Ciekawostki

Malware-widmo - bezplikowe złośliwe oprogramowanie

Wojciech Kulik | Redaktor serwisu benchmark.pl
9 komentarzy Dyskutuj z nami

Nie infekuje dysku twardego, lecz osiedla się bezpośrednio w pamięci operacyjnej. Nic dziwnego, że korzysta z niego coraz więcej cyberprzestępców.

Typowe programy antywirusowe, które znajdują się na komputerach wielu z nas, szukają złośliwego oprogramowania, skanując dyski twarde, a następnie proponują ich usunięcie. Na nic jednak taka strategia, jeśli nie ma pliku, który można by znaleźć. A właśnie taki malware jest coraz częściej wykorzystywany przez cyberprzestępców. Tylko w ostatnich miesiącach ofiarą padło co najmniej kilkanaście banków na całym świecie.

„Fileless malware”, czyli bezplikowe złośliwe oprogramowanie, jest niewidoczne dla typowych skanerów antywirusowych, bo ukrywa się nie wśród plików na dysku twardym, lecz na przykład w pamięci RAM. Specjalistom od cyberbezpieczeństwa znane jest od kilku lat, ale mimo to wciąż z nim przegrywają. Co gorsza, staje się ostatnio coraz popularniejsze wśród cyberprzestępców atakujących cele o wysokim priorytecie, takie jak banki, organizacje rządowe czy firmy telekomunikacyjne.

Jeden z takich ataków opisało niedawno laboratorium Kaspersky. Bezplikowe złośliwe oprogramowanie wdarło się do pamięci jednego z kontrolerów domeny (czyli serwera zarządzającego komunikacją użytkownik-domena) w banku. Przechwyciło dane administratora, co pozwoliło wedrzeć się głębiej do systemu, a ostatecznie wypłacić pieniądze z bankomatu.

Najważniejszą bronią „fileless malware” jest to, że potrafi zadomowić się w częściach architektury komputerowej, do których zwykli użytkownicy nie zaglądają i mają utrudniony dostęp. Cała „złośliwość” takiego oprogramowania jest lokalizowana bezpośrednio w pamięci komputera, konieczne do szerzenia infekcji pliki zaś w kontenerach, takich jak rejestr systemowy. I choć w rzeczywistości możliwa jest eliminacja takiego zagrożenia, przyzwyczajone do konwencjonalnych rozwiązań przedsiębiorstwa i organizacje rzadko koncentrują się właśnie na tych elementach, pozwalając w efekcie złośliwemu oprogramowaniu działać. 

Cyberprzestępcy często wykorzystują narzędzia administracyjne systemu operacyjnego, takie jak PowerShell, by potajemnie wstrzykiwać złośliwe oprogramowanie do pamięci RAM – tą drogą przedostaje się aż 70 proc. zakażeń wykrytych przez Kaspersky. Zarówno ta firma, jak i inne, a także specjaliści od cyberbezpieczeństwa jasno dają do zrozumienia: ten sektor wymaga aktualizowania oprogramowania, ale też swojej wiedzy. Korzystanie z przestarzałych narzędzi to zaproszenie dla intruzów.

Źródło: Wired, Kaspersky, Dr.Web, inf. własna

Komentarze

9
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    mat9v
    Może moje pytanie zabrzmi dziwnie, ale czy programy antywirusowe nie skanują pamięci? Sygnatura pliku jest tak samo łatwa do utworzenia jak sygnatura procesu. Chyba w tym artukule za mało szczegółów żeby coś sensownego napisać.
    7
  • avatar
    SebastianFM
    Czy aby na pewno bezplikowe? Dla mnie jasne jest to, że można w rejestrze systemu (Windows) umieścić większość kodu wirusa, ale rejsetr też jest zapisywany do pliku.
    4
  • avatar
    Konto usunięte
    odnoszę wrażenie że w temacie rzucono zagadnienie, którego nie opisano poprawnie, prócz tego że leży komórkach pamięci czy to ram czy niskopoziomowej procesora.. Moim zdaniem nie ma sensu zaczynać artykułu z dziedziny bezpieczeństwa pisząc ogólnikowo. "Słuchajcie jest problem z wirusami że crackerzy umieszczają ją w pamięci". Przypomina mi to słowa Donalda won! Tuśka że bEdzie wojna bo bEdzie i tyle.
    2
  • avatar
    kokosnh
    czyli wystarczy wyłączyć serwer hłe hłe hłe...
    1
  • avatar
    zakius
    no i co, że proces sobie siedzi i działa, dobry mechanizm i tak zatrzyma mu dostęp do pamięci innych procesów czy sieci
    windowsowy firewall wyskakuje po każdej aktualizacji kodi, a jakiś kompletnie randomowy proces by miał puścić? bez dużo grubszej akcji to nie przejdzie, z resztą ten proces też musi z czegoś powstać, to nie tak, że nie da się zabezpieczyć: wystarczy odłączyć użytkownika od systemu i jego bezpieczeństwo wzrośnie drastycznie
    1
  • avatar
    tommo1982
    Autor nie mówi tego otwarcie, lub nie wie, ale całość sprowadza się do jednego - Windows. PowerShell jest w Windows, także na koncie Administratora najczęściej pracuje się właśnie pod tym systemem.
    -3