Κατανόηση του κακόβουλου λογισμικού χωρίς αρχεία και πώς να το υπερασπιστείτε

Κατανόηση του κακόβουλου λογισμικού χωρίς αρχεία και πώς να το υπερασπιστείτε
Tweet
Share
Share
Pin

Εάν πιστεύατε ότι η κατά λάθος εγκατάσταση κακόβουλου λογισμικού στον υπολογιστή σας ήταν κακή, περιμένετε μέχρι να ανακαλύψετε κακόβουλο λογισμικό χωρίς αρχεία, έναν κρυφό εισβολέα που δεν αφήνει ίχνη στη μονάδα αποθήκευσης.

Τα παραδοσιακά κακόβουλα προγράμματα αφαιρούνται ευκολότερα όταν εντοπιστούν, καθώς έχουν ορατά αρχεία στη μονάδα αποθήκευσης για σάρωση και εξάλειψη προστασίας από ιούς. Το κακόβουλο λογισμικό χωρίς αρχεία λειτουργεί εξ ολοκλήρου από τη μνήμη του υπολογιστή (RAM), επομένως είναι πολύ πιο δύσκολο να το εντοπίσετε.

Σε αυτήν την ανάρτηση, θα σας πω όλα όσα πρέπει να γνωρίζετε για το κακόβουλο λογισμικό χωρίς αρχεία και πώς να προστατευτείτε από αυτό.

Τι είναι το κακόβουλο λογισμικό χωρίς αρχεία;

SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700MGjA6YWq4BoNi 9CYA6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwMoWKWOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwMoWZOmJFISOiCF1 7w3hwpY+50VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAXfoRzzPBLZlI3SWAD94VMz+ DJtpgCAAA=

Το κακόβουλο λογισμικό χωρίς αρχεία είναι ένα κακόβουλο κομμάτι κώδικα που εκτελείται μόνο του από τη μνήμη του συστήματος. Κυρίως αναζητά τρωτά σημεία σε νόμιμες εφαρμογές και στη συνέχεια τα παραβιάζει για να τα εκτελέσει μόνο του. Σε σπάνιες περιπτώσεις, μπορεί να ανοίξει τις δικές του κακόβουλες διεργασίες για την εκτέλεση λειτουργιών.

Δεδομένου ότι το πρόγραμμα προστασίας από ιούς συνήθως σαρώνει τα ληφθέντα και εγκατεστημένα αρχεία/προγράμματα, το κακόβουλο λογισμικό χωρίς αρχεία είναι πολύ πιο δύσκολο να εντοπιστεί καθώς δεν έχει συσχετισμένο αρχείο. Οι κακόβουλες λειτουργίες που μπορεί να εκτελέσει είναι παρόμοιες με αυτές που μπορούν να εκτελέσουν τα περισσότερα άλλα κακόβουλα προγράμματα. η κύρια διαφορά είναι πώς βρίσκεται στον υπολογιστή.

Πώς το κακόβουλο λογισμικό χωρίς αρχεία μολύνει τη συσκευή;

Όπως οι περισσότεροι άλλοι τύποι κακόβουλου λογισμικού, το κακόβουλο λογισμικό χωρίς αρχεία εξαπλώνεται επίσης κυρίως μέσω κακόβουλων συνδέσμων σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, κακόβουλων ιστότοπων ή επιθέσεων κοινωνικής μηχανικής. Ωστόσο, διαφέρει στην εκτέλεση αφού αναζητά τρωτά σημεία στα προγράμματα στον υπολογιστή ή στο ίδιο το λειτουργικό σύστημα.

Οι κοινές ευάλωτες εφαρμογές περιλαμβάνουν το Powershell, το Windows Management Instrumentation (WMI), το πρόγραμμα περιήγησης και τυχόν ευάλωτες προσθήκες που έχουν εγκατασταθεί. Εκμεταλλεύεται την ευπάθεια να εισάγει κακόβουλο κώδικα στο νόμιμο πρόγραμμα και να εκτελεί εργασίες σύμφωνα με τον σκοπό του.

Για παράδειγμα, ένα μολυσμένο Powershell μπορεί να εκτελέσει εντολές σε επίπεδο διαχειριστή για την κλοπή δεδομένων ή την κρυπτογράφηση σημαντικών δεδομένων.

