etechblog

Pochopení bezsouborového malwaru a jak se proti němu bránit

Pokud jste si mysleli, že nechtěná instalace malwaru do vašeho počítače byla špatná, počkejte, dokud neobjevíte bezfilmový malware, kradmého vetřelce, který na vašem úložném disku nezanechá žádné stopy.

Tradiční malware je snazší odstranit, jakmile je detekován, protože má na úložné jednotce viditelné soubory, které antivirus prohledá a odstraní. Bezsouborový malware funguje výhradně z paměti počítače (RAM), takže je mnohem obtížnější jej odhalit.

V tomto příspěvku vám řeknu vše, co potřebujete vědět o bezsouborovém malwaru a jak se proti němu chránit.

Co je to Fileless Malware?

SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjK6m9660GjA+HztycwUKz CYA6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD9+V0nsa3 w3hwpY+50VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAX/wzzPBLZlIADkWAwr7/Mzcus+3 DJtpgCAAA=

Bezsouborový malware je škodlivý kód, který se spouští z paměti systému. Hledá především zranitelnosti v legitimních aplikacích a poté je kompromituje, aby se sám spustil. Ve vzácných případech může otevřít své vlastní škodlivé procesy pro provádění funkcí.

Protože antivirus obvykle kontroluje stažené a nainstalované soubory/programy, bezsouborový malware je mnohem obtížnější odhalit, protože nemá přidružený soubor. Škodlivé funkce, které může provádět, jsou podobné těm, které může provádět většina jiného malwaru; hlavní rozdíl je v tom, jak se nachází v PC.

Jak Fileless Malware infikuje zařízení?

Stejně jako většina ostatních typů malwaru se i malware bez souborů šíří hlavně prostřednictvím škodlivých odkazů v e-mailovém spamu, škodlivých webů nebo útoků sociálního inženýrství. Liší se však provedením, protože hledá zranitelnosti v programech v PC nebo v samotném operačním systému.

Mezi běžné zranitelné aplikace patří Powershell, Windows Management Instrumentation (WMI), prohlížeč a všechny nainstalované zranitelné pluginy. Využívá zranitelnosti k vložení škodlivého kódu do legitimního programu a provádění úkolů podle jeho účelu.

Infikovaný Powershell může například spouštět příkazy na úrovni správce za účelem krádeže dat nebo šifrování důležitých dat.

Zdroj obrázku: TrendMicro

Může také použít „process hollowing“ k vyprázdnění obsahu legitimního procesu a poté jej naplnit jeho škodlivým kódem, aby fungoval pod jeho jménem.

  Poznámky, rozmazání nebo přidání tvarů ke snímkům obrazovky na vašem iPhone

PowerGhost je dobrým příkladem bezsouborového malwarového útoku, který používal WMI a Powershell pro těžbu kryptoměn na podnikových počítačích bez detekce.

Jaké hrozby představuje bezsouborový malware?

Jak jsem řekl dříve, malware bez souborů může provádět většinu úkolů podobných malwaru, který se nachází v úložišti počítače. Vše závisí na účelu, pro který byl bezsouborový malware kódován, a jaké zranitelnosti využívá.

Mezi běžné škodlivé funkce, které může provádět, patří krádež dat, krádež přihlašovacích údajů, šifrování dat, sledování aktivity, keylogging, krypto-těžba, DDoS útoky a změna nastavení zabezpečení pro další útoky.

Pro lepší představu níže uvádím předchozí rozsáhlé útoky malwaru bez souborů:

PowerWare: Jednalo se o typ ransomwaru, který využíval Powershell ke tajnému spouštění příkazů k uzamčení důležitých souborů a pokusu předstírat, že jsou šifrované. Poté požádá o platbu v kryptoměně.

PowerSniff: Šíří se využitím nastavení zabezpečení aplikace Microsoft Word ke spuštění makra odeslaného jako dokument. Makro prohledalo PC a ukradlo přihlašovací údaje.

