BEZPLIKOWY MALWARE W OFENSYWIE – CO TO OZNACZA DLA TWOJEGO BEZPIECZEŃSTWA?

Bezpieczeństwo i Prywatność

Wydaje się, że bezplikowy malware coraz mocniej daje sobie o znać. Jak chronić organizację przed atakami bez plików, które można by przeskanować?

Przeprowadzanie ataków w pamięci, zamiast za pośrednictwem plików wykonywalnych, znów jest w modzie. W zeszłym roku zaatakowano np. kilka banków za pomocą tej techniki, która nie jest nowa, ale właśnie wróciła do łask.

Andy Patel z F-Secure Labs wyjaśnia:

„Termin »bezplikowy« opisuje złośliwe oprogramowanie, które nie ma postaci pliku wykonywalnego. Ataki tego typu mają na celu obejście technologii antywirusowych, które skupiają się wyłącznie na wykrywaniu złośliwości wykonywalnych typów plików”.

Napastnicy wykorzystują narzędzia Microsoftu, takie jak PowerShell, do przeprowadzania ataków w pamięci poprzez złośliwe makra, które uruchamiają PowerShell w celu wczytania złośliwego oprogramowania do komputera. Wykrywanie takich ataków bywa trudne, ponieważ makra używają technik unikowych oraz podejścia bezplikowego, aby obejść mechanizmy detekcji oparte na skanowaniu plików.

Raport F-Secure „State of Cyber Security 2017” wyjaśnia zagrożenie ze strony makr w następujący sposób: Makra są zasadniczo przydatnymi narzędziami do automatyzacji zadań. Stwarzają jednak zagrożenie, ponieważ malware może ukrywać się w pozornie nieszkodliwym dokumencie i skłonić ofiarę do wykonania złośliwego kodu. Ofiara zwykle otrzymuje dokument jako załącznik do wiadomości e-mail, po otwarciu którego odbiorca musi włączyć obsługę makr, żeby przeczytać treść. Włączenie makr powoduje wykonanie złośliwego kodu.

Ataki bazujące na pamięci często wykorzystują znane luki w zabezpieczeniach, a jak wiemy, wiele organizacji nie łata tych luk efektywnie i terminowo – według badań, które przeprowadziliśmy pod koniec 2015 roku, około 70 proc. organizacji nie używa rozwiązania do zarządzania poprawkami, choć według niedawno opublikowanego raportu Gartnera „Get Ready for ‘Fileless’ Malware”1), jednym z obszarów, na których powinny skupić się organizacje, jest higiena bezpieczeństwa i zarządzanie poprawkami.

Ograniczając dostęp do krytycznych zasobów, takich jak serwery dowodzenia (C&C), organizacje mogą zminimalizować zagrożenie ze strony złośliwego oprogramowania, również bezplikowego. Nawet jeśli malware przedostanie się do sieci organizacji, nie wyrządzi żadnych szkód bez dostępu do serwera C&C –  co można kontrolować z wykorzystaniem naszego narzędzia Botnet Blocker.

Wcześniej opublikowaliśmy sześć wskazówek, które pomagają uniknąć złośliwego oprogramowania bazującego na makrach – te same rady w dużym stopniu dotyczą również bezplikowego malware’u. Nasze mechanizmy ochronne, w tym behawioralna funkcja DeepGuard, blokują już te wektory ataku.

Jose Perez, jeden z naszych ekspertów od DeepGuard, wyjaśnia:

„DeepGuard oferuje ochronę przed exploitami, aby ograniczyć ryzyko wykorzystania luk w zabezpieczeniach zwykłych aplikacji. Oferuje też ochronę przed atakami skryptowymi, blokując wykonywanie skryptu. Zasadniczo właśnie na tym polegają detekcje DeepGuard: na wykrywaniu behawioralnych objawów włamania”.

1 ) Ian McShane, Peter First, 13 lutego 2017

Gartner nie popiera żadnego producenta, produktu ani usługi prezentowanej w swoich publikacjach badawczych ani nie zaleca użytkownikom wybierania wyłącznie najwyżej sklasyfikowanych producentów. Publikacje przedstawiają opinie organizacji badawczej Gartnera i nie należy traktować ich jako stwierdzeń faktu. Gartner nie udziela żadnych gwarancji, jawnych ani domniemanych, odnośnie swoich badań, łącznie z gwarancjami przydatności handlowej albo użyteczności do określonego celu.

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: