Главная » Блоги Экспертов И ИТ-Компаний » Можно ли обнаруживать безфайловые угрозы?

Можно ли обнаруживать безфайловые угрозы?

В отличие от обычных вредоносных программ, которые мы «привыкли» видеть, безфайловая угроза (Fileless malware) способна заразить систему и причинить ущерб, не оставляя следа. Их секрет, как следует из названия, заключается в том, что такая угроза не записывает на жесткий диск какой-либо тип файла. Такая угроза выполняет все свои действия «в воздухе», т.е. в памяти. В момент перезагрузки системы вирус исчезнет, но ущерб уже будет причинен. Можете ли вы бороться с врагом, который не оставляет следов? Конечно, ответ будет «да».

Что такое безфайловая угроза?

Безфайловая угроза – это тип угрозы, который называется Advanced Volatile Threat (AVT), т.е. вредоносный код, который разработан таким образом, чтобы не записывать себя на жесткий диск, а работать полностью из оперативной памяти. В целом, вирусы и другие типы вредоносных программ требуют один или несколько файлов для взаимодействия с системой. Как правило, они мгновенно обнаруживаются используемыми системами защиты, а потом идентифицируются и помещаются на карантин (или удаляются). Но безфайловая угроза не требует наличия таких файлов на жестком диске, а потому традиционные системы защиты фактически не в состоянии обнаруживать их. Естественно, намного сложнее бороться с такими атаками, которые используют подобные техники, т.к. эти инфекции не только сложны в обнаружении, но они намного более скрытны, и их сложнее контролировать.

Они также являются «недолговечными» вредоносными процессами, т.к. они исчезают в момент перезагрузки системы. Существуют различные варианты безфайловых угроз. Например, мы можем найти варианты, подобные Phasebot – безфайловая угроза, которая продается на «черном рынке» как набор для создания специальных вирусов по краже данных. Или, допустим, гибридный вирус Anthrax. Его особенность работы заключается в том, чтобы перейти в «безфайловый» режим сразу после того, как открывается соответствующий исполняемый файл. После перезагрузки вирус использует память и заражает новые файлы. Poweliks заставляет систему генерировать ложные визиты и «открывает дверь» новым возможностям заражения через специальные серверы управления (C&C).

Симптомы и ущерб, причиненный этой безфайловой угрозой, очень разнообразны. В любом случае мы говорим о серьезной проблеме для систем экспертного анализа, а также решений защиты, основанных на белых списках, сигнатурном обнаружении, аппаратной верификации или распознаванием паттернов (шаблонов) вредоносного поведения… Короче говоря, все подобные методы обнаружения вредоносных программ становятся неэффективными.

Защитить себя от безфайловой угрозы вполне возможно

Безфайловая угроза – это понятие имеет очень длинную историю. Однако их развитие стало очень динамичным только в последние годы, и мы наблюдаем рекордные объемы таких вирусов с невероятным вредоносным потенциалом и ошеломляющей эффективностью. Как мы можем защищаться от угрозы, которая не оставляет и следа на жестком диске? Секрет лежит в поведенииМониторинг системы на наличие вредоносного поведения – это, возможно, наиболее эффективный метод. Adaptive Defense 360 ​​способен классифицировать 100% активных процессов в корпоративной сети и обнаруживать любую компрометирующую активность в реальном времени, оповещая пользователей о каждом вредоносном поведении по мере его появления.

В 220 тестах эффективности, выполненных с Adaptive Defense 360, было обнаружено 99,4% попыток заражения. В одном из случаев было ложное срабатывание, но не было зафиксировано ни единого случая потери данных, даже в тестах с безфайловыми вирусами. По данным, опубликованным в последнем отчете безопасности антивирусной лаборатории PandaLabs, среди наших корпоративных клиентов 2,67% машин, защищенных традиционными решениями, столкнулись с неизвестными угрозами – этот показатель намного выше по сравнению с 1,27% машин, защищенных решением Adaptive Defense, который мгновенно блокировал атаки без какого-либо сопутствующего ущерба.

Проактивная стратегия, как всегда, является лучшей стратегией. Расхожее мнение, безусловно, применимо и здесь: всегда поддерживайте обновленный статус ваших систем, отслеживайте подозрительный трафик, ограничивайте использование макросов и пр. Другие менее известные контрмеры подразумевают ограничение на использование скриптовых языков и, по возможности, отключение Windows PowerShell – одного из основных маршрутов, используемых безфайловыми угрозами. В конце концов, только внимательность и адекватные меры безопасности в сочетании с правильным инструментарием позволят нам оставаться защищенными от тех вредоносных программ, которые мы не можем видеть.

 

Оригинал статьи: Is Fileless Malware an Undetectable Threat?

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

Panda Securityэто лидирующая испанская мультинациональная компания, предлагающая решения с функциями расширенной информационной безопасности, а также инструменты управления и мониторинга. С момента своего создания в 1990 году, Panda неизменно выделяется своим новаторским подходом, позволившим компании создать ряд наиболее важных разработок в сфере информационной безопасности.

В настоящий момент компания сосредоточена на развитии стратегий и технологий расширенной защиты. Panda Security имеет офисы в более чем 80 странах мира, ее продукты переведены на 23 языка и используются свыше 30 миллионами пользователей во всем мире.

 

 


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>