Fileless neboli bezsouborový malware
Fileless neboli bezsouborový malware není nic nového, byť se toto téma v poslední době dost skloňuje a stal se z něj tak trochu buzzword.
Jedná se o škodlivý kód, který by se měl, jak již vyplývá z definice, nacházet výhradně jen v paměti napadeného zařízení, z čehož zároveň vyplývá, že po restartu už by jej nemělo být na daném zařízení možné nalézt.
S takovým malwarem jsme se mohli setkat už před téměř dvaceti lety v podobě síťových červů, jako byl třeba CodeRed nebo SQL Slammer. A to byl skutečný fileless malware. Dnes se však za fileless malware běžně označuje i malware, který fileless rozhodně není.
I takový, který se šíří e-mailem jako příloha v dokumentu MS Office, a který obsahuje makro fungující spíše jako takový dropper. To, když jej uživatel spustí, zavolá PowerShell a spustí skript, který si dotáhne další kód z internetu, třeba přes DNS a maximálně přitom využívá systémových nástrojů.
Svoji persistenci si tento fileless malware zajistí zápisem do registrů nebo zástupců, takže tak úplně fileless není, neboť na disk a do souboru prostě zapíše, ale to už by nebylo tak zajímavé, a proto se i v tomto případě hovoří o fileless. Pravda, AV obvykle registry a zástupce neskenují, takže malware může tímto způsobem uniknout pozornosti.
Podstatné je, že bez ohledu na vektor útoku k sestavení škodlivého kódu a jeho spuštění dochází v paměti napadeného zařízení, takže pokud má být provedena jeho forenzní analýza, tak toto zařízení nesmí být v žádném případě vypnuto.
Počet útoků, v rámci kterých je použit fileless malware celosvětově roste a zdá se, že tomu tak bude i nadále.
Štítky: fileless malware
K článku “Fileless neboli bezsouborový malware” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
