Fileless neboli bezsouborový malware

Fileless neboli bezsouborový malware není nic nového, byť se toto téma v poslední době dost skloňuje a stal se z něj tak trochu buzzword.

Jedná se o škodlivý kód, který by se měl, jak již vyplývá z definice, nacházet výhradně jen v paměti napadeného zařízení, z čehož zároveň vyplývá, že po restartu už by jej nemělo být na daném zařízení možné nalézt.

S takovým malwarem jsme se mohli setkat už před téměř dvaceti lety v podobě síťových červů, jako byl třeba CodeRed nebo SQL Slammer. A to byl skutečný fileless malware. Dnes se však za fileless malware běžně označuje i malware, který fileless rozhodně není.

I takový, který se šíří e-mailem jako příloha v dokumentu MS Office, a který obsahuje makro fungující spíše jako takový dropper. To, když jej uživatel spustí, zavolá PowerShell a spustí skript, který si dotáhne další kód z internetu, třeba přes DNS a maximálně přitom využívá systémových nástrojů.

Svoji persistenci si tento fileless malware zajistí zápisem do registrů nebo zástupců, takže tak úplně fileless není, neboť na disk a do souboru prostě zapíše, ale to už by nebylo tak zajímavé, a proto se i v tomto případě hovoří o fileless. Pravda, AV obvykle registry a zástupce neskenují, takže malware může tímto způsobem uniknout pozornosti.

Podstatné je, že bez ohledu na vektor útoku k sestavení škodlivého kódu a jeho spuštění dochází v paměti napadeného zařízení, takže pokud má být provedena jeho forenzní analýza, tak toto zařízení nesmí být v žádném případě vypnuto.

Počet útoků, v rámci kterých je použit fileless malware celosvětově roste a zdá se, že tomu tak bude i nadále.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Fileless neboli bezsouborový malware” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: