Всичко, което трябва да знаете за безгрешен Ransomware

Пазарът на извличане на софтуер се развива. Пристигна нова порода злонамерени агенти. Тя е белязана от кражба и стана жертва в много телекомуникационни компании, държавни агенции и банкови институции и т.н. Тези атаки подтикнаха ИТ отделите в компаниите по целия свят да бъдат нащрек. На работниците са отправени подробни предупреждения да не отварят необезпечени прикачени файлове и да избягват да посещават заподозрени уебсайтове и приложения на трети страни. Технически известни като безфайлови или без зловреден софтуер извлечения, тези инструменти са основна заплаха. Те използват скриптовия език на Microsoft PowerShell за насочване към организации, използващи документи и / или приложения, работещи чрез макроси.

Всичко, което трябва да знаете за безгрешен Ransomware

Всичко, което трябва да знаете за безгрешен Ransomware

Какво е PowerShell?

Език за програмиране, ориентиран към автоматизация на задачите, PowerShell се използва в MS OS заедно с повече от 100 инструмента за команден ред.

Какво прави Fileless Ransomware за PowerShell?

Ransomware използва скриптове или макроси базирани на PowerShell за криптиране на файлове. Това е различно от традиционното извличане на софтуер, което извършва криптиране на файлове, базирани на данни.

Преглед на атаките без файлове

Един от най-големите хакове в историята беше извършен без файл. През 2016 г. някой открадна някои документи от Демократичния национален комитет (ДНК), които след това бяха освободени за влияние върху президентските избори същата година. Това беше направено чрез фишинг имейли с компрометирани връзки, доставени на работниците в DNC. След като щракнете върху него, атаката започна да работи чрез PowerShell и WMI.

Според Чарлз Гаф, защитният лидер с (ISC) ², онлайн защитен НПО, атаки без файлове обикновено са хоствани от фишинг връзки и уебсайтове за шофиране.

Поредната атака с използване на файлове без файлове удари над 140 банки и финансови организации от повече от 40 страни в началото на 2017 г. Нападателят влезе в системата, използвайки незапакован сървър.

След това зареди компрометиращ код в паметта с помощта на скриптове PowerShell и системния регистър на Windows.

Освен това нападателите получиха контрол върху системите, използвайки стандартни системни програми, които се състоят от командни линии, като NETSH и SC.

Този отдалечен достъп им позволи да настроят зловреден софтуер ATMitch с постоянна памет. Това беше направено на банкомати, на които след това беше заповядано да извадят парите си. Нападателите грабнаха тези пари и си тръгнаха. Тъй като нямаше файлове във всяка система, откриването на нарушението беше много трудно.

Двата основни начина безфайлови системи за инфилтрат на Ransomware

Използвайки фишинг атаки, генерирани чрез имейли, нападател може да скриптира макроси в системната памет. Това води до автоматично генерирани искания за откуп и криптиране на данни.

Вторият начин е чрез опасни уебсайтове, до които се осъществява достъп от работник. Това позволява нападателите да се насочват към RAM чрез скриптове. Това им позволява да получат достъп до информация и да изискват плащания с криптовалута. В противен случай техните данни ще бъдат кодирани и обезсмислени.

Видове атаки без файлове

Има четири основни вида безфайл софтуер, за който трябва да знаете:

  • Изключителни за памет атаки: Тези атаки получават достъп до паметта на Windows за разпространение на обхвата им. Те дойдоха на пазара още през 2001 г. Те обаче могат да бъдат разрешени чрез рестартиране на системата.
  • Техники за постоянство без файлове: Такива атаки не могат да бъдат премахнати с обикновен рестарт, дори ако твърдият диск не е заразен. Това става чрез използване на системния регистър на Windows за съхранение на инфекциозни скриптове, които възобновяват инфекцията дори след рестартиране.
  • Двойна употреба инструменти: Такива атаки се извършват чрез заразяване на системните приложения на Windows. Това се прави, за да се получи достъп до целевите системи или да се прехвърлят данни на нападателите.
  • Непартивни атаки на изпълними файлове (PE): Такива атаки използват както инструменти, така и скриптове, за да направят своето въздействие чрез PowerShell, CScript или WScript.

Защо Ransomware е толкова популярен?

Ransomware е лесен за използване. Обикновено компаниите не мислят два пъти, преди да платят откуп, вместо да рискуват загуба на данни или да получат лоша публичност. Поскъпването на криптовалутите също повиши жизнеспособността на ransomware. Анонимните методи на плащане позволяват на хакерите да имат трудно проследими средства за извличане на пари от жертвите си. В същото време прехвърлянията на криптовалути не могат да бъдат обърнати и по този начин те са ефективни и сигурни.

Какво прави Ransomware без файлове уникален?

Изкупител без файлове е уникален, тъй като е трудно да се открие. Това е така, защото родният скриптов език или оперативната памет се инжектира с инфекциозния код. Това позволява да се скрие в паметта и да стартира команди оттам.

Какво включва файловите атаки за безплатни файлове?

  1. Изкупител без файлове е ефективно непроследим дори с антивируси с търговска степен.
  2. Тези атаки оставят вашата система широко отворена за експлоатация на киберпрестъпници. Те могат да правят всякакви неща с вашата мрежа или устройство, след като го хакнат, включително кражба на данни / криптиране, без да бъдат открити.
  3. Те също отварят компрометираното устройство за множество атаки. Това е така, защото нападателят може да пише скриптове, докато извлича информация от компрометираното устройство.

Защита от безфайлов софтуер

Въпреки, че файловият откъм софтуер е ефективно неоткриваем от обичайния антивирусен софтуер, има няколко неща, които можете да направите, за да ги предотвратите. Първото нещо, което трябва да направите, е да гарантирате, че критичните ви данни няма да бъдат достъпни от никого. Второто нещо е да се уверите, че вашата уязвимост чрез човешка грешка не е изложена.

Това означава, че вашите служители трябва да знаят за социалното инженерство и как могат да предотвратят това. Разбира се, ще ви е необходима и актуализирана система, която има всички скорошни кръпки за сигурност. Има още няколко съвета и предложения, дадени по-долу, за да подобрите сигурността си от безфайлов софтуер за откупуване:

Още съвети

  • Уверете се, че вашите данни са архивирани: Да останеш защитена означава да се съобразяваш с атаките. Трябва да сте сигурни, че някой следи вашите данни и ще съхранява резервните копия на критичните файлове. Това ще ви позволи да обезоръжите подобни атаки чрез достъп до точка за възстановяване, която не е засегната от нарушението.
  • Бъдете бдителни: Изключете всички макроси В противен случай се въздържайте от отваряне на файлове, в които не сте сигурни. В случай че имате някакви съмнения, трябва да се свържете с вашия ИТ администратор.
  • Спрете злонамерените имейли, уеб страници и взаимодействие чрез браузъри и сървъри. Трябва да следвате предпазливостта, когато се занимавате с потенциално злонамерен имейл. Просто блокирайте всичко, което не изглежда истинско или има дори най-малкото усещане за сенчест.  

Само с малко внимание можете да останете защитени от всякакъв вид изнурителни програми – редовни или без файлове.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map