Можно ли обнаруживать безфайловые угрозы?

Можно ли обнаруживать безфайловые угрозы?


В отличие от обычных вредоносных программ, которые мы «привыкли» видеть, безфайловая угроза (Fileless malware) способна заразить систему и причинить ущерб, не оставляя следа. Их секрет, как следует из названия, заключается в том, что такая угроза не записывает на жесткий диск какой-либо тип файла. Такая угроза выполняет все свои действия «в воздухе», т.е. в памяти. В момент перезагрузки системы вирус исчезнет, но ущерб уже будет причинен. Можете ли вы бороться с врагом, который не оставляет следов? Конечно, ответ будет «да».
Что такое безфайловая угроза ?
Безфайловая угроза – это тип угрозы, который называется Advanced Volatile Threat (AVT), т.е. вредоносный код, который разработан таким образом, чтобы не записывать себя на жесткий диск, а работать полностью из оперативной памяти. В целом, вирусы и другие типы вредоносных программ требуют один или несколько файлов для взаимодействия с системой. Как правило, они мгновенно обнаруживаются используемыми системами защиты, а потом идентифицируются и помещаются на карантин (или удаляются). Но безфайловая угроза не требует наличия таких файлов на жестком диске, а потому традиционные системы защиты фактически не в состоянии обнаруживать их. Естественно, намного сложнее бороться с такими атаками, которые используют подобные техники, т.к. эти инфекции не только сложны в обнаружении, но они намного более скрытны, и их сложнее контролировать.

Они также являются «недолговечными» вредоносными процессами, т.к. они исчезают в момент перезагрузки системы. Существуют различные варианты безфайловых угроз. Например, мы можем найти варианты, подобные Phasebot – безфайловая угроза, которая продается на «черном рынке» как набор для создания специальных вирусов по краже данных. Или, допустим, гибридный вирус Anthrax. Его особенность работы заключается в том, чтобы перейти в «безфайловый» режим сразу после того, как открывается соответствующий исполняемый файл. После перезагрузки вирус использует память и заражает новые файлы. Poweliks заставляет систему генерировать ложные визиты и «открывает дверь» новым возможностям заражения через специальные серверы управления (C&C).

Симптомы и ущерб, причиненный этой безфайловой угрозой, очень разнообразны. В любом случае мы говорим о серьезной проблеме для систем экспертного анализа, а также решений защиты, основанных на белых списках, сигнатурном обнаружении, аппаратной верификации или распознаванием паттернов (шаблонов) вредоносного поведения… Короче говоря, все подобные методы обнаружения вредоносных программ становятся неэффективными.
Защитить себя от безфайловой угрозы вполне возможно
Безфайловая угроза – это понятие имеет очень длинную историю. Однако их развитие стало очень динамичным только в последние годы, и мы наблюдаем рекордные объемы таких вирусов с невероятным вредоносным потенциалом и ошеломляющей эффективностью. Как мы можем защищаться от угрозы, которая не оставляет и следа на жестком диске? Секрет лежит в поведении. Мониторинг системы на наличие вредоносного поведения – это, возможно, наиболее эффективный метод. Adaptive Defense 360 ​​способен классифицировать 100% активных процессов в корпоративной сети и обнаруживать любую компрометирующую активность в реальном времени, оповещая пользователей о каждом вредоносном поведении по мере его появления.

В 220 тестах эффективности, выполненных с Adaptive Defense 360, было обнаружено 99,4% попыток заражения. В одном из случаев было ложное срабатывание, но не было зафиксировано ни единого случая потери данных, даже в тестах с безфайловыми вирусами. По данным, опубликованным в последнем отчете безопасности антивирусной лаборатории PandaLabs, среди наших корпоративных клиентов 2,67% машин, защищенных традиционными решениями, столкнулись с неизвестными угрозами – этот показатель намного выше по сравнению с 1,27% машин, защищенных решением Adaptive Defense, который мгновенно блокировал атаки без какого-либо сопутствующего ущерба.

Проактивная стратегия, как всегда, является лучшей стратегией. Расхожее мнение, безусловно, применимо и здесь: всегда поддерживайте обновленный статус ваших систем, отслеживайте подозрительный трафик, ограничивайте использование макросов и пр. Другие менее известные контрмеры подразумевают ограничение на использование скриптовых языков и, по возможности, отключение Windows PowerShell – одного из основных маршрутов, используемых безфайловыми угрозами. В конце концов, только внимательность и адекватные меры безопасности в сочетании с правильным инструментарием позволят нам оставаться защищенными от тех вредоносных программ, которые мы не можем видеть.

Оригинал статьи: Is Fileless Malware an Undetectable Threat?


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
B2B безфайловая угроза panda adaptive defense 360
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.