Fileless Malware Virüsüne Karşı Neden Dikkatli Olmalı?

0

BEĞENDİM

ABONE OL

News

0

Örgütlerin uyarlaması gibi suçlular da var. Örneğin, herhangi bir Wells Fargo reklamı görmüş olan herkes, ücret kontrollerinin, nakit ve değerli eşyaların taşınması için normatif bir yöntem olduğu bir zaman olduğunu bilir. Ama doğru akıllarındaki modern suçlular, Brink’in kamyonunu at sırtında soymaya çalıştılar? Bu strateji Pony Express’in günlerinde işe yaramış olsa da, şu anda girişimde bulunma, verimsiz ve verimsiz olacaktır.

Bu, bir noktaya gelmek için kasıtlı olarak aşırı bir örnektir: Suçlular, organizasyonların adapte ettiği şekilde aynı hıza ayak uydurmaya adapte olurlar. Teknoloji kullanımında gerçek bir rönesansla, suçlular örgütlerin iş yapma yöntemlerini geliştirmeleri gibi, saldırı yöntemlerini de geliştiriyorlar.

Saldırganın geleceğindeki en son gelişmelerden biri, “dosyasız kötü amaçlı yazılım” olarak adlandırılıyor. Birkaç yıl önce ortaya çıkan ancak 2016 sonlarında ve 2017 yılı boyunca önemli bir önem kazanan bu trend, özel olarak tasarlanmış ve gerek duyulmadan tasarlanan veya aslında hiç etkileşimde bulunmayan kötü amaçlı yazılımları, yani ana bilgisayarın dosya sistemini ifade eder. üzerinde çalışır.

Teknoloji profesyonellerinin buna dikkat etmesi önemlidir, çünkü onları farklı şekillerde etkiler.

İlk olarak, saldırgan aktivitesini analiz ederken neleri izlemeleri gerektiğini değiştirir. Yazılımsız kötü amaçlı yazılımlar, geleneksel kötü amaçlı yazılımlardan farklı özelliklere sahip olduğundan, farklı göstergeler aramayı gerektirir.

İkincisi, uygulayıcıların zararlı bir duruma nasıl tepki verdiklerini ve uyguladıklarını etkilemektedir. Saldırganların bu yöntemi kullanmasının nedenlerinden biri, saldırıları hafifletmek için tipik olarak kullanılan tekniklerin çoğunu atlatmasıdır.

Bununla birlikte, uygulayıcıların örgütlerini korumak için yapabilecekleri ve yapmaları gereken bazı şeyler vardır.

Bu ne?

Ayrıca bazen “kötü amaçlı yazılım içermeyen” olarak da adlandırılan yazılımsız yazılım, PowerShell, makrolar (örn. Word’de), Windows Yönetim Araçları (örneğin, telemetri toplama ve operasyon yönetimi için tasarlanan Windows aygıtları) veya diğer sistem araçlarını kullanır. Gerçekleştirmek için geliştirilen tüm görevleri yaymak, yürütmek ve gerçekleştirmek için sistem üzerinde betikleme işlevselliği.

Bu araçlar modern bir işletim sisteminde çok güçlü ve esnek olduklarından, bunları kullanan kötü amaçlı yazılımlar, geleneksel kötü amaçlı yazılımların yapabileceği çoğu şeyi yapabilir – kullanıcı davranışları hakkında bilgi toplamadan veri toplama ve sızma işlemlerine, kripto-para birimi madenciliğine ya da hemen hemen her şeye Bir saldırgan bir sızma kampanyası iletmek isteyebilir.

Tasarım gereği, bu tekniği kullanan bir saldırgan, dosya sistemine bilgi yazmayı reddeder. Niye ya? Zararlı kodları tespit etmek için birincil savunma stratejisi dosya taramasıdır.

Tipik bir kötü amaçlı yazılım tespit aracının nasıl çalıştığını düşünün: Bilinen bir listeye karşı kötü amaçlı yazılım imzalarını aramada ana bilgisayardaki tüm dosyaları veya önemli dosyaların bir alt kümesini inceleyecektir. Dosya sisteminden uzak tutarak, dosyasız kötü amaçlı yazılım tespit etmek için hiçbir şey bırakmaz. Bu, bir saldırganın tespit edilmeden önce bir ortamda daha uzun bir “bekleme süresi” verir. Bu etkili bir strateji.

