Fileless зовредния код е труден за откриване от съвременните антивирусни средства. А дали всъщно е невъзможно той да бъде открит?
За разлика от злонамереният софтуер, с който сме “свикнали”, този без файлове може да зарази и да причини вреда, без да оставя следа. Тайната, както показва неговото име, е да не записва никакъв тип файл на твърдия диск. Всички действия се извършват “прозрачно”, т.е. в паметта. В момента, в който системата се рестартира, вирусът ще изчезне, но щетите вече ще бъдат направени. Можеш ли да се бориш с враг, който не оставя следи? Разбира се, отговорът е “да”.
Какво представлява този тип зловреден софтуер?
Fileless злонамереният код е тип усъвършенствана атака Advanced Volatile Threat ( AVT). Предназначен е да не се записва на твърдия диск и да работи от RAM паметта. По принцип вируси и други видове злонамерен софтуер се нуждаят от един или няколко файла, които да действат в системата. Обикновено те се откриват незабавно от действащите защитни системи и впоследствие се идентифицират и карантинарат. Въпреки това,че безфайловия злонамерен софтуер не се нуждае от такива файлове, традиционните системи за защита не могат да го засекат. Естествено е много по-трудно да се защитим срещу нападения, използващи тази техника, тъй като този тип инфекции не само са трудни за откриване, но и много по-устойчиви и трудни за контролиране.
Трудността идва и от факта, че те изчезват в момента, в който системата е рестартирана. В зависимост от вариантите можем да открием злонамерен софтуер като Phasebot, който се продава на черния пазар като комплект за създаване на вируси, специализирани в кражба на данни. Или Anthrax, хибриден вирус. След като се стартира, вирусът преминава през паметта и заразява нови файлове, отваря врати към нови възможности за инфекция чрез сървъри за управление и контрол (C&C).
Симптомите и вредите, причинени от Fileless зовредния код, са много разнообразни. Във всеки случай, това е сериозен проблем за сигурността на фирмената ИТ инфраструктура.
Защита срещу безфайлови вируси е възможна
Fileless зовредния код е концепция с дълга история. Обаче еволюцията му е започнала неотдавна, като се наблюдава рекорд на вируси с невероятно опасен потенциал и преобладаваща ефективност. Как можем да се защитим срещу заплахата от код, който не оставя следи на твърдия диск? Тайната е в поведението. Мониторингът на системата за злонамерено поведение е може би най-ефективният метод. Panda Adaptive Defense 360 е в състояние да класифицира 100% от активните процеси в корпоративната мрежа и да открива в реално време всякакви компрометиращи дейности, като предупреждава потребителите и администраторите на сигурността за всяко подозрително поведение веднага щом то се случи.
При 220 теста за ефикасност, извършени с Adaptive Defense 360, 99,4% от опитите за инфекция бяха открити. В нито един от случаите не е имало фалшиво регистрирани атаки, нито загубени данни, включително потенциални файлови вируси.. Според данните, получени в последния доклад за сигурността на PandaLabs, сред нашите корпоративни клиенти 2,67% от машините, защитени от традиционните решения, са претърпели атаки от неизвестни заплахи.
При машини с Adaptive Defense тези неизвестни атаки са били спрени.
Проактивната стратегия е, както винаги, най-добрата защита.
Съветваме Ви да спазватее принципите:
- да поддържате системите си актуализирани;
- да наблюдавате подозрителния трафик;
- да ограничавате използването на макроси и т.н.
Други по-малко известни контрамерки включват ограничаване на скриптовите езици и деактивиране, ако е възможно, на Windows PowerShell, един от основните начини за изпълнение о разпространение на зловреден софтуер.
В крайна сметка само профилактичния преглед на системите, съчетани с правилните инструменти, ще предпазят от Fileless зловредния код, който не можем да видим.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
www.antivirus.bg
support@antivirus.bg