Fileless Malware Attacks, Protection and Detection

Fileless Malware kan vara en ny term för de flesta men säkerhetsbranschen har känt det i flera år. Tidigare i år träffades över 140 företag världen över med denna Fileless Malware - inklusive banker, telekom och statliga organisationer. Fileless Malware, som namnet förklarar, är en typ av skadlig kod som inte använder några filer i processen. Vissa säkerhetsföretag hävdar emellertid att fileless attacken lämnar en liten binär i kompromissvärden för att initiera malwareattacken. Sådana attacker har haft en betydande ökning under de senaste åren och de är riskfyllda än de traditionella malwareattackerna.

Fileless Malware attacks

Fileless Malware attackerar även känd som Non-Malware attacks . De använder en typisk uppsättning tekniker för att komma in i dina system utan att använda någon detekterbar malwarefil. Under de senaste åren har attackerna blivit smartare och har utvecklat många olika sätt att lansera attacken.

Fileless malware infekterar datorerna som lämnar ingen fil på den lokala hårddisken, i stället för de traditionella säkerhets- och kriminaltekniska verktygen.

Vad som är unikt med denna attack är användningen av en del av sofistikerad skadlig programvara, som lyckades hålla sig rent i minnet av en kompromisserad maskin utan att lämna ett spår på maskinens filsystem. Fileless malware tillåter angripare att undvika detektering från de flesta slutpunkts säkerhetslösningar som baseras på statisk filsanalys (Anti-Viruses). Den senaste utvecklingen inom fileless malware visar utvecklarens fokus flyttas från att dölja nätverksoperationerna för att undvika detektering vid utförandet av sidledningar inom offerets infrastruktur, säger Microsoft.

Den fileless malware finns i Random Access Memory av ditt datorsystem och inget antivirusprogram inspekterar minnet direkt - så det är det säkraste sättet för att angriparna kommer att intrudera i datorn och stjäla alla dina data. Även de bästa antivirusprogrammen missar ibland malware som körs i minnet.

Några av de senaste fileless malwareinfektionerna som har infekterade datorsystem över hela världen är - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

Hur fungerar fileless Malware

Den fileless malware när den hamnar i Minne kan distribuera dina inbyggda och systemadministrativa Windows inbyggda verktyg som PowerShell , SC.exe och netsh.exe för att köra den skadliga koden och få administratörsbehörigheten till ditt system för att utföra kommandon och stjäla dina data. Fileless Malware sometime kan också gömma sig i Rootkits eller Registry i Windows operativsystemet.

En gång i använder angriparna Windows Thumbnail-cacheminne för att dölja malware-mekanismen. Däremot behöver malware fortfarande ett statiskt binärt för att komma in i värddatorn och e-post är det vanligaste mediet som används för detsamma. När användaren klickar på den skadliga bilagan skriver den en krypterad nyttolastfil i Windows-registret.

Fileless Malware är också känd för att använda verktyg som Mimikatz och Metaspoilt för att injicera Koda in i datorns minne och läs data som finns lagrade där. Dessa verktyg hjälper attackerna att införa djupare in i datorn och stjäla alla dina data.

Behavioral analytics and Fileless malware

Eftersom de flesta av de vanliga antivirusprogrammen använder signaturer för att identifiera en malware-fil, är fileless malware svår att upptäcka. Säkerhetsbolagen använder således beteendeanalys för att upptäcka malware. Den här nya säkerhetslösningen är utformad för att hantera tidigare attacker och beteende hos användare och datorer. Eventuella onormala beteenden som pekar på skadligt innehåll meddelas då med varningar.

När ingen slutpunktslösning kan upptäcka den fillösa skadliga programvaran, upptäcker beteendeanalys något avvikande beteende som misstänkt inloggningsaktivitet, ovanliga arbetstider eller användning av någon atypisk resurs. Den här säkerhetslösningen fångar händelsedata under de sessioner där användarna använder någon applikation, surfar på en webbplats, spelar spel, interagerar med sociala medier etc.

Fileless malware blir bara smartare och vanligare. Regelbundna signaturbaserade tekniker och verktyg kommer att få en svårare tid att upptäcka den här komplexa, smyginriktade typen av skadlig kod, säger Microsoft.

Så här skyddar du mot och upptäcker Fileless Malware

Följ de grundläggande försiktighetsåtgärderna för att skydda din Windows-dator:

• Använd alla senaste Windows-uppdateringar - särskilt säkerhetsuppdateringarna till ditt operativsystem.
• Se till att all din installerade programvara är patchad och uppdaterad till deras senaste versioner
• Använd en bra säkerhetsprodukt som effektivt kan skanna din datorminnet och blockera även skadliga webbsidor som kan vara värd exploloits.
• Var försiktig innan du hämtar några bifogade bilagor. Detta är för att undvika nedladdning av nyttolast.
• Använd en stark brandvägg som gör att du effektivt kan styra nätverkstrafik.

Om du behöver läsa mer om detta ämne, gå över till Microsoft och kolla in den här vitboken av McAfee också.