Кіберсвіт рясніє інцидентами, пов’язаними з безпекою. Хоча більшість кібератак вимагають спеціальної приманки для вторгнення в систему, невловиме безфайлове шкідливе програмне забезпечення існує поза мережею, інфікуючи та перепрограмовуючи законне програмне забезпечення для власних потреб.
Але як же атакує безфайлове шкідливе програмне забезпечення, якщо воно не використовує жодних файлів? Які найпоширеніші методи вони використовують? І чи можете ви захистити свої пристрої від безфайлових шкідливих програм?
Як атакує безфайлове шкідливе програмне забезпечення?
Безфайлове шкідливе програмне забезпечення атакує, використовуючи вже існуючі вразливості у встановленому програмному забезпеченні.
Поширеними прикладами є набори експлойтів, які використовують вразливості браузера, щоб змусити його запустити шкідливий код, використовуючи утиліту Powershell від Microsoft або макроси та скрипти.
Оскільки код для цих атак не зберігається у файлі і не встановлюється на комп’ютері жертви, він завантажує шкідливе програмне забезпечення безпосередньо в пам’ять за командою системи і миттєво запускається.
Відсутність виконуваних файлів ускладнює їх виявлення традиційними антивірусними рішеннями. Звісно, це робить безфайлове шкідливе програмне забезпечення ще більш небезпечним.
Типові методи, що використовуються безфайловими шкідливими програмами
Для запуску безфайловому шкідливому програмному забезпеченню не потрібен код або файли, але воно вимагає модифікації рідного середовища та інструментів, які намагається атакувати.
Ось кілька поширених методів, які використовує безфайлове шкідливе програмне забезпечення для атаки на пристрої.
Набори експлойтів
Експлойти – це фрагменти «експлуатованого» коду або послідовності. Експлойти є найкращим способом запуску безфайлової атаки, оскільки вони можуть бути впроваджені безпосередньо в пам’ять без необхідності записувати щось на диск.
Атака з використанням набору експлойтів запускається так само, як і звичайна атака, коли жертву заманюють за допомогою фішингових електронних листів або тактики соціальної інженерії. Більшість наборів містять експлойти для використання вже існуючих вразливостей в системі жертви, а також консоль керування, за допомогою якої зловмисник може контролювати її.
Шкідливе програмне забезпечення, що перебуває в пам’яті
Тип шкідливого програмного забезпечення, відомий як резидентне шкідливе програмне забезпечення в реєстрі, широко використовується в безфайлових атаках. Цей шкідливий код запрограмований на запуск щоразу, коли ви відкриваєте ОС, і залишається прихованим у власних файлах реєстру.
Після того, як безфайлове шкідливе програмне забезпечення встановлюється в реєстрі Windows, воно може залишатися там назавжди, уникаючи виявлення.
Шкідливе програмне забезпечення, що займає лише пам’ять
Цей тип шкідливого програмного забезпечення працює лише в оперативній пам’яті.
Зловмисники здебільшого використовують широко розповсюджені інструменти системного адміністрування та безпеки, зокрема PowerShell, Metasploit та Mimikatz, щоб впровадити свій шкідливий код у пам’ять вашого комп’ютера.
Викрадені облікові дані
Викрадення облікових даних для проведення безфайлової атаки дуже поширене явище. Викрадені облікові дані можна легко використати для атаки на пристрій під виглядом справжнього користувача.
Отримавши доступ до пристрою за допомогою викрадених облікових даних, зловмисники можуть використовувати вбудовані інструменти, такі як Windows Management Instrumentation (WMI) або PowerShell, для проведення атаки. Більшість кіберзлочинців також створюють облікові записи користувачів, щоб отримати доступ до будь-якої системи.
Приклади безфайлових атак
Безфайлове шкідливе програмне забезпечення існує вже досить давно, але як основна атака воно стало популярним лише в 2017 році, коли зловмисники створили набори, які інтегрують виклики до PowerShell.
Ось кілька цікавих прикладів безфайлового шкідливого ПЗ, про деякі з яких ви, без сумніву, чули.
The Dark Avenger
Це попередник безфайлових атак. Виявлений у вересні 1989 року, він вимагав файл як початкову точку доставки, але згодом працював всередині пам’яті.
Основною метою цієї атаки було зараження виконуваних файлів щоразу, коли вони запускалися на зараженому комп’ютері. Заражалися навіть скопійовані файли. Творець цієї атаки відомий як «Темний месник».
Frodo
Frodo не є безфайловою атакою в повному розумінні, але це був перший вірус, який завантажувався в завантажувальний сектор комп’ютера, роблячи його частково безфайловим.
Він був виявлений у жовтні 1989 року як нешкідливий жарт, метою якого було вивести на екрани заражених комп’ютерів повідомлення «Frodo Lives» («Фродо живе»). Однак через погано написаний код він насправді перетворився на руйнівну атаку для заражених ним комп’ютерів.
Операція Cobalt Kitty
Ця відома атака була виявлена в травні 2017 року і була проведена на систему однієї з азіатських корпорацій.
Скрипти PowerShell, які використовувалися для цієї атаки, були пов’язані із зовнішнім сервером управління, що дозволило запустити серію атак, в тому числі вірус Cobalt Strike Beacon.
Misfox
Ця атака була виявлена командою Microsoft Incident Response ще в квітні 2016 року. Вона використовує безфайлову методологію запуску команд через PowerShell, а також отримання постійного доступу через проникнення до реєстру.
Після того, як ця атака була виявлена командою безпеки Microsoft, до Захисника Windows було додано пакетне рішення для захисту від цього шкідливого програмного забезпечення.
WannaMine
Ця атака здійснюється шляхом майнінгу криптовалюти на хост-комп’ютері.
Вперше атака була помічена в середині 2017 року під час роботи в пам’яті без будь-яких слідів файлової програми.
Purple Fox
Purple Fox був створений у 2018 році як безфайловий троян-завантажувач, який потребував набору експлойтів для зараження пристроїв. Він з’явився в переконфігурованому вигляді з додатковим модулем хробака.
Атака ініціюється фішинговим електронним листом, в якому міститься корисне навантаження хробака, що автоматично сканує та заражає системи на базі Windows.
Purple Fox також може використовувати брутфорс-атаки, скануючи вразливі порти. Як тільки цільовий порт знайдено, він проникає в нього для розповсюдження інфекції.
Як запобігти безфайловому шкідливому програмному забезпеченню
Ми з’ясували, наскільки небезпечним може бути безфайлове шкідливе програмне забезпечення, особливо тому, що деякі програми для захисту не можуть його виявити. Наступні п’ять порад допоможуть запобігти будь-яким жанрам безфайлових атак.
1. Не відкривайте підозрілі посилання та вкладення
Електронна пошта є найбільшою точкою входу для безфайлових атак, оскільки наївних користувачів електронної пошти можна заманити, щоб вони відкрили шкідливі посилання.
Не переходьте за посиланнями, в достовірності яких ви не впевнені на 100 відсотків. Спочатку перевірте, куди веде URL-адреса, або з’ясуйте, чи можна їй довіряти, виходячи з ваших стосунків з відправником та змісту листа.
Також не слід відкривати вкладення, надіслані з невідомих джерел, особливо ті, що містять файли, які можна завантажити, наприклад, PDF-файли та документи Microsoft Word.
2. Не вимикайте JavaScript
JavaScript може бути значним фактором впливу для безфайлового шкідливого програмного забезпечення, але його повне вимкнення не допоможе.
Окрім того, що більшість сторінок, які ви відвідуєте, будуть або порожніми, або міститимуть відсутні елементи, у Windows також є вбудований інтерпретатор JavaScript, який можна викликати з веб-сторінки без необхідності використання JavaScript.
Найбільший недолік полягає в тому, що це може дати вам хибне відчуття безпеки від безфайлового шкідливого програмного забезпечення.
3. Вимкніть Flash
Flash використовує інструмент Windows PowerShell для виконання команд з командного рядка під час роботи в пам’яті.
Для належного захисту від безфайлового шкідливого програмного забезпечення важливо вимкнути Flash, якщо це не є необхідним.
4. Використовуйте захист браузера
Захист домашнього та робочого браузерів – це ключ до запобігання поширенню безфайлових атак.
Для робочого середовища створіть офісну політику, яка дозволяє використовувати лише один тип браузера на всіх робочих столах.
Дуже корисно встановити захист для браузерів, наприклад Windows Defender Application Guard. Це програмне забезпечення, що входить до складу Office 365, містить спеціальні процедури для захисту від безфайлових атак.
5. Впровадьте надійну автентифікацію
Основним винуватцем поширення безфайлового шкідливого програмного забезпечення є не PowerShell, а скоріше слабка система автентифікації.
Впровадження надійних політик автентифікації та обмеження привілейованого доступу за допомогою принципу найменших привілеїв (Principle Of Least Privilege, POLP) може значно знизити ризик безфайлового шкідливого програмного забезпечення.
Здолайте безфайлове шкідливе програмне забезпечення
Не залишаючи жодних слідів, безфайлове шкідливе програмне забезпечення використовує вбудовані «безпечні» інструменти вашого комп’ютера для здійснення атак.
Однак найкращий спосіб протистояти безфайловому або будь-якому іншому шкідливому програмному забезпеченню – це усвідомлення та розуміння різних методів, що використовуються для здійснення цих атак.
