Бесфайловые атаки являются уклончивыми и не требуют наличия вредоносного ПО или установки нового программного обеспечения для заражения устройства
Кибермир изобилует инцидентами, связанными с безопасностью. В то время как большинству кибератак нужна какая-то приманка, чтобы проникнуть в вашу систему, бесстрашные бесфайловые вредоносные программы живут вне сети и заражают, обращая ваше легитимное программное обеспечение против себя
Но как атакует безфайловая вредоносная программа, если она не использует никаких файлов? Какие наиболее распространенные методы она использует? И можете ли вы защитить свои устройства от безфайловых вредоносных программ?
Как атакуют безфайловые вредоносные программы?
Бесфайловые вредоносные программы атакуют, используя уже существующие уязвимости в установленном программном обеспечении
Распространенными примерами являются наборы эксплойтов, которые нацелены на уязвимости браузера, чтобы дать команду браузеру запустить вредоносный код, используя утилиту Powershell от Microsoft, или нацеливаясь на макросы и скрипты
Поскольку код для таких атак не хранится в файле и не устанавливается на машину жертвы, он загружается непосредственно в память по команде системы и запускается мгновенно
Отсутствие исполняемых файлов затрудняет их обнаружение традиционными антивирусными решениями. Естественно, это делает безфайловые вредоносные программы еще более опасными
Общие приемы, используемые безфайловыми вредоносными программами
Бесфайловым вредоносным программам не нужен код или файлы для запуска, но они требуют модификации родной среды и инструментов, которые они пытаются атаковать
Вот некоторые распространенные методы, которые используют безфайловые вредоносные программы для атак на устройства
Наборы эксплойтов
Эксплойты – это части ‘эксплуатируемого’ кода или последовательности, а набор эксплойтов – это коллекция эксплойтов. Эксплойты – это лучший способ запустить бесфайловую атаку, поскольку они могут быть внедрены непосредственно в память без необходимости записывать что-либо на диск
Атака с использованием набора эксплойтов начинается так же, как и обычная атака, когда жертву заманивают с помощью фишинговых писем или тактики социальной инженерии. Большинство наборов включает в себя эксплойты для ряда уже существующих уязвимостей в системе жертвы и консоль управления, позволяющую злоумышленнику контролировать ее
Вредоносные программы, которые размещаются в памяти
Тип вредоносных программ, известный как резидентные вредоносные программы реестра, широко используется в бесфайловых атаках. Этот вредоносный код запрограммирован на запуск при каждом открытии ОС и остается скрытым в родных файлах реестра
После установки безфайловых вредоносных программ в реестре Windows они могут оставаться там постоянно, избегая обнаружения
Вредоносные программы, работающие только с памятью
Этот тип вредоносных программ живет только в памяти
Злоумышленники в основном используют широко распространенные инструменты системного администрирования и безопасности – в том числе PowerShell, Metasploit и Mimikatz – для внедрения своего вредоносного кода в память компьютера
Украденные учетные данные
Кража учетных данных для проведения бесфайловой атаки – очень распространенное явление. Украденные учетные данные можно легко использовать для атаки на устройство под видом настоящего пользователя
Как только злоумышленники завладеют устройством с помощью украденных учетных данных, они могут использовать встроенные инструменты, такие как Windows Management Instrumentation (WMI) или PowerShell, для проведения атаки. Большинство киберпреступников также создают учетные записи пользователей для получения доступа к любой системе
Связанное: Риск компрометации учетных данных и инсайдерских угроз на рабочем месте
Примеры бесфайловых атак
Бесфайловые вредоносные программы существуют уже довольно давно, но в качестве основной атаки появились только в 2017 году, когда субъекты угроз создали наборы, интегрирующие вызовы PowerShell
Вот несколько интересных примеров безфайловых вредоносных программ, о некоторых из которых вы, несомненно, слышали
Темный мститель
Это предшественник бесфайловых атак вредоносных программ. Обнаруженный в сентябре 1989 года, он требовал файл в качестве начальной точки доставки, но позже работал внутри памяти
Основной целью этой атаки было заражение исполняемых файлов при каждом их запуске на зараженном компьютере. Заражались даже скопированные файлы. Создатель этой атаки известен как ‘Темный мститель’
Фродо
Frodo не является бесфайловой атакой в истинном смысле этого слова, но это был первый вирус, который был загружен в загрузочный сектор компьютера, что сделало его частично бесфайловым
