Lugege kõike failivaba pahavara kohta ja kuidas ennast kaitsta

Lugege kõike failivaba pahavara kohta ja kuidas ennast kaitsta

Kübermaailm on täis turvaintsidente. Kuigi enamik küberrünnakuid vajab teie süsteemi tungimiseks teatud tüüpi sööta, elab hirmutav failivaba pahavara võrgust välja ja nakatab, keerates teie seadusliku tarkvara enda vastu.





Aga kuidas ründab failivaba pahavara, kui see ei kasuta ühtegi faili? Millised on kõige levinumad tehnikad, mida see kasutab? Ja kas saate kaitsta oma seadmeid failivaba pahavara eest?



Kuidas failivaba pahavara ründab?

Failivaba pahavara ründab teie installitud tarkvara olemasolevaid turvaauke.





Tavalised näited hõlmavad brauseri haavatavusi sihtivaid ärakasutamiskomplekte, et käskida brauseril pahatahtlikku koodi käitada, kasutades Microsofti Powershelli utiliiti või sihtides makrosid ja skripte.

Kuna nende rünnakute koodi ei salvestata faili ega installita ohvri masinasse, laadib see pahavara süsteemi käsul otse mällu ja käivitub koheselt.



Käivitatavate failide puudumine raskendab traditsiooniliste viirusetõrjelahenduste leidmist. Loomulikult muudab see failivaba pahavara veelgi ohtlikumaks.

Failivaba pahavara kasutatavad tavalised tehnikad

Failivaba pahavara ei vaja käivitamiseks koodi ega faile, kuid eeldab ründamiseks loodusliku keskkonna ja tööriistade muutmist.



Siin on mõned levinumad tehnikad, mida failivaba pahavara seadmete sihtimiseks kasutab.

Kasutuskomplektid

Ekspluatatsioonid on „ekspluateeritud” koodi või järjestuste tükid ja ekspluateerimiskomplekt on ekspluateeringute kogum. Exploits on parim viis failivaba rünnaku käivitamiseks, kuna neid saab otse mällu süstida, ilma et oleks vaja midagi kettale kirjutada.



Kasutuskomplekti rünnak käivitatakse samal viisil kui tavaline rünnak, kus ohvrit meelitatakse õngitsemismeilide või sotsiaalse inseneritaktika kaudu. Enamik komplekte sisaldab ohvri süsteemi mitmete olemasolevate turvaaukude ärakasutamist ja ründaja juhtimiskonsooli, et seda kontrollida.

Mälus olev pahavara

Failivabad rünnakud kasutavad laialdaselt pahavara tüüpi, mida tuntakse registri residentide pahavara nime all. See pahatahtlik kood on programmeeritud käivituma iga kord, kui avate operatsioonisüsteemi ja jääb peidetuks registri algfailidesse.

Kui failivaba pahavara on teie Windowsi registrisse installitud, võib see püsivalt sinna jääda, vältides tuvastamist.

Ainult mäluga seotud pahavara

Seda tüüpi pahavara asub ainult mälu sees.

Ründajad kasutavad pahatahtliku koodi sisestamiseks arvuti mällu enamasti laialdaselt kasutatavaid süsteemihaldus- ja turvavahendeid - sh PowerShell, Metasploit ja Mimikatz.

Varastatud volikirjad

Volikirjade varastamine failivaba rünnaku tegemiseks on väga levinud. Varastatud mandaati saab hõlpsasti kasutada seadme sihtimiseks tegeliku kasutaja teesklusel.

Kui ründajad on varastatud mandaadi kaudu seadme enda kätte saanud, saavad nad rünnaku tegemiseks kasutada kohalikke tööriistu, nagu Windowsi haldusinstrumendid (WMI) või PowerShell. Enamik küberkurjategijaid loob ka kasutajakontosid, et pääseda juurde mis tahes süsteemile.

Seotud: Kompromiteeritud volituste ja siseringiohtude oht töökohal

Failivaba rünnaku näited

Failivaba pahavara on olnud juba mõnda aega, kuid ilmus tavapärase rünnakuna alles 2017. aastal, kui ohutegijad lõid komplektid, mis integreerivad kõned PowerShelli.

Siin on mõned huvitavad näited failivabast pahavarast, millest mõned olete kahtlemata kuulnud.

Tume kättemaksja

See on failivaba pahavara rünnakute eelkäija. See avastati 1989. aasta septembris ja see nõudis esialgse kohaletoimetamispunktina faili, kuid hiljem toimis see mälu sees.

Selle rünnaku peamine eesmärk oli nakatada käivitatavaid faile iga kord, kui neid käivitati nakatunud arvutis. Isegi kopeeritud failid nakatuvad. Selle rünnaku looja on tuntud kui 'tume kättemaksja'.

Frodo

Frodo ei ole failivaba rünnak selle tegelikus tähenduses, kuid see oli esimene viirus, mis laaditi arvuti alglaadimissektorisse, muutes selle osaliselt failivabaks.

s21 vs iphone 12 pro max

See avastati 1989. aasta oktoobris kui kahjutu jant, mille eesmärk oli välgutada nakatunud arvutite ekraanil sõnum „Frodo Lives”. Kuid halvasti kirjutatud koodi tõttu muutus see tegelikult võõrustajate jaoks hävitavaks rünnakuks.

Operatsioon Cobalt Kitty

See kuulus rünnak avastati 2017. aasta mais ja see viidi läbi ühe Aasia ettevõtte süsteemis.

Selle rünnaku jaoks kasutatud PowerShelli skriptid olid seotud välise juhtimis- ja juhtimisserveriga, mis võimaldas tal käivitada rünnakute seeria, sealhulgas Cobalt Strike Beacon viiruse.

Misfox

Microsofti intsidentidele reageerimise meeskond tuvastas selle rünnaku aprillis 2016. See kasutab failivaba metoodikat käskude käivitamiseks PowerShelli kaudu ja püsivuse saavutamiseks registri sissetungimise kaudu.

Kuna Microsofti turvameeskond märkas seda rünnakut, on Windows Defenderisse lisatud komplekt selle pahavara eest kaitsmiseks.

WannaMine

See rünnak viiakse läbi krüptoraha kaevandamisega hostarvutis.

Rünnakut märgati esmakordselt 2017. aasta keskel, kui see jooksis mälus ilma failipõhise programmi jälgedeta.

Lilla rebane

Purple Fox loodi algselt 2018. aastal failivaba allalaadija troojana, mis nõudis seadmete nakatamiseks ekspluatatsioonikomplekti. See taastati uuesti konfigureeritud kujul koos täiendava ussimooduliga.

Seotud: Mis on Purple Foxi pahavara ja kuidas see levib Windowsi?

kuidas öelda, kust e -kiri tuli

Rünnaku algatajaks on andmepüügimeil, mis edastab usside kasuliku koormuse, mis otsib automaatselt ja nakatab Windowsi-põhiseid süsteeme.

Purple Fox saab kasutada ka toore jõu rünnakuid, skannides haavatavaid sadamaid. Kui sihtport on leitud, imbub see nakkuse levitamiseks.

Kuidas vältida failivaba pahavara

Oleme kindlaks teinud, kui ohtlik võib olla failivaba pahavara, eriti seetõttu, et mõned turvakomplektid ei suuda seda tuvastada. Järgmised viis näpunäidet aitavad leevendada igasuguseid failivaba rünnaku žanre.

E -post on failiväliste rünnakute suurim sisenemispunkt, kuna naiivseid e -posti kasutajaid saab meelitada pahatahtlikke meililinke avama.

Ärge klõpsake linkidel sa pole selles 100 protsenti kindel. Saate kontrollida, kuhu URL kõigepealt jõuab, või koguda kokku, kas saate seda usaldada oma suhetest saatjaga ja e -kirja sisu muidu.

Samuti ei tohiks avada tundmatutest allikatest saadetud manuseid, eriti neid, mis sisaldavad allalaaditavaid faile, näiteks PDF -faile ja Microsoft Wordi dokumente.

2. Ärge tapke JavaScripti

JavaScript võib olla suurepärane failivaba pahavara mõjutaja, kuid selle täielik keelamine ei aita.

Lisaks asjaolule, et enamik teie külastatud lehti on kas tühjad või puuduvad elemendid, on Windowsis ka sisseehitatud JavaScripti tõlk, millele saab helistada veebilehelt ilma JavaScripti kasutamata.

Suurim puudus on see, et see võib pakkuda teile vale turvatunnet failivaba pahavara vastu.

3. Keela Flash

Flash kasutab Windows PowerShelli tööriista käskude täitmiseks käsurealt, kui see töötab mälus.

Failivaba pahavara eest nõuetekohaseks kaitsmiseks on oluline Flash välja lülitada, kui see pole tõesti vajalik.

4. Kasutage brauseri kaitset

Kodu- ja töökoha brauserite kaitsmine on võti failiväliste rünnakute leviku vältimiseks.

Töökeskkondade jaoks looge kontoripoliitika, mis võimaldab kõigi lauaarvutite puhul kasutada ainult ühte brauseritüüpi.

Brauseri kaitse installimine nagu Windows Defenderi rakenduste kaitse on väga kasulik. See osa Office 365 -st oli see tarkvara kirjutatud spetsiaalsete protseduuridega, et kaitsta failivabade rünnakute eest.

5. Rakendage jõuline autentimine

Peamine süüdlane failivaba pahavara leviku taga ei ole PowerShell, vaid pigem nõrk autentimissüsteem.

Tugevate autentimispoliitikate rakendamine ja privilegeeritud juurdepääsu piiramine vähima privileegi põhimõtte (POLP) rakendamisega võib oluliselt vähendada failivaba pahavara ohtu.

Võida failivaba pahavara

Jätmata jälgi, kasutab failivaba pahavara teie arvuti sisseehitatud „turvalisi” tööriistu rünnakute läbiviimiseks.

Parim viis failivaba või pahavara võitmiseks on aga teadlikkuse suurendamine ja nende rünnakute läbiviimiseks kasutatavate erinevate tehnikate mõistmine.

Jaga Jaga Piiksuma E -post 5 levinumat küberkuritegevuse rünnaku vektorit ja kuidas neid vältida

Küberkurjategijad tuginevad samale rünnakuvektorite rühmale, et teid petta. Õppige, mis need vektorid on, ja vältige neid.

Loe edasi Seotud teemad
  • Turvalisus
  • Turvalisus Internetis
  • Windows Defender
  • Pahavara
Autori kohta Kinza Yasar(49 artiklit avaldatud)

Kinza on tehnoloogiaentusiast, tehnikakirjanik ja isehakanud geek, kes elab koos abikaasa ja kahe lapsega Põhja-Virginias. Omades bakalaureusekraadi arvutivõrkudes ja mitmeid IT -sertifikaate, töötas ta enne tehnilise kirjutamise alustamist telekommunikatsioonitööstuses. Küberjulgeoleku ja pilvepõhiste teemade nišiga aitab ta klientidel aidata täita nende erinevaid tehnilisi kirjutamisnõudeid kogu maailmas. Vabal ajal naudib ta ilukirjanduse lugemist, tehnoloogiablogisid, vaimukate lastejuttude meisterdamist ja perele kokkamist.

Veel kinza Yasarilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin