kuullut.
Pimeä kostaja
Tämä on tiedostoettomien haittaohjelmahyökkäysten edeltäjä. Se löydettiin syyskuussa 1989, ja se vaati tiedoston alkuperäiseksi toimituspisteeksi, mutta toimi myöhemmin muistin sisällä.
Tämän hyökkäyksen päätavoitteena oli tartuttaa suoritettavat tiedostot aina, kun ne ajettiin tartunnan saaneella tietokoneella. Jopa kopioidut tiedostot saisivat tartunnan. Tämän hyökkäyksen luoja tunnetaan tunnetusti nimellä 'Dark Avenger'.
Frodo
Frodo ei ole tiedostoton hyökkäys todellisessa mielessä, mutta se oli ensimmäinen virus, joka ladattiin tietokoneen käynnistyssektoriin ja teki siitä osittain tiedostottoman.
mitä hmu seisot?
Se löydettiin lokakuussa 1989 vaarattomana keppona, jonka tarkoituksena oli vilkuttaa viesti 'Frodo Lives' tartunnan saaneiden tietokoneiden näytöillä. Huonosti kirjoitetun koodin vuoksi siitä tuli kuitenkin tuhoisa hyökkäys isäntilleen.
Operaatio Cobalt Kitty
Tämä kuuluisa hyökkäys löydettiin toukokuussa 2017 ja se toteutettiin aasialaisen yrityksen järjestelmässä.
Hyökkäyksessä käytetyt PowerShell -komentosarjat yhdistettiin ulkoiseen komento- ja ohjauspalvelimeen, jonka avulla se pystyi käynnistämään useita hyökkäyksiä, mukaan lukien Cobalt Strike Beacon -virus.
Misfox
Microsoft Incident Response -tiimi tunnisti tämän hyökkäyksen huhtikuussa 2016. Se käyttää tiedostottomia menetelmiä komentojen suorittamiseen PowerShellin kautta ja pysyvyyden saavuttamiseen rekisterin soluttautumisen kautta.
Koska Microsoftin suojausryhmä havaitsi tämän hyökkäyksen, Windows Defenderiin on lisätty niputusratkaisu suojaamiseksi tältä haittaohjelmalta.
WannaMine
Tämä hyökkäys suoritetaan kaivamalla kryptovaluuttaa isäntätietokoneella.
Hyökkäys havaittiin ensimmäisen kerran vuoden 2017 puolivälissä, kun se toimi muistissa ilman jälkiä tiedostopohjaisesta ohjelmasta.
Violetti kettu
Purple Fox luotiin alun perin vuonna 2018 tiedostottomana lataustroijana, joka vaati hyväksikäyttöpakkausta laitteiden tartuttamiseen. Se muuttui uudelleen muotoiltuun muotoon ylimääräisellä matomoduulilla.
Aiheeseen liittyviä: Mikä on Purple Fox -haittaohjelma ja miten se voi levitä Windowsiin?
kuinka päästä eroon muista iPhonen tallennustilasta
Hyökkäyksen käynnistää phishing-sähköposti, joka toimittaa maton hyötykuorman, joka etsii ja tartuttaa automaattisesti Windows-järjestelmät.
Purple Fox voi myös käyttää raa'an voiman hyökkäyksiä etsimällä haavoittuvia portteja. Kun kohdeportti on löydetty, se soluttautuu tartunnan levittämiseksi.
Kuinka estää tiedostoton haittaohjelma
Olemme selvittäneet, kuinka vaarallisia tiedostottomat haittaohjelmat voivat olla, erityisesti siksi, että jotkin tietoturvapaketit eivät pysty havaitsemaan sitä. Seuraavat viisi vinkkiä voivat auttaa vähentämään kaikkia tiedostottomia hyökkäyksiä.
1. Älä avaa epäilyttäviä linkkejä ja liitteitä
Sähköposti on suurin saapumispaikka tiedostoettomille hyökkäyksille, koska naiivit sähköpostin käyttäjät voidaan houkutella avaamaan haitallisia sähköpostilinkkejä.
Älä napsauta linkkejä et ole 100 % varma. Voit tarkistaa, mihin URL -osoite päätyy ensin, tai kerätä, voitko luottaa siihen suhteestasi lähettäjään ja sähköpostin sisällöstä muuten.
Myöskään tuntemattomista lähteistä lähetettyjä liitteitä ei pitäisi avata, erityisesti niitä, jotka sisältävät ladattavia tiedostoja, kuten PDF -tiedostoja ja Microsoft Word -asiakirjoja.
2. Älä tapa JavaScriptiä
JavaScript voi olla suuri vaikuttaja tiedostottomille haittaohjelmille, mutta sen poistaminen kokonaan käytöstä ei auta.
Sen lisäksi, että suurin osa vierailtuista sivuista on joko tyhjiä tai niistä puuttuu elementtejä, Windowsissa on myös sisäänrakennettu JavaScript-tulkki, jota voidaan kutsua verkkosivulta ilman JavaScript-tarvetta.
Suurin haittapuoli on se, että se voi tarjota sinulle väärän suojaustunteen tiedostotonta haittaohjelmaa vastaan.
3. Poista Flash käytöstä
Flash käyttää Windows PowerShell -työkalua komentojen suorittamiseen komentoriviltä sen ollessa käynnissä muistissa.
Suojautuaksesi oikein tiedostottomilta haittaohjelmilta on tärkeää poistaa Flash käytöstä, ellei se ole todella tarpeellista.
4. Käytä selainsuojausta
Koti- ja työselainten suojaaminen on avain tiedostoettomien hyökkäysten leviämisen estämiseen.
Luo työympäristöissä toimistokäytäntö, joka sallii vain yhden selaintyypin käytön kaikissa pöytäkoneissa.
Asennetaan selainsuojaus kuten Windows Defender Application Guard on erittäin hyödyllinen. Tämä Office 365: een kuuluva ohjelmisto on kirjoitettu tietyillä menettelyillä suojaamaan tiedostoettomilta hyökkäyksiltä.
5. Ota käyttöön vankka todennus
Suurin syyllinen tiedostottomien haittaohjelmien leviämisessä ei ole PowerShell, vaan heikko todennusjärjestelmä.
Vankien todennuskäytäntöjen toteuttaminen ja etuoikeutettujen käyttöoikeuksien rajoittaminen toteuttamalla POLP (Privile of Least Privilege) -periaatteen voi vähentää merkittävästi tiedostoettomien haittaohjelmien riskiä.
Voita Fileless Malware
Jättämättä jälkiä, tiedostoton haittaohjelma hyödyntää tietokoneen sisäänrakennettuja 'turvallisia' työkaluja hyökkäysten suorittamiseen.
Paras tapa voittaa tiedostoton tai haittaohjelma on kuitenkin saada tietoisuutta ja ymmärtää eri tekniikat, joita käytetään näiden hyökkäysten toteuttamisessa.
Jaa Jaa Tweet Sähköposti 5 yleistä tietoverkkorikollisuuden vektoria ja niiden välttäminenVerkkorikolliset luottavat samaan hyökkäysvektoreiden ryhmään yrittäessään huijata sinua. Opi mitä nämä vektorit ovat ja vältä niitä.
Lue seuraava Liittyvät aiheet- Turvallisuus
- Online -suojaus
- Windows Defender
- Haittaohjelma
Kinza on tekniikan harrastaja, tekninen kirjailija ja itse julistettu nörtti, joka asuu Pohjois-Virginiassa aviomiehensä ja kahden lapsensa kanssa. Hänellä oli BS -tutkinto tietokoneverkoissa ja lukuisia IT -sertifikaatteja, ja hän työskenteli televiestintäalalla ennen kuin ryhtyi tekniseen kirjoittamiseen. Kyberturvallisuuteen ja pilvipohjaisiin aiheisiin erikoistuneena hän auttaa mielellään asiakkaita täyttämään erilaiset tekniset kirjoitusvaatimukset ympäri maailmaa. Vapaa -ajallaan hän nauttii fiktion lukemisesta, teknologiablogien luomisesta, nokkelien lasten tarinoiden tekemisestä ja ruoanlaitosta perheelleen.
Lisää Kinza Yasariltatilaa uutiskirjeemme
Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia e -kirjoja ja ainutlaatuisia tarjouksia!
Klikkaa tästä tilataksesi