Nie infekuje dysku twardego, lecz osiedla się bezpośrednio w pamięci operacyjnej. Nic dziwnego, że korzysta z niego coraz więcej cyberprzestępców.
Typowe programy antywirusowe, które znajdują się na komputerach wielu z nas, szukają złośliwego oprogramowania, skanując dyski twarde, a następnie proponują ich usunięcie. Na nic jednak taka strategia, jeśli nie ma pliku, który można by znaleźć. A właśnie taki malware jest coraz częściej wykorzystywany przez cyberprzestępców. Tylko w ostatnich miesiącach ofiarą padło co najmniej kilkanaście banków na całym świecie.
„Fileless malware”, czyli bezplikowe złośliwe oprogramowanie, jest niewidoczne dla typowych skanerów antywirusowych, bo ukrywa się nie wśród plików na dysku twardym, lecz na przykład w pamięci RAM. Specjalistom od cyberbezpieczeństwa znane jest od kilku lat, ale mimo to wciąż z nim przegrywają. Co gorsza, staje się ostatnio coraz popularniejsze wśród cyberprzestępców atakujących cele o wysokim priorytecie, takie jak banki, organizacje rządowe czy firmy telekomunikacyjne.
Jeden z takich ataków opisało niedawno laboratorium Kaspersky. Bezplikowe złośliwe oprogramowanie wdarło się do pamięci jednego z kontrolerów domeny (czyli serwera zarządzającego komunikacją użytkownik-domena) w banku. Przechwyciło dane administratora, co pozwoliło wedrzeć się głębiej do systemu, a ostatecznie wypłacić pieniądze z bankomatu.
Najważniejszą bronią „fileless malware” jest to, że potrafi zadomowić się w częściach architektury komputerowej, do których zwykli użytkownicy nie zaglądają i mają utrudniony dostęp. Cała „złośliwość” takiego oprogramowania jest lokalizowana bezpośrednio w pamięci komputera, konieczne do szerzenia infekcji pliki zaś w kontenerach, takich jak rejestr systemowy. I choć w rzeczywistości możliwa jest eliminacja takiego zagrożenia, przyzwyczajone do konwencjonalnych rozwiązań przedsiębiorstwa i organizacje rzadko koncentrują się właśnie na tych elementach, pozwalając w efekcie złośliwemu oprogramowaniu działać.
Cyberprzestępcy często wykorzystują narzędzia administracyjne systemu operacyjnego, takie jak PowerShell, by potajemnie wstrzykiwać złośliwe oprogramowanie do pamięci RAM – tą drogą przedostaje się aż 70 proc. zakażeń wykrytych przez Kaspersky. Zarówno ta firma, jak i inne, a także specjaliści od cyberbezpieczeństwa jasno dają do zrozumienia: ten sektor wymaga aktualizowania oprogramowania, ale też swojej wiedzy. Korzystanie z przestarzałych narzędzi to zaproszenie dla intruzów.
Źródło: Wired, Kaspersky, Dr.Web, inf. własna
Komentarze
9windowsowy firewall wyskakuje po każdej aktualizacji kodi, a jakiś kompletnie randomowy proces by miał puścić? bez dużo grubszej akcji to nie przejdzie, z resztą ten proces też musi z czegoś powstać, to nie tak, że nie da się zabezpieczyć: wystarczy odłączyć użytkownika od systemu i jego bezpieczeństwo wzrośnie drastycznie