Ne ostavlja trag, ali ostavlja posledice

U svetu sajber pretnji, malveri se pojavljuju i dolaze u različitim oblicima i nivoima sofisticiranosti. Neki od njih, kao što su ransomware, virusi, worms-i ili brisači podataka (wipers), imaju za cilj da kompromituju i kradu podatke, uništavaju ih ili blokiraju pristup. Međutim, među ovim pretnjama, fileless malver (malver bez datoteka) predstavlja poseban izazov zbog svoje sposobnosti da izbegne detekciju.

Šta je fileless malver?

Za razliku od tradicionalnih malvera, koji se oslanjaju na instaliranje datoteka na računar, fileless malver radi isključivo unutar memorije računara (RAM), ne ostavljajući trag na hard disku. Zbog načina na koji radi, detektovanje fileless malvera je poprilično komplikovan zadatak jer ne postoje “fizičke” datoteke koje bi običan antivirus mogao da prepozna.

Najčešće priča ide ovako – korisnik dobije email ili poruku, obično od nekoga ko mu deluje poznato i bez puno razmišljanja klikne na prilog ili link. Taj jedan klik je dovoljan da pokrene lavinu – zlonamerni kod se aktivira, ušunja se u računar i bez znanja korisnika, počinje da radi u pozadini, koristeći iste one resurse koje bi inače koristile bezbedne aplikacije. Kao da je na vašem računaru instaliran običan softver, samo što ovaj radi „punom parom“ protiv vaših interesa.

Malver bez datoteka je malo drugačiji. Nije uskladišten na disku vašeg računara, manje je vidljiv i koristi legitimne programe da kompromituje računar, a postaje moćan onog momenta kada se učita u RAM-u računara. Tada počinje da manipuliše postojećim procesima, alatima i sistemskim funkcijama, zloupotrebljava ih i krije se u njima. Ovakav zlonamerni softver teže je otkriti jer ne ostavlja nikakav otisak (footprint) i u potpunosti se nalazi u memoriji računara.

Sada logično sledi pitanje: „Dobro, ali ipak negde moram da preuzmem taj malver?“ Tako je – bez obzira na to da li je malver sa datotekama ili bez njih, za infiltraciju je potreban jedan dodatni „klik“. Znači put ulaska malvera (bilo koje vrste) je identičan, a ono što čini ključnu razliku je ponašanje malvera kada se nađu u sistemu. Fileless malver ne ostavlja nikakav trag u fajlovima na disku, već direktno napada memoriju i pokušava da se sakrije što je bolje moguće, sa glavnim  ciljem – da ne bude otkriven dok ne izvrši zadatak.

Da li ste znali?

Prvi virus za PC, pod imenom „Brain virus“, napravljen je 1986. godine i slobodno možemo reći da je bio  preteča današnjih fileless malvera. „Brian virus“ postavljao je svoj maliciozni kod na flopi diskove (samo na boot sektore, ne i na fajlove) i kada bi se računar pokrenuo, sa zaraženog diska virus bi se automatski učitao u memoriju računara i tako izvršavao svoju malicioznu funkciju.

Razvoj fileless malvera započeo je sa, već pomenutim, Brian virusom iz 1986. godine. Iako je Brian virus zahtevao fizički medij za širenje, postavio je temelje za razvoj malvera koji ne zavisi od datoteka.

Sa pojavom interneta i novijih operativnih sistema intenzivirao se i razvoj različitih malvera. Koristili su alate već prisutne u sistemima, poput PowerShell-a i WMI-a (Windows Management Instrumentation) za pokretanje zlonamernog koda u memoriji bez potrebe za fajlovima na disku.

Teško detektovanje, kratkotrajnost (najčešće nestaju nakon restartovanja sistema, čineći forenzičke analize izazovnim) i efikasnost su glavni razlozi zbog kojih su i dan danas fileless pretnje popularne. Međutim, danas se najčešće koriste kao deo sofisticiranih, višefaznih sajber napada koji ciljaju organizacije ili pojedince i kada je cilj neprimetna infiltracija.