TrickBot: Ačkoli to není zcela bezsouborový malware, TricktBot načetl své moduly do paměti v jedné ze svých pokročilých verzí. Hlavním účelem malwaru bylo ukrást finanční údaje.

Ransomware Netwalker: Je to další ransomware, který používá taktiku bez souborů, ale jeho šifrování je skutečné. Nahradil legitimní procesy Microsoftu škodlivým kódem, aby se skryl a spouštěl příkazy.

Jak zjistit bezsouborový malware?

Vzhledem k tomu, že bezfilmový malware je především o záludnosti, je opravdu obtížné jej odhalit. Pokud si myslíte, že jste klikli na škodlivý odkaz a váš počítač byl infikován, existuje několik věcí, které můžete uhodnout a přejít k ochranným opatřením.

Níže jsou uvedeny některé běžné stopy, které je třeba hledat:

Neobvyklé chování systému: Malware bez souborů může způsobit neobvyklé chování, jako je otevírání a zavírání určitých aplikací, zamrzání počítače, selhání nebo restartování atd.

Zpomalení výkonu: Můžete zaznamenat náhlé snížení celkového výkonu systému. Mohlo by to vést i k zamrznutí.

Neobvyklá aktivita sítě: Spolu s pomalejším výkonem sítě si můžete všimnout neobvyklého provozu v doméně, ke které jste nepřistupovali. Pro analýzu sítě vždy doporučuji GlassWire.

Vysoké využití procesoru procesem: Otevřete Správce úloh a zjistěte, zda neobvyklý proces nevyužívá příliš mnoho prostředků procesoru. Kompromitovaný proces obvykle používá vysoký výkon CPU, i když není aktivní.

Změny antivirové aplikace: Bezsouborový malware se může pokusit deaktivovat váš antivirový software, aby byl počítač zranitelný vůči více typům malwarových útoků.

  Jaký je rozdíl mezi 5G a 5GHz Wi-Fi?

Kromě toho byste také měli používat antivirus, který má vestavěné funkce detekce chování k zachycení bezsouborového malwaru. Takové antivirové aplikace mohou detekovat neobvyklé chování v aplikacích a procesech a zjistit, zda jsou infikovány.

Pro tento účel společnost Kaspersky Antivirus vyhradila bezsouborová ochrana proti malwaru nástroje, které nejen detekují neobvyklé chování, ale také skenují citlivé funkce Windows, jako je WMI nebo Windows Registry, aby hledaly škodlivý kód. Společnost Kaspersky má také dlouhou historii odhalování populárních bezsouborových malwarových útoků.

Co dělat, když je vaše zařízení infikováno?

Pokud si myslíte, že se váš počítač nakazil, je velká šance, že je již příliš pozdě. Pokud měl malware v úmyslu něco ukrást, pravděpodobně to již udělal.

Vaší první obrannou linií je však počítač úplně vypnout a znovu spustit. Protože RAM je nestálá paměť, při vypnutí počítače se zcela vymaže. Tím se bezsouborový malware automaticky odstraní, doufejme, dříve, než dojde k poškození.

Bohužel většina malwaru bez souborů má vestavěné metody, jak přežít restart, jako je načtení kódu do položky registru. Pokud je to možné, zkuste spustit počítač v nouzovém režimu a poté postupujte podle níže uvedených metod:

#1. Skenování pomocí antiviru

Opět budete potřebovat antivirovou aplikaci, která má nástroje na ochranu proti bezsouborovému malwaru. Kaspersky je stále mým doporučením pro hledání změn provedených malwarem bez souborů. Můžete však také vyzkoušet Malwarebytes, který má detekci chování bezsouborového malwaru založenou na AI.

#2. Použijte Obnovení systému

Obnovení systému dokáže vrátit počítač do předchozího stavu včas a resetovat všechny změny, které na něm byly provedeny. Protože je ve výchozím nastavení povolena na všech počítačích se systémem Windows, měla by být povolena i na vašem počítači, pokud jste ji sami nezakázali.

Jednoduše zadejte Recovery ve Windows Search a otevřete nástroj Obnovení systému. Zde uvidíte všechny aktuálně uložené body obnovení, ke kterým se chcete vrátit. Stačí vybrat ten před napadením malwarem a opravit všechny změny.

