Možná si myslíte, že nechtěná instalace škodlivého softwaru do vašeho počítače je nepříjemná, ale počkejte, až se seznámíte s bezsouborovým malwarem. Je to lstivý vetřelec, který nezanechává žádné stopy na vašem pevném disku.
Tradiční malware je snazší odstranit, jakmile je objeven, protože existují viditelné soubory na disku, které antivirový software může prohledat a vymazat. Avšak bezsouborový malware funguje výhradně z operační paměti (RAM), což ztěžuje jeho odhalení.
V tomto článku vám vysvětlím vše podstatné o bezsouborovém malwaru a jak se proti němu chránit.
Co přesně je bezsouborový malware?
SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjK6m9660GjA+HztycwUKz
CYA6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD9+V0nsa3
w3hwpY+50VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAX/wzzPBLZlIADkWAwr7/Mzcus+3
DJtpgCAAA=
Bezsouborový malware představuje škodlivý kód, který se spouští přímo z operační paměti počítače. Zaměřuje se na slabá místa v legitimních aplikacích a zneužívá je k vlastní aktivaci. V některých případech může vytvářet vlastní škodlivé procesy pro provádění svých úkolů.
Antivirový software obvykle prověřuje stažené a nainstalované soubory. Proto je bezsouborový malware obtížnější odhalit, protože nemá žádný přidružený soubor. Škodlivé funkce, které může vykonávat, jsou podobné ostatním typům malwaru, liší se však způsobem, jakým se v počítači ukrývá.
Jak se bezsouborový malware dostane do zařízení?
Stejně jako jiné typy malwaru, i bezsouborový malware se šíří prostřednictvím škodlivých odkazů v e-mailovém spamu, nebezpečných webových stránek nebo technik sociálního inženýrství. Rozdíl je v tom, že hledá zranitelnosti v programech v počítači nebo přímo v operačním systému.
Mezi běžně zranitelné aplikace patří například Powershell, nástroj Windows Management Instrumentation (WMI), prohlížeče a všechny nainstalované, ale nezabezpečené pluginy. Využívá tyto zranitelnosti k vložení škodlivého kódu do legitimního programu a vykonávání úkolů, které mu byly zadány.
Například napadený Powershell může spouštět příkazy s administrátorskými právy za účelem krádeže dat nebo šifrování důležitých informací.
Zdroj obrázku:
TrendMicro
Může také použít techniku „process hollowing“, kdy vyprázdní obsah legitimního procesu a nahradí ho svým škodlivým kódem, aby se maskoval pod jeho jménem.
PowerGhost
je příkladem bezsouborového malwarového útoku, který využil WMI a Powershell k těžbě kryptoměn na firemních počítačích, aniž by byl odhalen.
Jaké nebezpečí představuje bezsouborový malware?
Jak už jsem zmínil, bezsouborový malware je schopen provádět podobné úkoly jako tradiční malware, který se nachází na pevném disku. Vše závisí na tom, k jakému účelu byl naprogramován a jakých zranitelností využívá.
Mezi běžné škodlivé funkce patří krádež dat, krádež přihlašovacích údajů, šifrování dat, sledování uživatelské aktivity, zaznamenávání stisknutých kláves, těžba kryptoměn, útoky typu DDoS a změna nastavení zabezpečení pro další útoky.
Pro lepší ilustraci uvádím několik předchozích významných útoků bezsouborového malwaru:
PowerWare: Jednalo se o ransomware, který využil Powershell ke skrytému spouštění příkazů pro uzamčení důležitých souborů a předstírání jejich zašifrování. Následně požadoval platbu v kryptoměně.
PowerSniff: Šířil se zneužitím nastavení zabezpečení v aplikaci Microsoft Word k spuštění makra, které bylo součástí odeslaného dokumentu. Makro prohledalo počítač a ukradlo přihlašovací údaje.
TrickBot: I když se nejedná o zcela bezsouborový malware, TrickBot v jedné ze svých pokročilejších verzí načítal své moduly přímo do paměti. Hlavním úkolem tohoto malwaru bylo krást finanční údaje.
