De meeste mensen zien malware als kwaadaardige uitvoerbare bestanden die van een e-mail of het web worden gedownload, maar bestandsloze malware voegt een nieuwe draai toe aan dataprotectie. In plaats van bestanden te gebruiken die elke keer worden geladen wanneer een gebruiker zijn systeem opstart, wordt bestandsloze malware vanuit het Windows-register geladen en rechtstreeks in het geheugen opgestart of wordt malware geladen met behulp van kwaadaardige code die in een document is opgeslagen. Bestandsloze malware is gebouwd om antivirussoftware te omzeilen, dus er zijn extra beveiligingslagen nodig om het te stoppen.
Wat is fileless malware?
Bestandsloze malware is een type kwaadaardige software dat volledig binnen het geheugen van een computer werkt, wat betekent dat het geen bestanden op de harde schijf creëert. Met traditionele malware stelt de malwareauteur een uitvoerbaar bestand samen en moet hij een manier vinden om het te leveren aan een doel. De malwareauteur kan bijvoorbeeld een e-mailbericht opstellen om een datacentermedewerker te overtuigen om een script te openen dat vervolgens het uitvoerbare bestand downloadt. Het uitvoerbare bestand laadt kwaadaardige code in het geheugen. Elke keer dat de gebruiker opnieuw opstart, wordt het uitvoerbare bestand opnieuw in het geheugen geladen.
Bestandsloze malware is veel lichter dan bestandsgebaseerde malware. Met bestandsloze malware wordt de code in het Windows-register geladen of wordt kwaadaardige code in het geheugen geladen zonder dat er een uitvoerbaar bestand nodig is. Een PowerShell-script kan bijvoorbeeld in het servergeheugen worden geladen en worden gebruikt om data naar een door aanvallers gecontroleerde server op het internet te sturen.
Hoe fileless malware werkt
De meeste aanvallen beginnen met een kwaadaardige phishing-e-mail, maar aanvallers kunnen ook werken met drive-by downloads die op hun webservers worden gehost. Een andere veelvoorkomende manier om een aanval te starten is via social engineering. Een aanvaller kan per sms contact opnemen met een doelwit en hem overtuigen om een webpagina met kwaadaardige scripts te openen. Phishing van kwaadaardige omleidingen op het web of man-in-the-middle-aanvallen op een kwaadaardige wifi-hotspot zijn zeldzamer, maar mogelijk bij malware-aanvallen.
Bestandsloze malware richt zich meestal op Windows-machines, dus PowerShell is de gebruikelijke scripttaal die in deze aanvallen wordt gebruikt. Een gebruiker wordt eerst overgehaald om het PowerShell-script uit te voeren - meestal bijgevoegd bij een e-mailbericht - en het PowerShell-script voert instructies uit. De instructies kunnen zijn om ransomware te installeren, data van de computer van de gebruiker te stelen, in stilte naar wachtwoorden te luisteren of rootkits te installeren voor afstandsbediening van de lokale machine. PowerShell kan de huidige applicaties uitvoeren die op de computer van de gebruiker zijn geïnstalleerd, zodat bestandsloze malware kan proberen een document met kwaadaardige code te maken of kwaadaardige code in een bestaand document te injecteren. Wanneer de gebruiker het document deelt met een andere gebruiker, voert de kwaadaardige code zijn payload uit en levert deze.
Veelvoorkomende aanvalsvectoren
De meest voorkomende aanvalsvector voor de meeste payloads is phishing, en het is ook de meest voorkomende voor bestandsloze aanvallen. Om een payload via e-mail te leveren, moet de aanvaller de gebruiker overtuigen om een kwaadaardige bijlage te openen of hem naar een website te verwijzen die de malware host. Ondernemingen moeten altijd e-mailbeveiliging hebben ingesteld om te voorkomen dat deze berichten de inbox van werknemers bereiken.
Microsoft Office-documenten kunnen macro's en code opslaan om activiteiten te activeren wanneer het document wordt geopend. Operations kunnen onschuldig zijn, maar kwaadaardige code die is opgeslagen in een Office-document (bijv. Word, Excel of PowerPoint) kan een aantal payloads uitvoeren. Payloads omvatten het stelen van data, het installeren van rootkits of het leveren van ransomware aan de lokale machine of de netwerkomgeving.
Social engineering kan een onderdeel zijn van een aanval. Bij een meer geavanceerde phishing-aanval werken bijvoorbeeld meestal verschillende aanvallers om medewerkers met een hoog privilege, zoals accountants of personeel van human resources, te misleiden. Deze doelen hebben toegang tot gevoelige data, zodat bedreigingsauteurs veel meer rendement op hun inspanningen kunnen behalen. Een bedreigingsauteur kan samenwerken met een social engineer en een doelwit bellen om hen te overtuigen om deel te nemen aan een phishing-e-mail.
De impact van fileless malware
Bestandsloze aanvallen leiden meestal tot het verlies van data of langdurige achterdeuren, waar malware zelfs na uitroeiing kan blijven bestaan. Voor de meeste georganiseerde cybercriminelen werken ze samen om data te stelen. Ransomware is een gemeenschappelijk laadvermogen en kan organisaties dwingen miljoenen te betalen om hun data terug te krijgen als ze geen levensvatbare databack-ups hebben.
Aanhoudende bedreigingen lopen vaak maanden voor detectie. Deze bedreigingen kunnen worden gebruikt om data stil te exfiltreren. Terwijl aanhoudende bedreigingen zich voordoen, creëren ze meestal achterdeuren, zodat beveiligingspersoneel ze niet volledig kan verwijderen of indammen. Na detectie en uitroeiing kunnen netwerkbeheerders een vals gevoel van veiligheid hebben, terwijl de achterdeuren van de aanhoudende bedreiging aanvallers in staat stellen de omgeving opnieuw te doorbreken.
De meeste datalekken leiden tot inkomstenverlies door rechtszaken en nalevingsboetes. Merkschade moet worden beperkt, en een verlies aan vertrouwen van de klant kan ook de verkoop verlagen. Fileless malware is gebouwd om detectie te omzeilen, dus het kan vooral gevaarlijk zijn voor de bedrijfscontinuïteit en toekomstige inkomsten.
Strategieën voor detectie en preventie
Om de nasleep van een bestandsloze malware-aanval te voorkomen, is vroegtijdige detectie cruciaal. Vroege detectie vermijdt veel van de disaster recovery-vereisten om na een datalek op te schonen. Monitoringtools die zijn geïnstalleerd op de netwerkinfrastructuur en eindpunten (bijv. mobiele apparaten van gebruikers) kunnen bestandsloze malware opvangen voordat deze in het geheugen wordt geladen. Oplossingen voor netwerkmonitoring detecteren afwijkend gedrag wanneer kwaadaardige code toegang probeert te krijgen tot gevoelige bestanden en data.
Inbraakpreventie zal automatisch een bedreiging inhouden. Monitoring detecteert malware en waarschuwt beheerders, maar inbraakpreventie gaat nog een stap verder en voorkomt automatisch dat het data steelt. Netwerkbeheerders moeten nog steeds actie ondernemen, maar schade wordt beperkt door inbraakpreventie en -beperking.
De huidige monitoring en preventie maakt gebruik van analyses en gedragspatronen om kwaadaardige activiteiten op te sporen. Een bestand met gevoelige data kan bijvoorbeeld het hele jaar door slechts een handvol toegangsverzoeken ontvangen. Wanneer malware meerdere keren in korte tijd toegang probeert te krijgen tot bestanden, zien detectieoplossingen dit als verdachte activiteiten en waarschuwen ze beheerders. Zero-day bedreigingen kunnen ook worden gedetecteerd met behulp van afwijkende benchmarks en ontdekkingen.
Conclusie
Bestandsloze malware is slechts een van de vele cyberbeveiligingsrisico's waarmee beheerders te maken hebben. U kunt risico's minimaliseren en beperken met de juiste monitoringtools, inbraakdetectie en preventieoplossingen. Installeer endpointdetectie en -respons (EDR)-bescherming op alle gebruikersapparaten, vooral die welke verbinding maken met Wi-Fi-hotspots van derden. Werk ten slotte samen met een vertrouwde technologiepartner die oplossingen biedt die uw data beschermen en prioriteit geven aan dataprotectie.