Πηγή εικόνας: TrendMicro

Μπορεί επίσης να χρησιμοποιήσει το “process hollowing” για να αδειάσει τα περιεχόμενα μιας νόμιμης διαδικασίας και στη συνέχεια να το γεμίσει με τον κακόβουλο κώδικα για να λειτουργήσει με το όνομά του.

  Οι 10 καλύτεροι θερμαντήρες κούπας για μια ζεστή γουλιά καφέ

PowerGhost είναι ένα καλό παράδειγμα επίθεσης κακόβουλου λογισμικού χωρίς αρχεία που χρησιμοποίησε το WMI και το Powershell για την εξόρυξη κρυπτογράφησης εταιρικών υπολογιστών χωρίς εντοπισμό.

Τι απειλεί το κακόβουλο λογισμικό χωρίς αρχεία;

Όπως είπα προηγουμένως, το κακόβουλο λογισμικό χωρίς αρχεία μπορεί να εκτελέσει τις περισσότερες εργασίες παρόμοιες με κακόβουλο λογισμικό που βρίσκεται στον χώρο αποθήκευσης υπολογιστή. Όλα εξαρτώνται από τον σκοπό για τον οποίο κωδικοποιήθηκε το κακόβουλο λογισμικό χωρίς αρχεία και από ποια ευπάθεια εκμεταλλεύεται.

Οι κοινές κακόβουλες λειτουργίες που μπορεί να εκτελέσει περιλαμβάνουν κλοπή δεδομένων, κλοπή διαπιστευτηρίων, κρυπτογράφηση δεδομένων, δραστηριότητα παρακολούθησης, καταγραφή κλειδιών, εξόρυξη κρυπτονομισμάτων, επιθέσεις DDoS και αλλαγή ρυθμίσεων ασφαλείας για περαιτέρω επιθέσεις.

Για να σας δώσω μια καλύτερη ιδέα, παρακάτω παραθέτω προηγούμενες επιθέσεις κακόβουλου λογισμικού ευρείας κλίμακας χωρίς αρχεία:

PowerWare: Αυτός ήταν ένας τύπος ransomware που χρησιμοποιούσε το Powershell για να εκτελεί κρυφά εντολές για να κλειδώνει σημαντικά αρχεία και να προσπαθεί να πλαστογραφήσει ότι είναι κρυπτογραφημένα. Στη συνέχεια, ζητά πληρωμή σε κρυπτονομίσματα.

PowerSniff: Διαδόθηκε αξιοποιώντας τις ρυθμίσεις ασφαλείας του Microsoft Word για την εκτέλεση μιας μακροεντολής που αποστέλλεται ως έγγραφο. Η μακροεντολή έψαξε στον υπολογιστή και έκλεψε τα διαπιστευτήρια.

TrickBot: Αν και δεν είναι εντελώς κακόβουλο λογισμικό χωρίς αρχεία, το TricktBot φόρτωσε τις μονάδες του στη μνήμη σε μια από τις προηγμένες εκδόσεις του. Ο κύριος σκοπός του κακόβουλου λογισμικού ήταν η κλοπή οικονομικών διαπιστευτηρίων.

Netwalker Ransomware: Είναι ένα άλλο ransomware που χρησιμοποιεί τακτικές χωρίς αρχεία, αλλά η κρυπτογράφηση του είναι πραγματική. Αντικατέστησε τις νόμιμες διεργασίες της Microsoft με κακόβουλο κώδικα για να κρυφτεί και να εκτελέσει εντολές.

Πώς να εντοπίσετε κακόβουλο λογισμικό χωρίς αρχεία;

Δεδομένου ότι το κακόβουλο λογισμικό χωρίς αρχεία έχει να κάνει με το να είναι ύπουλο, είναι πραγματικά δύσκολο να το εντοπίσουμε. Εάν πιστεύετε ότι έχετε κάνει κλικ σε έναν κακόβουλο σύνδεσμο και ο υπολογιστής σας έχει μολυνθεί, υπάρχουν μερικά πράγματα που μπορείτε να κάνετε για να μαντέψετε και να προχωρήσετε σε προστατευτικά μέτρα.

Παρακάτω είναι μερικές κοινές ενδείξεις που πρέπει να αναζητήσετε:

Ασυνήθιστη συμπεριφορά συστήματος: Το κακόβουλο λογισμικό χωρίς αρχεία μπορεί να εισάγει ασυνήθιστες συμπεριφορές όπως το άνοιγμα και το κλείσιμο ορισμένων εφαρμογών, το πάγωμα του υπολογιστή, τα σφάλματα ή οι επανεκκινήσεις, κ.λπ.

Επιβράδυνση στην απόδοση: Μπορεί να παρατηρήσετε μια ξαφνική μείωση στη συνολική απόδοση του συστήματος. Μπορεί επίσης να οδηγήσει σε παγώματα.

Ασυνήθιστη δραστηριότητα δικτύου: Μαζί με μια πιο αργή απόδοση δικτύου, μπορεί να παρατηρήσετε ασυνήθιστη κίνηση σε έναν τομέα στον οποίο δεν είχατε πρόσβαση. Συνιστώ πάντα το GlassWire για ανάλυση δικτύου.

Υψηλή χρήση CPU μιας διεργασίας: Ανοίξτε τη Διαχείριση εργασιών και δείτε εάν μια ασυνήθιστη διαδικασία χρησιμοποιεί πάρα πολύ πόρο CPU. Μια παραβιασμένη διαδικασία χρησιμοποιεί συνήθως υψηλή ισχύ CPU ακόμα και όταν δεν χρησιμοποιείται ενεργά.

Αλλαγές στην εφαρμογή προστασίας από ιούς: Το κακόβουλο λογισμικό χωρίς αρχεία μπορεί να προσπαθήσει να απενεργοποιήσει το λογισμικό προστασίας από ιούς για να καταστήσει τον υπολογιστή ευάλωτο σε περισσότερους τύπους επιθέσεων κακόβουλου λογισμικού.

  9 καλύτερα αραβικά κανάλια στο Kodi

Εκτός από αυτά, θα πρέπει επίσης να χρησιμοποιήσετε ένα πρόγραμμα προστασίας από ιούς που έχει ενσωματωμένες δυνατότητες ανίχνευσης συμπεριφοράς για να εντοπίσετε κακόβουλο λογισμικό χωρίς αρχεία. Τέτοιες εφαρμογές προστασίας από ιούς μπορούν να ανιχνεύσουν ασυνήθιστη συμπεριφορά σε εφαρμογές και διαδικασίες για να ανιχνεύσουν εάν έχει μολυνθεί.

Για το σκοπό αυτό, το Kaspersky Antivirus έχει αφιερώσει προστασία από κακόβουλο λογισμικό χωρίς αρχεία εργαλεία που όχι μόνο εντοπίζουν ασυνήθιστη συμπεριφορά, αλλά και σαρώνουν ευαίσθητες λειτουργίες των Windows όπως το WMI ή το μητρώο των Windows για να αναζητήσουν κακόβουλο κώδικα. Η Kaspersky έχει επίσης μακρά ιστορία στην ανακάλυψη δημοφιλών επιθέσεων κακόβουλου λογισμικού χωρίς αρχεία.

Τι να κάνετε εάν η συσκευή σας μολυνθεί;

Εάν πιστεύετε ότι ο υπολογιστής σας μολύνθηκε, υπάρχει μεγάλη πιθανότητα να είναι ήδη πολύ αργά. Εάν το κακόβουλο λογισμικό είχε σκοπό να κλέψει κάτι, τότε πιθανότατα το έχουν κάνει ήδη.

Ωστόσο, η πρώτη σας γραμμή άμυνας είναι να απενεργοποιήσετε εντελώς τον υπολογιστή και να τον ξεκινήσετε ξανά. Δεδομένου ότι η RAM είναι πτητική μνήμη, διαγράφεται πλήρως όταν ο υπολογιστής τερματίζεται. Αυτό θα καταργήσει αυτόματα το κακόβουλο λογισμικό χωρίς αρχεία, ελπίζουμε, πριν προκαλέσει οποιαδήποτε ζημιά.

Δυστυχώς, τα περισσότερα κακόβουλα προγράμματα χωρίς αρχεία έχουν ενσωματωμένες μεθόδους για να επιβιώσουν από την επανεκκίνηση, όπως η φόρτωση του κώδικα σε μια καταχώρηση μητρώου. Εάν είναι δυνατόν, προσπαθήστε να ξεκινήσετε τον υπολογιστή σε ασφαλή λειτουργία και, στη συνέχεια, ακολουθήστε τις παρακάτω μεθόδους:

#1. Σάρωση με Antivirus

Και πάλι, θα χρειαστείτε μια εφαρμογή προστασίας από ιούς που διαθέτει τα εργαλεία για προστασία από κακόβουλο λογισμικό χωρίς αρχεία. Το Kaspersky εξακολουθεί να είναι η σύστασή μου για την εύρεση αλλαγών που γίνονται από κακόβουλο λογισμικό χωρίς αρχεία. Ωστόσο, μπορείτε επίσης να δοκιμάσετε το Malwarebytes που διαθέτει ανίχνευση συμπεριφοράς βάσει AI για κακόβουλο λογισμικό χωρίς αρχεία.

#2. Χρησιμοποιήστε την Επαναφορά Συστήματος

Η Επαναφορά Συστήματος μπορεί να επαναφέρει εγκαίρως τον υπολογιστή σε προηγούμενη κατάσταση και να επαναφέρει όλες τις αλλαγές που έγιναν σε αυτόν. Εφόσον είναι ενεργοποιημένο από προεπιλογή σε όλους τους υπολογιστές με Windows, θα πρέπει να είναι ενεργοποιημένο και στον υπολογιστή σας, εκτός και αν το απενεργοποιήσατε μόνοι σας.

Απλώς πληκτρολογήστε Recovery στην Αναζήτηση των Windows για να ανοίξετε την Επαναφορά Συστήματος. Εδώ θα δείτε όλα τα σημεία επαναφοράς που είναι αποθηκευμένα αυτήν τη στιγμή για να επιστρέψετε. Απλώς επιλέξτε αυτό πριν από τη μόλυνση από κακόβουλο λογισμικό για να διορθώσετε όλες τις αλλαγές.

#3. Επαναφέρετε τον υπολογιστή

Εάν δεν είχατε σημείο επαναφοράς, τότε η επαναφορά του υπολογιστή μπορεί επίσης να διορθώσει όλες τις ζημιές, διατηρώντας τα τοπικά δεδομένα. Ωστόσο, η επαναφορά θα διαγράψει όλα τα προγράμματα που είναι εγκατεστημένα στον υπολογιστή, επομένως βεβαιωθείτε ότι δεν έχετε σημαντικά αποθηκευμένα δεδομένα σε αυτά.

Στις Ρυθμίσεις των Windows, μεταβείτε στο Σύστημα > Ανάκτηση και, στη συνέχεια, κάντε κλικ στο Επαναφορά υπολογιστή. Στο αναδυόμενο παράθυρο, κάντε κλικ στο Διατήρηση των αρχείων μου και ακολουθήστε τις οδηγίες για επαναφορά.

  Τα 9 καλύτερα εργαλεία για την αυτοματοποίηση της δοκιμής σεληνίου, κυπαρισσιού και θεατρικού συγγραφέα

Πώς να προστατευτείτε από κακόβουλο λογισμικό χωρίς αρχεία;

Τα περισσότερα από τα μέτρα που προστατεύουν από κανονικό κακόβουλο λογισμικό προστατεύουν επίσης από κακόβουλο λογισμικό χωρίς αρχεία. Απλώς φροντίστε να εγκαταστήσετε ένα πρόγραμμα προστασίας από ιούς με ανίχνευση συμπεριφοράς και μην κάνετε λήψη ή κλικ σε κακόβουλο περιεχόμενο.

Ωστόσο, υπάρχουν μερικά μέτρα προστασίας που είναι πιο σημαντικά για την προστασία από κακόβουλο λογισμικό χωρίς αρχεία. Τα παραθέτω παρακάτω:

Διατηρήστε το λειτουργικό σύστημα και τις εφαρμογές ενημερωμένα

Το κακόβουλο λογισμικό χωρίς αρχεία εξαρτάται σε μεγάλο βαθμό από ευπάθειες ασφαλείας στις εφαρμογές και στο λειτουργικό σύστημα. Θα πρέπει να βεβαιωθείτε ότι το λειτουργικό σας σύστημα διαθέτει τις πιο πρόσφατες ενημερώσεις ασφαλείας και ότι όλες οι εφαρμογές είναι ενημερωμένες. Πολλές από αυτές τις ενημερώσεις περιέχουν επιδιορθώσεις για τρωτά σημεία που μπορεί να εκμεταλλευτεί το κακόβουλο λογισμικό χωρίς αρχεία.

Να είστε προσεκτικοί με τις επεκτάσεις προγράμματος περιήγησης

Το κακόβουλο λογισμικό χωρίς αρχεία μπορεί επίσης να μολύνει τα πρόσθετα του προγράμματος περιήγησης με τρωτά σημεία. Βεβαιωθείτε ότι κατεβάζετε μόνο αξιόπιστες και αξιόπιστες επεκτάσεις προγράμματος περιήγησης και τις διατηρείτε ενημερωμένες. Σε περίπτωση μόλυνσης, συνιστάται να επανεγκαταστήσετε τις επεκτάσεις για να βεβαιωθείτε ότι δεν είναι ο ένοχος.

Δίκτυο παρακολούθησης

Σχεδόν όλα τα κακόβουλα προγράμματα χωρίς αρχεία κάνουν συνδέσεις δικτύου με τους δικούς τους διακομιστές για να εκτελέσουν τη δουλειά τους. Ένα εργαλείο όπως το GlassWire όχι μόνο μπορεί να σας βοηθήσει να δείτε ύποπτες συνδέσεις αλλά και να τις αποκλείσετε αυτόματα, χάρη στο ενσωματωμένο τείχος προστασίας. Θα σας προτείνω να ρυθμίσετε ειδοποιήσεις σε αυτό ώστε να λαμβάνετε πάντα μια ειδοποίηση όταν εντοπίζεται ύποπτη σύνδεση.

Αυξήστε την ασφάλεια στον έλεγχο λογαριασμού χρήστη (UAC)

Μπορείτε να διαμορφώσετε το UAC των Windows ώστε να σας ειδοποιεί πάντα όταν γίνεται οποιαδήποτε αλλαγή συστήματος από εσάς ή μια εφαρμογή. Μπορεί να κάνει τα πράγματα λίγο ενοχλητικά λόγω της ειδοποίησης για κάθε αλλαγή, αλλά μπορεί να βελτιώσει σημαντικά την ασφάλεια έναντι κρυφού κακόβουλου λογισμικού, όπως κακόβουλο λογισμικό χωρίς αρχεία.

Αναζητήστε UAC στην Αναζήτηση των Windows και κάντε κλικ στο Change User Account Control Settings. Εδώ ορίστε τη γραμμή ασφαλείας στην κορυφή.

Εφαρμόστε τη λύση ασφάλειας Endpoint

Για τις επιχειρήσεις, μια λύση ασφάλειας τελικού σημείου μπορεί να προστατεύσει όλους τους υπολογιστές σε ένα δίκτυο συγκεντρώνοντας την ασφάλεια. Ακόμα κι αν μια συσκευή μολυνθεί, οι άλλες συσκευές σας στο δίκτυο θα παραμείνουν ασφαλείς και η λύση ασφαλείας μπορεί να βοηθήσει στην επιδιόρθωση της μολυσμένης συσκευής. Οι ενημερώσεις τους είναι επίσης σε πραγματικό χρόνο, επομένως τα τρωτά σημεία διορθώνονται αμέσως όταν διορθωθούν.

CrowdStrike είναι μια καλή λύση για αυτόν τον σκοπό που προσφέρει προστασία βασισμένη σε AI έναντι επιθέσεων στον κυβερνοχώρο. Διαθέτει επίσης ένα ειδικός σαρωτής μνήμης δυνατότητα για προστασία από κακόβουλο λογισμικό χωρίς αρχεία.

Τελικές σκέψεις 🖥️🦠

Το κακόβουλο λογισμικό χωρίς αρχεία είναι πράγματι από τις πιο έξυπνες επιθέσεις κακόβουλου λογισμικού. Μερικές φορές οι χάκερ τα χρησιμοποιούν ακόμη και ως μέρος της μεγάλης τους επίθεσης είτε για να αποκτήσουν αρχική πρόσβαση είτε για να αποδυναμώσουν το σύστημα. Ειλικρινά, οι περισσότερες από αυτές τις επιθέσεις μπορούν εύκολα να αποφευχθούν αν διατηρήσουμε την περιέργειά μας υπό έλεγχο και δεν κάνουμε κλικ σε κάτι για το οποίο έχουμε αμφιβολίες.

Στη συνέχεια, μπορείτε επίσης να διαβάσετε πώς να σαρώσετε και να αφαιρέσετε κακόβουλο λογισμικό από τηλέφωνα Android και iOS.

Prev post Πώς να γίνετε PNGTuber: Οδηγός για αρχάριους
Next post Πώς να φτιάξετε έναν DIY ασύρματο συναγερμό δεξαμενής νερού