Ransomware Netwalker: Jde o další ransomware, který používá bezsouborové taktiky, ale jeho šifrování je skutečné. Nahradil legitimní procesy Microsoftu škodlivým kódem, aby se maskoval a mohl spouštět své příkazy.
Jak detekovat bezsouborový malware?
Vzhledem k tomu, že bezsouborový malware je založen především na utajení, je velmi obtížné jej objevit. Pokud se domníváte, že jste klikli na nebezpečný odkaz a váš počítač byl napaden, existuje několik signálů, které vám mohou pomoci identifikovat infekci.
Níže jsou uvedeny některé běžné stopy, na které byste si měli dát pozor:
Neobvyklé chování systému: Bezsouborový malware může způsobit neobvyklé chování, jako je neočekávané otevírání a zavírání aplikací, zamrzání počítače, pády systému nebo restartování.
Zpomalení výkonu: Můžete si všimnout náhlého snížení celkové rychlosti systému. Může také docházet k zamrzání.
Neobvyklá síťová aktivita: Kromě zpomalení sítě můžete pozorovat neobvyklý datový provoz, který směřuje k doménám, ke kterým jste se sami nepřipojovali. Pro analýzu sítě doporučuji používat GlassWire.
Vysoké využití procesoru: Otevřete Správce úloh a zkontrolujte, zda nějaký proces neobvykle nevyužívá velké množství systémových zdrojů, zejména procesoru. Kompromitovaný proces obvykle využívá vysoký výkon CPU, i když se zdá, že není aktivní.
Změny v antivirové aplikaci: Bezsouborový malware se může snažit deaktivovat váš antivirový program, aby počítač byl zranitelnější vůči dalším typům malwarových útoků.
Kromě toho byste měli používat antivirový software, který má zabudované funkce detekce chování, jež dokážou zachytit bezsouborový malware. Tyto antiviry dokážou rozpoznat neobvyklé chování aplikací a procesů a zjistit, zda nejsou infikované.
Například antivirový program Kaspersky nabízí speciální
ochranu proti bezsouborovému malwaru. Tyto nástroje nejen detekují neobvyklé chování, ale také prohledávají citlivé oblasti Windows, jako je WMI nebo registr Windows, a hledají škodlivý kód. Společnost Kaspersky má navíc dlouhou historii v odhalování oblíbených bezsouborových útoků.
Co dělat, když je vaše zařízení infikováno?
Pokud máte podezření, že váš počítač byl napaden, je dost pravděpodobné, že už je pozdě. Pokud měl malware v úmyslu něco ukrást, pravděpodobně to už udělal.
Vaše první obrana by měla být okamžité vypnutí počítače a jeho restart. Protože RAM je paměť, která data uchovává dočasně, vypnutím se zcela vymaže. Tím se bezsouborový malware automaticky odstraní, pokud nenastaly větší škody.
Bohužel, mnoho bezsouborového malwaru má mechanismy, jak přežít restart, jako je načtení kódu do registru. Pokud je to možné, pokuste se spustit počítač v nouzovém režimu a poté postupujte podle uvedených kroků:
#1. Prohledejte počítač antivirovým programem
Opět budete potřebovat antivirový program, který má nástroje pro ochranu před bezsouborovým malwarem. Kaspersky je stále mým doporučením pro hledání změn provedených bezsouborovým malwarem. Můžete ale také zkusit Malwarebytes, který má detekci bezsouborového malwaru založenou na umělé inteligenci.
#2. Použijte nástroj Obnovení systému
Obnovení systému dokáže vrátit počítač do dřívějšího stavu a zrušit všechny změny, které byly mezitím provedeny. Protože je na všech počítačích se systémem Windows ve výchozím nastavení aktivní, měl by být aktivní i na vašem počítači, pokud jste ho sami nevypnuli.
Jednoduše zadejte „Obnovení“ do vyhledávání ve Windows a otevřete nástroj Obnovení systému. Zde se zobrazí seznam všech aktuálně uložených bodů obnovení, ke kterým se můžete vrátit. Vyberte bod před napadením malwarem a opravte všechny provedené změny.
#3. Resetujte počítač
Pokud nemáte uložený bod obnovení, resetování počítače může také opravit škody a zároveň ponechat místní data. Reset však smaže všechny nainstalované programy, proto si ověřte, že v nich nemáte žádné důležité uložené informace.
V Nastavení Windows přejděte do Systém > Obnovení a klikněte na „Resetovat počítač“. V okně, které se otevře, klikněte na „Zachovat moje soubory“ a postupujte podle pokynů pro obnovení.
Jak se chránit před bezsouborovým malwarem?
Většina opatření, která vás chrání před běžným malwarem, vás chrání i před bezsouborovým malwarem. Nezapomeňte si nainstalovat antivirus s detekcí chování a nestahujte ani neklikejte na podezřelý obsah.
Nicméně, existuje několik preventivních opatření, která jsou důležitější pro ochranu před bezsouborovým malwarem. Uvádím je níže:
Udržujte operační systém a aplikace aktuální
Bezsouborový malware silně spoléhá na bezpečnostní mezery v aplikacích a operačním systému. Ujistěte se, že váš operační systém má nainstalované nejnovější bezpečnostní aktualizace a všechny aplikace jsou aktuální. Mnohé z těchto aktualizací obsahují opravy zranitelností, které by mohl bezsouborový malware zneužít.
Buďte opatrní s rozšířeními prohlížeče
Malware bez souborů může také infikovat pluginy prohlížeče prostřednictvím zranitelností. Ujistěte se, že si stahujete pouze důvěryhodná a renomovaná rozšíření prohlížeče a pravidelně je aktualizujte. V případě infekce se doporučuje rozšíření přeinstalovat, abyste se ujistili, že nejsou zdrojem problému.
Sledování sítě
Téměř veškerý bezsouborový malware navazuje síťová připojení s vlastními servery, aby mohl provádět svoji činnost. Nástroj jako GlassWire vám pomůže odhalit podezřelá připojení a také je automaticky blokovat díky vestavěnému firewallu. Doporučuji v něm nastavit upozornění, abyste byli okamžitě informováni, pokud dojde k podezřelému připojení.
Zvyšte zabezpečení v nástroji Řízení uživatelských účtů (UAC)
Windows UAC si můžete nastavit tak, aby vás vždy informoval, když vy nebo některá aplikace provádíte změny v systému. I když to může být nepříjemné, protože budete dostávat oznámení o každé změně, výrazně to zvýší zabezpečení proti skrytému malwaru, jako je právě bezsouborový malware.
Vyhledejte „UAC“ v menu Windows a klikněte na „Změnit nastavení řízení uživatelských účtů“. Zde posuňte posuvník zabezpečení nahoru.
Použijte řešení Endpoint Security
Pro firmy je řešení zabezpečení koncových bodů užitečné, protože může chránit všechny počítače v síti a centralizovat zabezpečení. I když dojde k napadení některého zařízení, ostatní v síti zůstanou v bezpečí a bezpečnostní řešení může pomoci napadené zařízení opravit. Jejich aktualizace probíhají v reálném čase, takže jsou zranitelnosti okamžitě řešeny.
CrowdStrike je pro tento účel dobré řešení, které nabízí ochranu proti kybernetickým útokům na bázi umělé inteligence. Také má
speciální funkci skenování paměti
pro ochranu před bezsouborovým malwarem.
Závěrečné myšlenky 🖥️🦠
Bezsouborový malware je skutečně jedním z nejchytřejších malwarových útoků. Někdy ho hackeři dokonce používají jako součást rozsáhlého útoku, aby si zajistili prvotní přístup nebo oslabili systém. Upřímně řečeno, většině takových útoků se dá snadno vyhnout, pokud udržíme naši zvědavost na uzdě a nebudeme klikat na nic, o čem pochybujeme.
Dále si můžete přečíst, jak skenovat a odstraňovat malware z telefonů Android a iOS.