Şimdi, filizsiz malware hiçbir şekilde tamamen yeni değil. Dostlar, dosya sistemi ile sadece en azından etkileşimde bulunurken, çok fazla bozulmaya neden olan belirli kötü amaçlı yazılımları (örneğin, 1999 yılında Melissa virüsü) hatırlayabilirler.

Farklı olan şu ki, saldırganlar özel olarak ve kasten bu teknikleri bir kaçış stratejisi olarak kullanmaktadır. Beklenebileceği gibi, etkinliği göz önüne alındığında, kötücül yazılımların kullanılması artmaktadır.

Ponemon’un 2017 “Endpoint Güvenlik Riski Durumu” raporuna göre, dosyasız saldırıların dosya tabanlı saldırılardan büyük bir olasılıkla (tam anlamıyla 10 kat daha fazla) daha başarılı olma olasılığı daha yüksektir. Dosyasız saldırıların dosya tabanlı saldırılara oranı 2017 yılında arttı ve bu yıl büyümeye devam etmesi bekleniyor.

Önleme Stratejileri

Kuruluşların bu eğilimin bir sonucu olarak dikkate almaları gereken birkaç doğrudan etki vardır.

İlk olarak, kötü amaçlı yazılımları tespit etmek için kullanılan yöntemler üzerinde etkisi vardır. Ayrıca, genişletme yoluyla, kuruluşların bir araştırma bağlamında kanıtları nasıl toplayabilecekleri ve koruyabilecekleri üzerinde bir etki vardır. Özellikle, toplanacak ve korunacak bir dosya olmadığı için, dosya sisteminin içeriğini yakalama ve mahkeme ya da kolluk kuvveti amaçları için “dijital kehribar” da korunma gibi olağan tekniği karmaşıklaştırır.

Bu karmaşıklıklara rağmen, örgütler kendilerini çok sayıda sivilce saldırısından izole etmek için adımlar atabilirler.

Birincisi sertleştirilmiş bir uç noktaya yama yapmak ve korumaktır. Evet, bu sıklıkla önerilmektedir, ancak yalnızca kötü amaçlı kötü amaçlı yazılım saldırılarıyla mücadele etmek için değil, aynı zamanda başka nedenlerden dolayı da değerlidir – benim amacım, önemli.

Genel olarak sunulan başka bir tavsiye, halihazırda mevcut olan kötü amaçlı yazılım tespit ve önleme yazılımlarından en iyi şekilde yararlanmaktır. Örneğin, birçok son nokta koruma ürünü isteğe bağlı olarak etkinleştirilebilen davranışa dayalı bir algılama özelliğine sahiptir. Bunu yapmadıysanız, bunu açmak yararlı bir başlangıç ​​noktasıdır.

Daha stratejik olarak düşünmek, hazneye yerleştirmek için yararlı olan diğer yararlı bir unsur da, bu kötü amaçlı yazılımın kullandığı mekanizmaların kilitlenmesi ve işleyişinin görünürlüğünün artırılması için sistematik bir yaklaşım benimsemektir. Örneğin, PowerShell 5, güvenlik ekibinin nasıl kullanıldığına daha fazla görünürlük kazandırabilen, genişletilmiş ve geliştirilmiş günlük tutma özellikleri içerir.

Aslında, “komut dosyası blok günlüğü”, hangi kodun çalıştırıldığını (yani, çalıştırılan komutlar) kaydını tutar, bu da hem dedektif kabiliyetini desteklemek hem de sonraki analiz ve araştırmalarda kullanılmak üzere bir kayıt tutmak için kullanılabilir.

Tabii ki, bir saldırganın PowerShell’in ötesine geçebileceği başka yollar da var – ama zamanın ötesine geçerek – neyin peşinde olduğunuzu bilmek ve buna göre plan yapmak için zamana yatırım yapmak – iyi bir başlangıç ​​noktasıdır.