IM24Podcast.pl » Fileless Attack Niewidoczne zagrożenie

Fileless Attack Niewidoczne zagrożenie

Korzystam z oprogramowania antywirusowego, więc jestem bezpieczny. Czy to prawda? Niestety nie. Cyberprzestępcy potrafią od lat dokonać poważnych szkód bez konieczności instalacji złośliwego oprogramowania na komputerze ofiary, a tym samym działać w sposób niewykrywalny dla tradycyjnych mechanizmów obrony. Dokonują tego m. in. za pomocą ataków fileless.

Ataki fileless przeprowadzane są w pamięci RAM, gdzie ukrywa się złośliwe oprogramowanie. Umożliwiają one cyberprzestępcy pozostanie niewidocznym przez wystarczająco długi czas, by zebrać potrzebne informacje lub zrealizować założony cel ataku na daną sieć lub użytkownika. Tego rodzaju malware może być ukryty w plikach rejestru, plikach binarnych lub w pamięci urządzeń peryferyjnych.

Dla tradycyjnego oprogramowania antywirusowego ataki bezplikowe pozostają często niewidoczne. Podejrzane pliki nie są na żadnym etapie instalowane na dysku komputera, więc przeprowadzane skany nie mogą wykryć zagrożenia. Walkę z tego rodzaju działaniami utrudnia ich tymczasowy charakter. Cyberprzestępcy pozostawiają po sobie bardzo mało śladów i materiałów, które mogłyby zostać zbadane i poddane analizom, co utrudnia opracowanie skutecznych metod obrony. Błyskawicznie rosnąca popularność ataków fileless nie może więc zaskakiwać – w samym tylko 2020 roku ich liczba w stosunku do poprzednich dwunastu miesięcy wzrosła o 888%, jak informował raport WatchGuard.

LOLBIN (Living-of-the-Land Binaries) to pliki binarne stanowiące część systemu operacyjnego, które cyberprzestępcy mogą wykorzystać do wykonania kodu, pobrania lub wgrania danych do sieci. W wielu przypadkach stanowią doskonały kamuflaż dla malware. Są też obrazowym przykładem możliwości, które mają hakerzy przygotowujący atak bezplikowy.

Niewykrywalne zagrożenie

Fileless attack może mieć szereg zastosowań. Często stanowi punkt startowy na liście zadań cyberprzestępcy, który w ten sposób zbiera potrzebne informacje lub toruje sobie ścieżkę do dalszych działań.

Do najczęściej notowanych przykładów zastosowań ataku bezplikowego możemy zaliczyć:

  • zdobycie dostępu do systemu w celu pozyskania danych dostępowych użytkownika,
  • stworzenie backdooru dla późniejszych działań,
  • kradzież wartościowych informacji dotyczących konfiguracji sieci lub wrażliwych danych użytkowników,
  • pełnienie roli droppera – złośliwego oprogramowania wykorzystywanego w celu pobrania i instalacji innego malware.

W ramach ataków bezplikowych hakerzy są w stanie wykorzystywać elementy będące integralną częścią systemu operacyjnego, jak Windows Management Instrumentation (WMI) czy PowerShell, by z ich pomocą zrealizować założony cel. Potrafią jednocześnie sprytnie omijać zabezpieczenia, np. poprzez makra w dokumentach tekstowych i arkuszach kalkulacyjnych, które są w stanie zainicjować proces prowadzący do zaszyfrowania danych użytkownika za pomocą ransomware.

Poznaj najczęstsze metody hakerów i dowiedz się, jak możesz się przed nimi bronić. Zobacz na przykładzie pracownika fikcyjnej firmy Adama, jak napastnicy próbują wprowadzać w błąd i z jakich narzędzi korzystają, by wykraść dane lub wykorzystać cię do ataku na organizację. Obejrzyj cykl edukacyjny Wideo Porady!

Jak się bronić przed filess attack?

Ataki bezplikowe stanowią duże wyzwanie dla organizacji, które muszą zachowywać czujność w dużo większym zakresie i analizować wewnętrzne zasoby pod kątem bezpieczeństwa w szerszym spektrum. Szybkie namierzanie zainfekowanych plików dzisiaj nie wystarczy, by wykryć działania hakerów – kluczowe jest obserwowanie podejrzanych zachowań i dokładne monitorowanie wskaźników ataku. Warto również pamiętać o regularnych i przeprowadzanych na czas aktualizacjach oprogramowania. W atakach często wykorzystywane są starsze wersje aplikacji, w których cyberprzestępcy wykryli luki.

Chcesz sprawdzić, czy Twoja firma jest bezpieczna? Zamów bezpłatny raport Cerber Pro i poznaj odpowiedzi na najważniejsze kwestie!

Cisco distributor

Sponsorem cyklu audycji
o cyberbezpieczeństwie jest firma Cisco

Dołącz do dyskusji