Он был обнаружен в октябре 1989 года как безобидная шалость с целью вывести на экраны зараженных компьютеров сообщение ‘Frodo Lives’. Однако из-за плохо написанного кода он превратился в разрушительную атаку для своих хозяев
Операция ‘Кобальтовый котенок
Эта знаменитая атака была обнаружена в мае 2017 года и была выполнена на системе одной из азиатских корпораций
Скрипты PowerShell, использованные для этой атаки, были связаны с внешним командно-контрольным сервером, что позволило ей запустить серию атак, включая вирус Cobalt Strike Beacon
Misfox
Эта атака была выявлена командой Microsoft Incident Response еще в апреле 2016 года. Он использует бесфайловую методологию запуска команд через PowerShell, а также обретает постоянство благодаря проникновению в реестр
Поскольку эта атака была замечена командой безопасности Microsoft, в Windows Defender было добавлено решение для защиты от этого вредоносного ПО
WannaMine
Эта атака осуществляется путем добычи криптовалюты на хост-компьютере
Впервые атака была замечена в середине 2017 года при выполнении в памяти без каких-либо следов программы на основе файла
Фиолетовая лиса
Purple Fox был первоначально создан в 2018 году как троян-загрузчик без файлов, для заражения устройств которым требовался набор эксплойтов. Он всплыл в измененной форме с дополнительным модулем червя
Похожие: Что такое вредоносная программа Purple Fox и как она может распространяться на Windows?
Атака инициируется фишинговым электронным письмом, которое доставляет полезную нагрузку червя, автоматически сканирующего и заражающего системы на базе Windows
Purple Fox также может использовать атаки методом грубой силы, сканируя уязвимые порты. Как только целевой порт найден, он проникает в систему для распространения инфекции
Как предотвратить бесфайловое вредоносное ПО
Мы выяснили, насколько опасным может быть безфайловое вредоносное ПО, особенно потому, что некоторые комплексы безопасности не могут его обнаружить. Следующие пять советов помогут смягчить последствия атак без файлов
1. Не открывайте подозрительные ссылки и вложения
Электронная почта является самой большой точкой входа для безфайловых атак, поскольку наивных пользователей электронной почты можно заманить открытием вредоносных ссылок
Не нажимайте на ссылки , в которых вы не уверены на 100 процентов. Вы можете сначала проверить, где находится URL-адрес, или узнать, можете ли вы доверять ему, исходя из ваших отношений с отправителем и содержания письма в остальном
Также не следует открывать вложения, присланные из неизвестных источников, особенно те, которые содержат загружаемые файлы, такие как PDF-файлы и документы Microsoft Word
2. Не убивайте JavaScript
JavaScript может стать отличным фактором влияния на бесфайловые вредоносные программы, но его полное отключение не поможет
Помимо того, что большинство посещаемых вами страниц будут либо пустыми, либо не содержать элементов, в Windows есть встроенный интерпретатор JavaScript, который можно вызвать изнутри веб-страницы без необходимости использования JavaScript
Самый большой недостаток заключается в том, что он может дать вам ложное чувство безопасности против безфайловых вредоносных программ
3. Отключите Flash
Flash использует инструмент Windows PowerShell для выполнения команд с помощью командной строки, пока он работает в памяти
Для надлежащей защиты от безфайловых вредоносных программ важно отключать Flash, если это не является действительно необходимым
4. Используйте защиту браузера
Защита домашних и рабочих браузеров – ключ к предотвращению распространения безфайловых атак
Для рабочих сред создайте политику офиса, которая позволяет использовать только один тип браузера на всех рабочих станциях
Очень полезна установка защиты браузера, например, Windows Defender Application Guard. Являясь частью Office 365, это программное обеспечение было написано с учетом специальных процедур для защиты от атак без файлов
5. Внедрите надежную аутентификацию
Главным виновником распространения безфайловых вредоносных программ является не PowerShell, а слабая система аутентификации
Внедрение надежных политик аутентификации и ограничение привилегированного доступа путем реализации принципа наименьших привилегий (POLP) может значительно снизить риск распространения безфайловых вредоносных программ
Победить безфайловое вредоносное ПО
Не оставляя следов, бесфайловые вредоносные программы используют встроенные ‘безопасные’ инструменты вашего компьютера для осуществления атак
Однако лучший способ победить бесфайловое или любое другое вредоносное ПО – это получить информацию и понять различные техники, используемые при проведении этих атак
Комментировать