Primeri fileless malvera

Astaroth malver kampanja

Dobro poznati primer upotrebe zlonamernog softvera bez datoteka je Astaroth kampanja (koju je ESET otkrio kao Guildma). Astaroth malver je primer kako sofisticirani fileless malveri koriste legitimne alatke i resurse operativnog sistema da bi neprimetno delovali u pozadini, zaobilazeći tradicionalnu zaštitu. Astaroth je bio isporučen korisnicima putem emaila u kom su se nalazili maliciozni linkovi. Momenat nepažnje i nesmotren klik na link bili su dovoljni da se malver infiltrira u memoriju računara.  Umesto da se instalira kao fajl na računaru, ovaj malver koristi injektovanje – ubacivanje svog koda u već aktivne legitimne procese, što mu pomaže da ostane neprimetan.

Cilj je bila krađa osetljivih podataka poput lozinki i finansijskih informacija.

Kovter malver

Kovter malver, koji je prvi otkrio ESET Research 2014. godine, koristi veoma neobičnu i sofisticiranu tehniku. Umesto da smešta svoje maliciozne komponente u fajlove na disku, Kovter ih čuva šifrovane u Windows registru, što ga čini “nevidljivim” za standardne antiviruse koji skeniraju samo fajlove na disku.

Prvobitno je bio poznat kao ransomware, ali je kasnije evoluirao u alat za click-fraud (prevaru putem klikova). Kovter napada tako što se infiltrira u sistem bez ikakvog zapisa u fajlovima, preživljavajući čak i ponovna pokretanja sistema.

Zadatak mu je da generiše lažne klikove na oglase, zarađujući novac napadačima, dok žrtve i ne primećuju da je njihov sistem pod kontrolom malvera.

GreyEnergy

GreyEnergy –  jedan od naprednijih fileless malvera, koji kao i ostali malveri ove vrste, funkcioniše samo u memoriji računara. Ovog puta za infiltraciju GreyEnergy malvera korišćen je spear-phishing napad.

GreyEnergy malver je bio deo sofisticiranih napada sa ciljem špijunaže i sabotaže, usmerenih pre svega na industrijske sisteme i energetsku infrastrukturu u istočnoj Evropi. Smatra se naslednikom malvera BlackEnergy, koji je bio odgovoran za napade na ukrajinsku elektroenergetsku mrežu 2015. godine, kada su, bez struje ostali milioni ljudi.

Zaštita od fileless napada

Najbolji način zaštite od fileless malvera je da kombinujete korišćenje naprednih alata za bezbednost, koji mogu da prepoznaju aktivnosti u memoriji i neobično ponašanje sistema, uz obaveznu edukaciju korisnika. Nažalost, kada je malver u pitanju stopostotne zaštite nema, međutim, postoje neke zdravorazumske strategije koje možete primeniti kako biste poboljšali sajber bezbednost i učinili svoje poslovanje manje privlačnom metom.

