Malware-aanvallen, bescherming en detectie zonder bestanden

Bestandsloze malware(Fileless Malware) is voor de meesten misschien een nieuwe term, maar de beveiligingsindustrie kent het al jaren. Vorig jaar werden meer dan 140 bedrijven wereldwijd getroffen door deze Fileless Malware, waaronder banken, telecom en overheidsorganisaties. Bestandsloze malware(Fileless Malware) , zoals de naam al aangeeft, is een soort malware die de schijf niet aanraakt en daarbij geen bestanden gebruikt. Het wordt geladen in de context van een legitiem proces. Sommige beveiligingsbedrijven beweren echter dat de bestandsloze aanval een klein binair bestand achterlaat in de compromitterende host om de malware-aanval te starten. Dergelijke aanvallen zijn de afgelopen jaren aanzienlijk toegenomen en zijn riskanter dan de traditionele malware-aanvallen.

bestandsloze malware

Malware-aanvallen zonder bestanden

Bestandsloze malware(Fileless Malware) - aanvallen, ook wel niet-malware-aanvallen(Non-Malware attacks) genoemd . Ze gebruiken een typische reeks technieken om in uw systemen te komen zonder een detecteerbaar malwarebestand te gebruiken. De aanvallers zijn de afgelopen jaren slimmer geworden en hebben veel verschillende manieren ontwikkeld om de aanval uit te voeren.

Bestandsloze(Fileless) malware infecteert de computers en laat geen bestand achter op de lokale harde schijf, waarbij de traditionele beveiligings- en forensische tools worden omzeild.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

De bestandsloze malware bevindt zich in het Random Access Memory van uw computersysteem en geen enkel antivirusprogramma inspecteert het geheugen rechtstreeks - dus het is de veiligste modus voor de aanvallers om uw pc binnen te dringen en al uw gegevens te stelen. Zelfs de beste antivirusprogramma's missen soms de malware die in het geheugen draait.

Enkele van de recente Fileless Malware- infecties die computersystemen wereldwijd hebben geïnfecteerd zijn: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 enz.

Hoe werkt bestandsloze malware?

De bestandsloze malware kan, wanneer deze in het geheugen(Memory) terechtkomt, uw native en systeembeheer -ingebouwde Windows -tools zoals PowerShell , SC.exe en netsh.exe inzetten(netsh.exe) om de kwaadaardige code uit te voeren en de beheerderstoegang tot uw systeem te krijgen, zodat de commando's uit en stelen uw gegevens. Bestandsloze malware(Fileless Malware) kan zich soms ook verbergen in rootkits of het register(Registry) van het Windows-besturingssysteem.

Eenmaal binnen gebruiken de aanvallers de Windows Thumbnail- cache om het malwaremechanisme te verbergen. De malware heeft echter nog steeds een statisch binair bestand nodig om de host-pc binnen te komen, en e-mail is hiervoor het meest gebruikte medium. Wanneer de gebruiker op de schadelijke bijlage klikt, schrijft deze een versleuteld payload-bestand in het Windows-register(Windows Registry) .

(Fileless Malware)Het is ook bekend dat bestandsloze malware tools zoals Mimikatz en Metaspoilt gebruikt om de code in het geheugen van uw pc te injecteren en de daar opgeslagen gegevens te lezen. Deze tools helpen de aanvallers om dieper in uw pc binnen te dringen en al uw gegevens te stelen.

Gedragsanalyse en bestandsloze(Fileless) malware

Aangezien de meeste reguliere antivirusprogramma's handtekeningen gebruiken om een ​​malwarebestand te identificeren, is de bestandsloze malware moeilijk te detecteren. Beveiligingsbedrijven gebruiken dus gedragsanalyses om malware te detecteren. Deze nieuwe beveiligingsoplossing is ontworpen om de eerdere aanvallen en het gedrag van gebruikers en computers aan te pakken. Elk abnormaal gedrag dat wijst op schadelijke inhoud wordt vervolgens gemeld met waarschuwingen.

Wanneer geen enkele eindpuntoplossing de bestandsloze malware kan detecteren, detecteert gedragsanalyse elk afwijkend gedrag, zoals verdachte inlogactiviteit, ongebruikelijke werkuren of het gebruik van een atypische bron. Deze beveiligingsoplossing legt de gebeurtenisgegevens vast tijdens de sessies waarbij gebruikers een applicatie gebruiken, door een website bladeren, games spelen, interactie hebben op sociale media, enz.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Hoe te beschermen tegen en te detecteren Fileless Malware

Volg de basisvoorzorgsmaatregelen om uw Windows-computer te beveiligen(precautions to secure your Windows computer) :

  • Pas(Apply) de nieuwste Windows-updates toe,(Windows Updates –) vooral de beveiligingsupdates voor uw besturingssysteem.
  • Zorg(Make) ervoor dat al uw geïnstalleerde software is gepatcht en geüpdatet naar de nieuwste versies
  • Gebruik een goed beveiligingsproduct dat efficiënt het geheugen van uw computer kan scannen en ook schadelijke webpagina's kan blokkeren die mogelijk exploits bevatten . Het zou gedragsbewaking(Behavior) , geheugenscanning(Memory) en bescherming van de opstartsector(Boot Sector) moeten bieden.
  • Wees voorzichtig voordat u e-mailbijlagen downloadt(downloading any email attachments) . Dit is om te voorkomen dat de payload wordt gedownload.
  • Gebruik een sterke firewall waarmee u het netwerkverkeer(Network) effectief kunt controleren .

Lees volgende(Read next) : Wat zijn Living Off The Land-aanvallen(Living Off The Land attacks) ?



Elin Kuijpers, Kuypers

About the author

Ik ben een computerexpert en ben gespecialiseerd in iOS-apparaten. Ik help mensen sinds 2009 en mijn ervaring met Apple-producten maakt mij de perfecte persoon om te helpen met hun technologische behoeften. Mijn vaardigheden omvatten: - iPhones en iPods repareren en upgraden - Apple-software installeren en gebruiken - Mensen helpen de beste apps voor hun iPhones en iPods te vinden - Werken aan online projecten


Related posts