A fájl nélküli rosszindulatú szoftverek olyan típusú káros kódok, amelyek valid programokat használnak a számítógép megfertőzéséhez. Nem támaszkodik fájlokra, és nem hagy nyomot, így nehéz felderíteni és eltávolítani. Nagyjából így lehetne röviden összefoglalni, de mi most a Trellix segítségével bővebben is kifejtjük.
A mai fenyegetettségi szereplők jól ismerik azokat a stratégiákat, amelyekkel a szervezetek megpróbálják megakadályozni a támadásaikat, és egyre kifinomultabb, célzott rosszindulatú szoftvereket készítenek a védelmi vonal megkerüléséhet. Ez egy versenyfutás az idővel, mivel a leghatékonyabb hacker technikák általában a legújabbak. A fájl nélküli rosszindulatú szoftverek a legkifinomultabb biztonsági megoldásokon kívül minden más megoldást hatékonyan kijátszanak.
A fájl nélküli rosszindulatú programok 2017-ben jelentek meg a kiberbiztonsági trendek között, de sok ilyen támadási módszer már korábban is létezett. A Frodo, a Number of the Beast és a The Dark Avenger mind korai példái voltak az ilyen típusú malware-eknek. A közelmúltbeli, nagy nyilvánosságot kapott fájl nélküli támadások közé tartozik a Demokratikus Nemzeti Bizottság (Democratic National Committee) feltörése és az Equifax megsértése.
A fájl nélküli fertőzéseket az teszi olyan alattomossá, hogy gyakran nem észlelhetők a vírusirtók, a whitelisting és más hagyományos végpontbiztonsági megoldások által. A Ponemon Intézet szerint a fájl nélküli támadások tízszer nagyobb valószínűséggel sikeresek, mint a fájlalapú támadások.
Na de, hogyan is történik a fájl nélküli támadás?
A fájl nélküli támadások a LOC-támadások (low-observable characteristics) tágabb kategóriájába tartoznak, a lopakodó támadások egy olyan típusába, amely a legtöbb biztonsági megoldás által nem észlelhető. Bár nem tekinthető hagyományos vírusnak, a fájl nélküli rosszindulatú programok hasonló módon működnek (a memóriában tevékenykednek). Anélkül, hogy egy fájlban tárolnák vagy közvetlenül a gépre telepítenék őket, a fájl nélküli fertőzések egyenesen a memóriába kerülnek, és a rosszindulatú tartalom soha nem érinti a merevlemezt. Sok LOC-támadás kihasználja a Microsoft Windows PowerShell-t, amelyet a rendszergazdák a feladatok automatizálására és a konfigurációkezelésre használnak.
Filess attack kill chain
A fenti ábrán az látható, hogy miként működik egy fájl nélküli támadás. A legtöbb fejlett támadáshoz hasonlóan manapság a fájl nélküli támadások is gyakran használnak social engineering módszereket, hogy rávegyék a felhasználókat egy adathalász e-mailben található linkre vagy mellékletre való kattintásra. A fájl nélküli támadásokat jellemzően oldalirányú mozgásra használják, vagyis egyik eszközről a másikra jutnak el azzal a céllal, hogy hozzáférési jogokat szerezzenek értékes adatokhoz a vállalati hálózaton belül. A gyanú elkerülése érdekében a fájl nélküli rosszindulatú szoftverek a megbízható, fehér listán szereplő alkalmazások (például a PowerShell és a Windows script host futtatók, például a wscript.exe és a cscript.exe) vagy az operációs rendszer belső zugaiba jutnak be, hogy rosszindulatú folyamatokat indítsanak el. Ezeknek a támadásoknak az a csimborasszója, hogy visszaélnek a biztonsági alkalmazások által használt bizalmi modellel, miszerint azol nem figyelik a fehér listára felvett programokat.
Hogyan védekezhet a fájl nélküli támadások ellen?
Ahogy a kiberbiztonsági iparág egyre kifinomultabbá válik az exploitok elzárásában, a fájl nélküli támadások élettartama egyre rövidebb lesz. A fájl nélküli fertőzések elleni védekezés egyik módja egyszerűen a szoftverek naprakészen tartása. Ez különösen a Microsoft alkalmazásokra vonatkozik.
A fájl nélküli támadások sikeres elhárításának valódi kulcsa az integrált megközelítés, amely a fenyegetés teljes életciklusát kezeli. A többrétegű védelemmel előnyre lehet szert tenni a támadókkal szemben, mivel a támadás előtt, alatt és után a kampány minden fázisát képes vizsgálni.
Két dolog különösen fontos:
- A képesség, hogy lássuk és mérjük, mi történik: a támadás által használt technikák felfedezése, a PowerShell vagy más szkriptmotorok tevékenységeinek megfigyelése, az összesített fenyegetési adatokhoz való hozzáférés, valamint a felhasználói tevékenységek átláthatóságának megszerzése.
- A célzott rendszer állapotának ellenőrzésére való képesség: tetszőleges folyamatok leállítása, a támadás részét képező folyamatok helyreállítása és a fertőzött eszközök elszigetelése.
A fájl nélküli támadások sikeres megszakításához holisztikus megközelítésre van szükség, amely képes észrevenni, és gyorsan sorba állítani a megfelelő intézkedéseket, ott és akkor, amikor szükség van rájuk.
Hogyan védekezhetünk a fájl nélküli fenyegetések bizonyos típusai ellen?
A Trellix kutatócsoportjaiban több mint 250 kutató dolgozik világszerte. A Trellix segítségével olyan szakértői csapatot kapnak az ügyfelek, amelyek folyamatosan elemzik a gyanús objektumokat és viselkedéseket a rosszindulatú fenyegetések szempontjából, és olyan eszközöket fejlesztenek, amelyek közvetlenül blokkolják a fájl nélküli fenyegetések különböző változatait. Számos olyan ajánlást és leírást publikáltak már, amelyek segítségével azonosítani és blokkolni lehet a fájl nélküli fenyegetések különböző változatait.