Ataki typu fileless. Czym są, jakie wyróżniamy rodzaje oraz czym różnią się od tradycyjnego złośliwego oprogramowania?
W ciągu ostatnich lat pojawiło się zagrożenie ze strony innego rodzaju złośliwego oprogramowania, które na początku wzbudzało zaskoczenie i duże obawy ekspertów ds. cyberbezpieczeństwa – zagrożeń bezplikowych. Fileless malware to rodzaj złośliwego oprogramowania, które wykorzystuje legalne i autoryzowane aplikacje do infekowania komputera. Nie opiera się na plikach i nie pozostawia śladu, co utrudnia jego wykrycie i usunięcie, a w dodatku stanowi bardzo realne zagrożenie zarówno dla osób prywatnych oraz firm.
Jaka jest skala zagrożeń bezplikowych?
77 procent wszystkich udanych ataków w 2017 r. było związanych z bezplikowym złośliwym oprogramowaniem. Walka z tego typu zagrożeniami wciąż trwa, tym bardziej, że życia nie ułatwiają klasyczne rodzaje malwaru. Techniki cyberbezpieczeństwa nadal muszą gonić za nowymi rodzajami i sposobami ataków, dlatego stawia się akcent na wykorzystanie AI (Artificial Intelligence) oraz ML (Machine Learning). Największym wyzwaniem przed oprogramowaniem antywirusowym jest wykorzystanie narzędzi wbudowanych w system operacyjny, np. PowerShell, interpreter VBA/JAVA, rejestr, czy Task scheduler oraz WMI. Należy rozróżnić działania administracyjne od tych nieautoryzowanych.
Jak działa fileless?
Zagrożenie typu fileless nie zapisuje plików bezpośrednio w systemie, ale w efekcie swojego działania może je pobierać z Internetu, a do tego może utrzymać się bez jakichkolwiek plików .exe, .ps itp. Co więcej – atakujący wykorzystują metody bezplikowe jako jeden z elementów całego łańcuch ataku, np. używając pamięci RAM. Często wykorzystuje się biblioteki DLL dostarczane na stacje w celu modyfikacji ustawień. Podobnie jest przy wykorzystaniu techniki DotNetToJScript polegającej na ładowaniu bibliotek .NET; narzędzie do tych działań można naleźć w serwisie GitHub.
Ataki bezplikowe skutecznie unikają wykrycia przez tradycyjne oprogramowanie zabezpieczające, które wyszukuje pliki zapisane na dysku komputera w celu zbadania i oceny, czy są one złośliwe. Szczególnym wyzwaniem jest inwestygacja po zdarzeniu, dlatego że cała aktywność zagrożenia odbywa się w pamięci RAM i często nie pozostawia śladu na dysku twardym.
Jak chronić się przez fileless malware?
Przeciwdziałanie atakom bezplikowym wymaga podejścia wielowarstwowego, defense in depth, które nie jest zależne od środków konwencjonalnych, opartych na plikach środków zaradczych w celu łagodzenia zagrożeń. Bardzo przydatny jest whitelisting aplikacji, który zminimalizuje powierzchnię ataku (surface attack). Warto skorzystać z opcji analizy behawioralnej, która pomoże zidentyfikować nietypowe zachowanie klasycznych aplikacji. Dużą pomocą są rozwiązania klasy next-gen AV oraz EDR, które poprzez analizę wszystkich działań w systemie operacyjnym są w stanie zidentyfikować metodę i rodzaj ataku. Jednak należy pamiętać o ciągłości monitoringu zdarzeń w systemie.
