Fileless neboli bezsouborový malware

Fileless neboli bezsouborový malware není nic nového, byť se toto téma v poslední době dost skloňuje a stal se z něj tak trochu buzzword.

Jedná se o škodlivý kód, který by se měl, jak již vyplývá z definice, nacházet výhradně jen v paměti napadeného zařízení, z čehož zároveň vyplývá, že po restartu už by jej nemělo být na daném zařízení možné nalézt.

S takovým malwarem jsme se mohli setkat už před téměř dvaceti lety v podobě síťových červů, jako byl třeba CodeRed nebo SQL Slammer. A to byl skutečný fileless malware. Dnes se však za fileless malware běžně označuje i malware, který fileless rozhodně není.

I takový, který se šíří e-mailem jako příloha v dokumentu MS Office, a který obsahuje makro fungující spíše jako takový dropper. To, když jej uživatel spustí, zavolá PowerShell a spustí skript, který si dotáhne další kód z internetu, třeba přes DNS a maximálně přitom využívá systémových nástrojů.

Svoji persistenci si tento fileless malware zajistí zápisem do registrů nebo zástupců, takže tak úplně fileless není, neboť na disk a do souboru prostě zapíše, ale to už by nebylo tak zajímavé, a proto se i v tomto případě hovoří o fileless. Pravda, AV obvykle registry a zástupce neskenují, takže malware může tímto způsobem uniknout pozornosti.

Podstatné je, že bez ohledu na vektor útoku k sestavení škodlivého kódu a jeho spuštění dochází v paměti napadeného zařízení, takže pokud má být provedena jeho forenzní analýza, tak toto zařízení nesmí být v žádném případě vypnuto.

Počet útoků, v rámci kterých je použit fileless malware celosvětově roste a zdá se, že tomu tak bude i nadále.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Fileless neboli bezsouborový malware” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: