Sve je veći broj sajber bezbednosnih incidenata povezanih sa fileless napadima. Ovaj trend će se najverovatnije nastaviti i u 2018. godini.

U ratnom stanju, najveća prednost je biti nevidljiv. Ne možete se boriti protiv onoga što ne vidite. Što je još gore, ne možete primeniti odbranu ukoliko ne znate da ste napadnuti. Zbog toga sajber kriminalci menjaju taktiku i sve više koriste fileless napade koji ne ostavljaju malver u sistemu žrtve. Na taj način, napadači ostaju neprimećeni, odnosno lako zaobilaze detekciju. Napadači koriste alate koji su već instalirani na računaru ili pokreću jednostavne skripte i shellcode u memoriji (npr. Windows Power Shell). Maliciozne skripte često kriju Windows Registry i Windows Management Instrumentation (WMI).

Ovakav pristup omogućava napadačima da napadnu žrtve koristeći mogućnosti koje su ugrađene u operativni sistem. Detekcija pomoću tradicionalnih anti-malver alata, kao što je potpis, je teško izvodljiva zbog toga što se eksploatacija nalazi u memoriji, a ne na hard disku. U tome leži sve veća popularnost fileless napada. Symantec je u 2017. godini detektovao ubačene maliciozne skripte u Windows Registryju u 5.000 računara dnevno. U prvih 7 meseci prethodne godine, Symantec je dnevno blokirao oko 4.000 napada na endpointe za koje je fileless Kotver trojanac bio odgovoran.

Studija Ponemon instituta je otkrila da su 29% svih napada na organizacije u 2017. bili fileless napadi (u 2016. oko 20%). Očekuje se da će u ovoj godini procenat fileless napada porasti na 35.

Fileless napadi omogućavaju napadačima da ostanu skriveni u sistemu žrtve, odnosno omogućavaju im duže prisustvo zbog toga što žrtve imaju problem da saniraju sve računare.

Veliki fileless napadi

Jedan od najpoznatijih hakerskih napada je bio fileless napad 2016. godine u kome su ukradena i puštena u javnost dokumenta iz DNC-a (demokratskog nacionalnog komiteta) s ciljem da se utiče na ishod predsedničkih izbora u SAD-u. Napad je izvršen slanjem phishing emaila sa malicioznim linkovima. Klikom na linkove, pokrenut je fileless napad preko PowerShella i WMI-a.

Fileless napadi se često vrše preko phishing linkova i drive-by sajtova. Jedan od velikih fileless napada pogodio je više od 140 banaka i finansijskih institucija početkom 2017. godine. Napad je omogućila serverska ranjivost koja nije bila zakrpljena. Kada su dospeli u sistem, napadači su pomoću PowerShell skripti i Windows Registryja ubacili maliciozni kod direktno u memoriju. Pristup zaraženom sistemu sa udaljene lokacije napadači su dobili preko Windows servisa kao što su NETSH i SC. Napadači su zatim sa udaljene lokacije ubacili ATMitch malver u memoriju bankomata i naterali ih da izbace gotovinu. Napad je bilo jako teško detektovati zbog toga što se nijedan fajl nije nalazio u sistemu.

Vrste fileless napada

Fileless napade možemo podeliti u 4 velike grupe:

• Memory-only pretnje. One eksploatišu ranjivosti u Windows servisima kako bi ubacili payload direktno u memoriju. Postoje još od 2001. godine kada je Code Red fileless crv inficirao više od 350.000 sistema. Ova pretnja se neutrališe jednostavnim restartovanjem sistema.
• Fileless persistence metodi. Kod ovih napada, infekcija ostaje u sistemu i nakon restartovanja iako se maliciozni payload ne nalazi na hard disku. Ovi napadi se vrše na nekoliko načina. Jedan od njih je da se maliciozna skripta ubaci u Windows Registry i zatim pokrene fileless infekcija nakon restartovanja.
• Napadi pomoću dvojnih alata. Ovi alati eksploatišu postojeće sistemske Windows alate i aplikacije kako bi napadačima obezbedili kredencijale za ulazak u sistem ili kako bi im poslali podatke.
• Napadi pomoću non-portable izvršnih fajlova. Ovo je vrsta napada pomoću dvojnih alata koji kombinuje skripte i legitimni alat. Ovi napadi najčešće koriste PowerShell, WScript ili CScript.

Kako se zaštititi od fileless napada?

Tradicionalni AV softveri ne detektuju fileless napade. Međutim, postoji nekoliko stvari koje svaka organizacija može da uradi kako bi se od njih zaštitila. Prvo, potrebno je identifikovati gde se nalaze osetljivi podaci i pratiti ko im pristupa i iz kojih razloga. Drugo, fileless napadi najčešće započinju eksploatisanjem ranjivosti ili pomoću tehnika socijalnog inženjeringa. Zbog toga se postarajte da se sistem redovno ažurira i da bude zaštićen, kao i da zaposleni prođu adekvatnu obuku kako bi bili upoznati sa opasnostima koje nose tehnike socijalnog inženjeringa. Konačno, potrebno je da fokus kompanija bude na informacijama o pretnjama i prevenciji streaminga koji analiziraju ponašanje normalnih aplikacija i procesa dok se izvršavaju i komuniciraju jedni sa drugima. To znači da u celoj priči postoji jedna dobra vest – ukoliko su kompanije na oprezu, mogu se zaštititi od fileless pretnji koje obično ne bi ni primetile.

Izvor: Symantec Blog