6 minute read
Co je „fileless“ malware a proč představuje hrozbu?
MICHALA BENEŠOVSKÁ
Fileless neboli bezsouborový malware není typický virus, který ke svému spuštění využívá soubory na pevném disku. Namísto toho existují škodlivé zátěže v paměti zařízení, aniž by se cokoli doručovalo na disk. Běžné antivirové nástroje proto proti těmto hrozbám neumějí zasáhnout, protože vlastně neexistují žádné škodlivé soubory, které by bylo možné detekovat. Chcete o této hrozbě dozvědět víc? Pak čtěte dál!
Útoky bezsouborového malwaru obvykle využívají zranitelnosti v zařízeních obětí. Mezi nejznámější příklady takových kampaní patří vysoce postavené cíle, jako jsou banky, finanční instituce a vládní organizace.
Bezsouborový malware se může zdát jako relativně nový fenomén, ale jeho kořeny sahají až do 80. let minulého století. Nicméně tyto hrozby nabraly na síle v posledních několika letech. V prvních šesti měsících roku 2021 dosáhly detekce bezsouborových útoků odvozených od enginů, jako je PowerShell, 80 % útoků v roce 2020.
Definice bezsouborového malwaru
Bezsouborový malware je jedinečný škodlivý software využívající legitimní programy k infikování zařízení. Nepřináší žádné soubory a v napadeném počítači nezanechává žádnou stopu. Proto jeho detekce a odstranění vyžadují sofistikovaná bezpečnostní řešení.
Tyto útoky jsou zrádné zejména tím, že operují v paměti, aniž by cokoli umisťovaly přímo do počítačů. Ke spuštění škodlivých zátěží využívají neškodné nástroje a knihovny napadeného počítače.
Odkládání nebo ignorování aktualizací zařízení a jednotlivých aplikací jsou jednou z hlavních příčin vedoucích k šíření bezsouborových hrozeb. Jak už bylo řečeno – tento typ malwaru nezanechává v zařízeních žádné stopy, takže antivirové nástroje nemají možnost problém odhalit.
Zde je přehled hlavních charakteristik bezsouborového malwaru:
- Neobsahuje žádný identifikovatelný podpis ani kód. Také nevykazuje chování, které se většina antivirových nástrojů snaží odhalit.
- Využívá neškodné aplikace a procesy, které jsou již v infikovaném systému přítomny.
- Jde o hrozbu založenou na paměti, která existuje v operační paměti počítače. Nespoléhá se na žádné soubory.
- Bezsouborové útoky je možné využít i u jiných infekcí, například u ransomwaru.
- Prevence bezsouborových malwarových útoků zahrnuje mnoho faktorů. Jednou z rozhodujících obranných strategií je udržování aktuálního softwaru.
Jak bezsouborový malware vstupuje do cílového systému a jak jej ovlivňuje?
- Cíl se setká s podvodem sociálního inženýrství. Může to být cokoli od typického phishingového e-mailu až po náhodné vyskakovací okno.
- Klikne na odkazy integrované v e-mailových zprávách nebo reklamách.
- Jakmile jsou uživatelé přesměrováni na webovou stránku, načte se Flash a zneužije známé zranitelnosti cílových zařízení.
- Flash spustí nástroj Windows PowerShell, který spouští příkazy při práci v paměti.
- Škodlivý software spustí v paměti payload tím, že zařízením předává instrukce prostřednictvím příkazového řádku.
- PowerShell stáhne a spustí škodlivé skripty z botnetu nebo jiného podvrženého zdroje.
Bezsouborový malware tedy skutečně využívá známé techniky distribuce, jako jsou škodlivé odkazy. Místo instalace nového souboru však využívá software, který se již nachází v cílových počítačích.
Kromě toho se bezsouborové hrozby nemohou dostat do zařízení bez zranitelnosti, kterou by mohly využít. Většina případů fileless malwaru využívá nástroje pro správu operačního systému, jako je například framework PowerShell.
Běžné způsoby distribuce bezsouborového malwaru
Bezsouborový malware se může do počítačů dostat některými velmi nenápadnými způsoby a technikami. Zde jsou některé z nich:
- Sady zneužití. Exploit představuje metodu, kterou pachatelé používají k získání přístupu do systémů. To může zahrnovat zranitelnost v programu, který již v cílovém systému existuje.
- Škodlivá makra. Bezsouborový malware může iniciovat útok prostřednictvím škodlivého makrokódu vloženého do archivů nebo souborů. To zahrnuje JavaScript nebo VBScript a zdánlivě neškodné dokumenty Office nebo PDF. Povolení makrokódů může vést ke zneužití prostředí PowerShell ke spuštění dalších skriptů a spuštění užitečných zátěží.
- Ukradená hesla. Dalším způsobem, jak se bezsouborový malware může dostat do zařízení obětí, jsou prolomená nebo slabá hesla. Pachatelé pak mohou přistupovat k systémům jako běžní uživatelé a zneužívat aplikace, které jsou na nich již přítomny. Mohou použít prostředí Windows PowerShell ke spouštění příkazů a vytvořit perzistenci skrytím kódu v registru nebo jádře.
Čeho chce bezsouborový malware docílit?
Cíle útoků s využitím bezsouborového malwaru se mohou lišit. Může samostatně krást data nebo se při poškozování zařízení spoléhat na jiné škodlivé prvky. Hlavním lákadlem této metody je však její schopnost pracovat skrytě a vyhnout se odhalení.
Bezsouborový malware může být vstupní technikou pro ovládnutí počítače a vydávání specifických příkazů. Je to výchozí bod pro sledování a zachytávání dat. Rovněž se dá použít pro krádež přihlašovacích údajů uživatelů. Získaný přístup pomáhá dále zvyšovat oprávnění útočníků v zařízení. Takové pravomoci mohou vést ke krádeži pověření.
Jak vás také možná napadlo, bezsouborový malware je možné zastavit restartováním infikovaného počítače, jelikož škodlivý kód existuje výhradně v paměti. Nicméně pachatelé však již používají další postupy, aby proti tomu bojovali. Mohou například podstrčit záznamy do systémového registru a nastavit skripty tak, aby se spouštěly i po restartu.
Bezsouborový malware může také shromažďovat vše, co útočníci považují za užitečné. Může jít například o podrobnosti o konfiguraci systému.
Počáteční útok může do napadeného zařízení injektovat další škodlivé prvky a malware, a to nejen ten bezsouborový – další viry mohou přicházet i ve formě souborů.
Velkou hrozbou se pak stává bezsouborový ransomware – tento scénář zahrnuje pachatele, kteří vloží škodlivý kód do dokumentu pomocí nativního skriptovacího jazyka, například maker. Je také možné jej zapsat přímo do paměti pomocí exploitů. Poté ransomware využije legitimní nástroje pro správu k zašifrování souborů. Během celého tohoto procesu se na disk nic nezapíše.
Jak se chránit?
Prevence a detekce útoků bezsouborového malwaru nejsou úplně jednoduché. Jejich odstranění navíc vyžaduje sofistikovaná bezpečnostní řešení. Koordinované kroky však mohou pomoci vyhnout se ohrožení. Přestože se může zdát, že jde o opakovaní základních postupů kybernetické bezpečnosti, neškodí si je zopakovat:
- Nikdy neodkládejte aktualizace operačního systému a jednotlivých aplikací.
- Používejte prostředí PowerShell verze 5 (nebo vyšší). Nabízí lepší zabezpečení a možnosti protokolování. Tato změna vám umožní lépe kontrolovat a spravovat prostředí se systémem Windows. Je také možné vytvářet seznamy spouštěčů podle příkazů ve škodlivých skriptech PowerShell.
- Restartujte počítač. Méně sofistikovaný bezsouborový malware zastaví své procesy poté, co uživatelé restartují svá zařízení. Funguje to pouze v případě, že infekce nevytvoří perzistenci.
- Odinstalujte staré aplikace nebo ty, které nepoužíváte. Bezsouborový malware může využívat různé neškodné aplikace. Čím méně jich máte, tím lépe můžete spravovat zabezpečení jednotlivých programů.
- Dávejte si pozor na makra. Makra povolujte pouze pro důvěryhodné dokumenty Microsoft Office. Zabráníte tak spuštění potenciálně nebezpečného kódu. Pokud makra povolit musíte, upravte nastavení tak, abyste povolili pouze digitálně podepsaná makra.
- Neklikejte na náhodné odkazy. Phishing a nezabezpečené webové stránky patří mezi strategie používané k šíření malwaru bez souborů. Neklikejte na nic, u čeho jste si neověřili, že je legitimní.
- Zvažte použití vícevrstvé ochrany. Jedním ze způsobů, jak zabránit bezsouborovým hrozbám, jsou 2FA a silná hesla. Kromě toho si můžete pořídit bezpečnostní produkty, které takové infekce odhalí a zabrání jim v paměti.
- Chraňte možné vstupní body. Mnoho běžných technik šíření malwaru může přinášet bezsouborové hrozby. Proto je nezbytné vědět, jak se vypořádat se spamem, detekovat falešné adresy URL a spravovat zranitelné komponenty třetích stran, jako jsou například pluginy. Zdroj: Atlas VPN