#3. Resetujte PC

Pokud jste neměli bod obnovení, resetování počítače může také opravit všechna poškození a zároveň zachovat místní data. Reset však smaže všechny programy nainstalované v PC, takže se ujistěte, že v nich nemáte žádná důležitá uložená data.

V Nastavení Windows přejděte na Systém > Obnovení a poté klikněte na Resetovat počítač. Ve vyskakovacím okně klikněte na Ponechat moje soubory a postupujte podle pokynů pro obnovení.

  Jak použít podmíněné formátování na základě jiné buňky v Excelu

Jak se chránit před bezsouborovým malwarem?

Většina opatření, která chrání před běžným malwarem, chrání také před malwarem bez souborů. Jen si nezapomeňte nainstalovat antivirus s detekcí chování a nestahujte ani neklikejte na škodlivý obsah.

Existuje však několik ochranných opatření, která jsou pro ochranu před bezsouborovým malwarem důležitější. Níže je uvádím:

Udržujte operační systém a aplikace aktualizované

Bezsouborový malware silně závisí na bezpečnostních slabinách v aplikacích a operačním systému. Měli byste se ujistit, že váš operační systém má nejnovější aktualizace zabezpečení a všechny aplikace jsou aktuální. Mnoho z těchto aktualizací obsahuje opravy zranitelností, které může malware bez souborů zneužít.

Buďte opatrní s rozšířeními prohlížeče

Malware bez souborů může také infikovat pluginy prohlížeče zranitelností. Ujistěte se, že stahujete pouze důvěryhodná a renomovaná rozšíření prohlížeče a udržujte je aktuální. V případě infekce se doporučuje přeinstalovat rozšíření, abyste se ujistili, že nejsou viníkem.

Sledování sítě

Téměř veškerý bezsouborový malware vytváří síťová připojení se svými vlastními servery, aby vykonával svou práci. Nástroj jako GlassWire vám může nejen pomoci vidět podezřelá připojení, ale také je automaticky blokovat díky vestavěnému firewallu. Doporučím vám nastavit si v něm upozornění, abyste vždy dostávali upozornění při zjištění podezřelého spojení.

Zvýšení zabezpečení v nástroji Řízení uživatelských účtů (UAC)

Windows UAC můžete nakonfigurovat tak, aby vás vždy upozornil, když vy nebo aplikace provedete jakoukoli změnu systému. Může to trochu znepříjemnit oznámení o každé změně, ale může výrazně zvýšit zabezpečení proti skrytému malwaru, jako je malware bez souborů.

Vyhledejte UAC ve Windows Search a klikněte na Změnit nastavení řízení uživatelských účtů. Zde nastavte bezpečnostní lištu nahoru.

Použít Endpoint Security Solution

Pro podniky může řešení zabezpečení koncových bodů chránit všechna PC v síti centralizací zabezpečení. I když se zařízení nakazí, vaše ostatní zařízení v síti zůstanou v bezpečí a bezpečnostní řešení může pomoci infikované zařízení opravit. Jejich aktualizace jsou také v reálném čase, takže zranitelnosti jsou po opravě okamžitě opraveny.

CrowdStrike je pro tento účel dobrým řešením, které nabízí ochranu proti kybernetickým útokům založenou na umělé inteligenci. Má také a vyhrazený paměťový skener funkce pro ochranu před malwarem bez souborů.

Závěrečné myšlenky 🖥️🦠

Bezsouborový malware skutečně patří mezi nejchytřejší malwarové útoky. Někdy je dokonce hackeři používají jako součást svého velkého útoku, aby buď získali počáteční přístup, nebo oslabili systém. Upřímně, většině takových útoků se lze snadno vyhnout, pokud udržíme svou zvědavost na uzdě a nebudeme klikat na nic, o čem máme pochybnosti.

Dále si můžete přečíst o tom, jak skenovat a odstraňovat malware z telefonů Android a iOS.

x