  1. U današnjem digitalnom svetu, oprez prilikom klika na linkove je prva linija odbrane. Maliciozni linkovi se često kriju iza naizgled bezopasnih poruka ili emailova. Pre nego što kliknete, obratite pažnju na neobične URL adrese, neočekivane zahteve za preuzimanje ili gramatičke greške u porukama. Ovaj savet za zaštitu od (fileless) malvera je istovremeno i varljivo lak i težak: „sumnjive“ veze postaju sve manje sumnjive, a „loši momci“ znaju kako da oblače svoje imejlove, veb stranice i tekstualne poruke da izgledaju kao legitimni delovi komunikacije. Rešenje: ESET Mail Security i ESET Dynamic Threat Defense pružaju zaštitu analizom email priloga i linkova u realnom vremenu, detektujući i blokirajući pretnje pre nego što dospeju do korisnika. Naravno, uz dobre alate za odbranu neophodna je i edukacija korisnika o prepoznavanju sumnjivih emailova i reagovanju na iste.
  1. Redovno ažurirajte softver i „zakrpite“ ranjivosti. Out-of-date softver ili aplikacije sa poznatim ranjivostima često su glavna meta napada fileless malvera. Ranjivosti u zastarelim verzijama softvera kao što su web browser-i, operativni sistemi, programi kao što su Adobe Flash, Java ili druge aplikacije koje nisu “zakrpljene” mogu biti iskorišćence za upad u vaš sistem. Ovi napadi često koriste exploit kits, skup alata dizajniranih da eksploatišu poznate softverske ranjivosti. Rešenje: Redovno ažuriranje softvera i korišćenje ESET Exploit Blocker-a (detektuje i blokira napade koji pokušavaju da iskoriste poznate ranjivosti) uz alat ESET Vulnerability and patch management koji automatski prepoznaje ranjivosti i krpi ih.
  2. Onemogućite alate koji nisu od vitalnog značaja. Administratorski alati kao što su PowerShell i Windows Management Instrumentation (WMI) su legitimni alati unutar sistema, ali napadači mogu iskoristiti njihovu funkcionalnost za pokretanje malicioznog koda direktno u memoriji bez kreiranja datoteka. Rešenje: ESET Advanced Memory Scanner i ESET LiveGrid tehnologija su od suštinskog značaja jer prate ponašanje procesa i detektuju maliciozne aktivnosti čak i kada se koriste legitimni alati.
  3. Pratite saobraćaj svoje mreže. Ako vaša mreža nema adekvatnu zaštitu, napadači mogu koristiti mrežne ranjivosti kako bi inficirali računare fileless malverom. Loše konfigurisan firewall ili nešifrovani podaci mogu otvoriti vrata napadima. Rešenje: ESET Firewall i ESET Network Attack Protection nude zaštitu mreže od napada koji ciljaju ranjivosti u mrežnoj infrastrukturi.
  4. Bolja kontrola postavljenih privilegija: Neki sistemi imaju slabo postavljene kontrole privilegija, što omogućava napadačima da lakše pristupe kritičnim sistemima ili da eskaliraju privilegije unutar mreže. Rešenje: Primenite “princip najmanje privilegija”. Revidirajte privilegije dodeljene različitim korisničkim nalozima i ukinite sve koje korisniku nisu neophodne za obavljanje posla. Uklonite i sve programe koji nisu neophodni, a koje napadači mogu da iskoriste za sprovođenje napada. Ograničite pristup deljenim mrežama i fajlovima.
  5. Koristite robustan bezbednosni softver: Investirajte u antivirus i anti-malver softver koji uključuje napredne funkcije kao što su praćanje ponašanja, otkrivanje anomalija i skeniranje memorije. ESET Endpoint Security pruža višeslojnu zaštitu sa naprednim skenerom memorije, koji je u kombinaciji sa Exploit Blocker modulom (blokatorom ekploatacije) dizajniran da prepozna malvere napravljene sa ciljem da izbegnu detekciju. Pored toga, zahvaljujući različitim oblicima naprednog mašinskog učenja, detekcije možemo podesiti tako da imaju odličnu stopu otkrivanja. I to nije sve, ESET-ov sistem za prevenciju upada Host-based Intrusion Prevention System (HIPS) i njegova dubinska inspekcija ponašanja (Deep Behavioral Inspection – DBI) koriste unapred definisana pravila za skeniranje i nadgledanje sumnjivog ponašanja u vezi sa pokrenutim procesima, datotekama i ključevima registratora.
  6. Budite informisani. Na našem blogu – Extremovanje, redovno pišemo o najnovijim bezbednosnim pretnjama i kako ih prepoznati i izbeći. Takođe, organizujemo edukativne radionice i skupove za naše korisnike, gde međusobno razmenjujemo iskustva i predstavljamo našim korisnicima najnovije ESET alate i tehnologije koje su ključne za zaštitu od malvera. Naravno, na sajtu proizvođača ESET takođe, možete pronaći veliki broj edukativnih i zanimljivih tekstova.
(Visited 8 times, 1 visits today)
Podelite na društvenim mrežama ...
Share on Facebook
Facebook
Pin on Pinterest
Pinterest
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin