Il malware è disponibile in varie forme e intensità diverse e qui discuteremo di uno dei malware più pericolosi in circolazione, il Fileless Malware.
Il nome stesso suscita molta curiosità, su come questo malware può essere diffuso quando non sono coinvolti file. Più specificamente, potresti pensare come può un malware Fileless conquistare il mio PC quando, ad esempio, non hai nemmeno scaricato un file.
Leggi anche: Malware: Una guerra che non abbiamo mai chiesto
Che ne dici di entrare un po' nel cervello di un aggressore? Un utente malintenzionato potrebbe utilizzare fileless malware –
- Poiché, in circostanze normali, non verrebbe rilevato da un antivirus. Perché? Ne discuteremo un po' più avanti nel post.
- Non esiste alcun file o firma digitaleda rilevare.
- Un utente malintenzionato utilizzerebbe principalmente strumenti legittimi che sono proprio lì in Windows. In un certo senso, l'aggressore rivolterebbe Windows contro se stesso.
Ora andiamo più a fondo, ok?
Cos'è Fileless Malware?
Fileless Malware, come suggerisce il nome, è un programma dannoso che non si basa sui file per diffondere il malware. Ciò significa che non è necessario infettare un file con il virus per provocarne la distruzione. Allora come sfrutta un computer? Sfrutta le applicazioni comunemente utilizzate e gli strumenti integrati per sferrare attacchi. Utilizza programmi legittimi per infettare un PC. In un certo senso, mette il tuo PC Windows contro se stesso. Ciò che distingue un malware senza file da un attacco tradizionale è che l'autore dell'attacco non installa un codice sul PC infetto e pertanto un malware senza file è difficile da rilevare.
Come funziona un malware senza file?
Un malware fileless cade in attacchi LOC o con caratteristiche poco osservabili. Questi attacchi sono attacchi furtivi che eludono il rilevamento da parte della maggior parte delle soluzioni di sicurezza. Un malware senza file opera nella memoria ad accesso casuale del tuo computer e non tocca mai il disco rigido del tuo computer. Un utente malintenzionato utilizza invece il software vulnerabile già presente su un computer per prendere il controllo ed eseguire l'attacco.
Una volta che l'utente malintenzionato ha accesso al computer, può sfruttare Strumentazione gestione Windows (WMI) o Windows PowerShell per svolgere attività dannose.
Ad un certo punto, ti starai chiedendo, come diavolo è possibile che questo superi la mia soluzione di sicurezza? Poiché molte tecnologie di sicurezza si affidano a queste utilità, i malici Le nostre attività possono rimanere inosservate. Inoltre, poiché un malware senza file non lascia nulla di scritto direttamente sul disco rigido, non ci sono file archiviati che il software di sicurezza possa scansionare. Inoltre, un malware senza file non lascia impronte o firme che il tuo antivirus normalmente identificherebbe.
Quali sono le diverse fasi del malware senza file?
Fase I :
L'aggressore sfrutta una vulnerabilità e utilizza script web per ottenere l'accesso remoto.
Fase II:
Una volta ottenuto l'accesso, l'aggressore tenta ulteriormente di ottenere le credenziali dell'ambiente compromesso per passare ad altri sistemi in quell'ambiente.
Fase III:
L'aggressore ora modifica il registro per creare una backdoor.
Fase IV:
L'aggressore raccoglie i dati richiesti e li copia in un unico luogo. L'aggressore utilizza quindi strumenti prontamente disponibili e comprime i dati utilizzando gli strumenti di sistema prontamente disponibili. Infine, l'aggressore rimuove i dati dall'ambiente caricandoli tramite FTP.
Quali sono i vari tipi diversi di attacchi malware senza file?
Diamo un'occhiata ad alcuni tipi di malware senza file –
– Memory Code Injection –Come suggerisce il nome, utilizzando questa tecnica, un utente malintenzionato nasconde il codice dannoso nella memoria di un'applicazione legittima. Il malware si inietta e si distribuisce mentre sono in esecuzione i processi cruciali per l'attività di Windows. Parlando di applicazioni legittime, poiché utilizza programmi Windows come MWI e PowerShell, i comandi che vengono eseguiti sono considerati sicuri e come tali non attivano alcun campanello d'allarme.
– Manipolazione del registro di Windows –In passato , Powelike e Kovter hanno trasformato il sistema di una vittima in un bot di clic e si sono collegati ad annunci e siti Web cliccabili. In questo tipo di attacco, quando una vittima fa clic su un collegamento o un file dannoso, il malware utilizza un normale processo Windows per scrivere e persino eseguire un codice senza file direttamente nel registro.
– Tecniche basate su script-Non sto dicendo che questa tecnica sia completamente priva di vita, ma, una cosa è certa, non è facile da individuare. Spieghiamolo con l'aiuto di due attacchi popolari: SamSam Ransomware e Operation Cobalt Kitty. Mentre il primo era semi-fileless. In questo attacco, non è stato possibile analizzare il carico utile ut lo script iniziale così come è stato decrittografato in fase di esecuzione. Inoltre, richiede anche una password da parte del creatore. Parlando dell'operazione Cobalt Kitty, si è trattato di un attacco senza file che ha preso di mira una società asiatica per quasi 6 mesi utilizzando il dannoso PowerShell. Più specificamente, è stata utilizzata un'e-mail di spear-phishingper infiltrarsi in oltre 40 server e PC.
Come puoi difendere il tuo sistema dai file malware?
A Il malware senza file è in grado di sconfiggere una soluzione antivirus ((debole) ma ciò non significa che non dovresti averne una sul tuo computer. La maggior parte delle soluzioni antivirus, inclusa Windows Security di Microsoft, sono in grado di contrastare attività irregolari da PowerShell (se presente). Di seguito elencheremo alcuni passaggi consapevoli che dovresti eseguire in modo da poter evitare il più possibile il malware Fileless.
- Prima di tutto, non fare mai clic su file sospetti collegamenti su qualsiasi sito Web. Non dovresti visitare siti Web di cui non ti fidi.
- Aggiorna le varie applicazioni sul tuo computer, in particolare quelle che provengono da Microsoft.
- Ti consigliamo di avere due protezioni antivirus. Puoi utilizzare Microsoft Defender e come livello principale o secondo di protezione antivirus sul tuo sistema operativo Windows, puoi optare per T9 Antivirus.
Ecco alcune delle caratteristiche più importanti di questa applicazione antivirus:
- Protezione in tempo reale contro una varietà di minacce dannose.
- Protezione contro PUP, minacce zero-day, Trojan e altro.
- Rimozione delle vulnerabilità emergenti.
- Scansioni multiple per rimuovere le minacce.
- Pianifica le scansioni all'orario desiderato.
- Protezione dagli exploit contro file sconosciuti.
- Puoi eliminare gli elementi di avvio indesiderati.
- L'utilità antivirus è leggera.
Come funziona l'antivirus T9?
1. Scarica e installa T9 Antivirus
2. Lascia che l'antivirus installi gli aggiornamenti.
3. Fai clic sul pulsante arancioneSCANSIONA ORA.
4. T9 Antivirus ora cercherà eventuali minacce imminenti.
ConclusioniIl malware può apparire in varie forme e intensità e, come possiamo vedere da Fileless Malware, gli autori delle minacce sono in costante aumento la posta in modo da sconfiggere le difese. Quindi è importante che non lo facciamo mai Tieni sempre la guardia bassa, non importa chi sei, una società commerciale a tutti gli effetti o un individuo. Se ti è piaciuto ciò che hai letto, metti un pollice in su e condividilo con i tuoi amici e con tutte le persone a te care.
Domande frequentiQ.1. Qual è un esempio di malware senza file?
Alcuni degli esempi degni di nota di malware senza file includono Code Red Worm (2001), SQL Slammer (2003), Operation Cobalt Kitty, Stuxnet (2010), UIWIX (2017) e Ramnit Banking Trojan.
D.2. Cosa sono i Fileless Virus?
Un Fileless Virus o Fileless Malware non utilizza i tradizionali file eseguibili per sferrare l'attacco, ma rivolta il tuo computer Windows contro se stesso sfruttando il sistema operativo e legittimando Applicazioni Windows.
Q.3. I worm sono Fileless Malware?
Il primo malware classificato come Fileless Malware è stato Code Red Worm, che dilagava nel 2001. Attaccava i computer che eseguivano Internet Information Services (IIS) di Microsoft. Un altro malware popolare che riguardava solo la memoria è stato Duqu 2.0.
D.4. Windows Defender rileva malware fileless?
Microsoft ha inoltre aggiornato Windows Defender in modo da poter rilevare attività irregolari da un programma legittimo come Windows PowerShell. Microsoft Defender viene fornito con l'interfaccia di scansione antimalware (AMSI, scansione della memoria, monitoraggio del comportamento e protezione del settore di avvio. Con l'aiuto di questi, puoi aspettarti di contrastare un malware senza file.
leggi: 0
