การโจมตี การป้องกัน และการตรวจจับมัลแวร์แบบไม่มีไฟล์

Fileless Malwareอาจเป็นคำศัพท์ใหม่สำหรับคนส่วนใหญ่ แต่อุตสาหกรรมความปลอดภัยรู้จักมันมาหลายปีแล้ว เมื่อปีที่แล้ว องค์กรกว่า 140 แห่งทั่วโลกได้รับผลกระทบจากมัลแวร์ Fileless ซึ่ง(Fileless Malware –)รวมถึงธนาคาร โทรคมนาคม และองค์กรภาครัฐ Fileless Malwareตามที่ชื่ออธิบายคือมัลแวร์ชนิดหนึ่งที่ไม่แตะต้องดิสก์หรือใช้ไฟล์ใด ๆ ในกระบวนการ มันถูกโหลดในบริบทของกระบวนการที่ถูกกฎหมาย อย่างไรก็ตาม บริษัทรักษาความปลอดภัยบางแห่งอ้างว่าการโจมตีแบบไม่มีไฟล์นั้นทิ้งไบนารีขนาดเล็กไว้ในโฮสต์ที่ถูกบุกรุกเพื่อเริ่มการโจมตีของมัลแวร์ การโจมตีดังกล่าวเพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา และมีความเสี่ยงมากกว่าการโจมตีมัลแวร์แบบเดิมๆ

มัลแวร์แบบไม่มีไฟล์

การโจมตีด้วยมัลแวร์แบบไม่มีไฟล์

การโจมตีด้วย มัลแวร์แบบไม่มีไฟล์(Fileless Malware)หรือที่เรียกว่าการโจมตีที่ไม่ใช่มัลแว(Non-Malware attacks)ร์ พวกเขาใช้ชุดเทคนิคทั่วไปเพื่อเข้าสู่ระบบของคุณโดยไม่ต้องใช้ไฟล์มัลแวร์ที่ตรวจพบได้ ในช่วงไม่กี่ปีที่ผ่านมา ผู้โจมตีเริ่มฉลาดขึ้นและได้พัฒนาวิธีการโจมตีที่หลากหลาย

มั(Fileless)ลแวร์แบบไม่มีไฟล์จะแพร่ระบาดในคอมพิวเตอร์โดยไม่ทิ้งไฟล์ไว้ในฮาร์ดไดรฟ์ภายในเครื่อง เลี่ยงการรักษาความปลอดภัยแบบเดิมและเครื่องมือทางนิติวิทยาศาสตร์

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

มัลแวร์แบบไม่มีไฟล์นั้นอยู่ในRandom Access Memoryของระบบคอมพิวเตอร์ของคุณ และไม่มีโปรแกรมป้องกันไวรัสใดตรวจสอบหน่วยความจำโดยตรง ดังนั้นจึงเป็นโหมดที่ปลอดภัยที่สุดสำหรับผู้โจมตีที่จะบุกรุกพีซีของคุณและขโมยข้อมูลทั้งหมดของคุณ แม้แต่โปรแกรมป้องกันไวรัสที่ดีที่สุดบางครั้งก็พลาดมัลแวร์ที่ทำงานอยู่ในหน่วยความจำ

การติด มัลแวร์ Fileless Malware(Fileless Malware)ล่าสุดบางตัวที่ติดระบบคอมพิวเตอร์ทั่วโลก ได้แก่ – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2เป็นต้น

Fileless Malware ทำงานอย่างไร

มัลแวร์ที่ไม่มีไฟล์เมื่อลงสู่หน่วยความจำ(Memory)สามารถปรับใช้เครื่องมือในตัวและการดูแลระบบWindows ของคุณ เช่นPowerShell , SC.exeและnetsh.exeเพื่อเรียกใช้โค้ดที่เป็นอันตรายและให้ผู้ดูแลระบบเข้าถึงระบบของคุณได้ ออกคำสั่งและขโมยข้อมูลของคุณ บางครั้ง มัลแวร์แบบไม่มีไฟล์(Fileless Malware)อาจซ่อนอยู่ใน รูท คิ(Rootkits)(Rootkits)ตหรือรีจิสทรี(Registry)ของระบบปฏิบัติการ Windows

เมื่อเข้ามาแล้ว ผู้โจมตีจะใช้ แคช รูปขนาดย่อของ Windows(Windows Thumbnail)เพื่อซ่อนกลไกมัลแวร์ อย่างไรก็ตาม มัลแวร์ยังคงต้องการไบนารีแบบสแตติกเพื่อเข้าสู่พีซีโฮสต์ และอีเมลเป็นสื่อที่ใช้บ่อยที่สุดสำหรับสิ่งเดียวกัน เมื่อผู้ใช้คลิกที่ไฟล์แนบที่เป็นอันตราย ระบบจะเขียนไฟล์ payload ที่เข้ารหัสไว้ในWindows Registry(Windows Registry)

Fileless Malwareเป็นที่รู้จักกันว่าใช้เครื่องมือเช่นMimikatzและMetaspoiltเพื่อแทรกโค้ดลงในหน่วยความจำของพีซีของคุณและอ่านข้อมูลที่เก็บไว้ที่นั่น เครื่องมือเหล่านี้ช่วยให้ผู้โจมตีบุกรุกเข้าไปในพีซีของคุณและขโมยข้อมูลทั้งหมดของคุณ

การวิเคราะห์พฤติกรรมและมั(Fileless)ลแวร์ ที่ไม่มีไฟล์

เนื่องจากโปรแกรมป้องกันไวรัสทั่วไปส่วนใหญ่ใช้ลายเซ็นเพื่อระบุไฟล์มัลแวร์ มัลแวร์ที่ไม่มีไฟล์จึงตรวจจับได้ยาก ดังนั้น บริษัทรักษาความปลอดภัยจึงใช้การวิเคราะห์เชิงพฤติกรรมเพื่อตรวจจับมัลแวร์ โซลูชันการรักษาความปลอดภัยใหม่นี้ออกแบบมาเพื่อจัดการกับการโจมตีและพฤติกรรมก่อนหน้านี้ของผู้ใช้และคอมพิวเตอร์ พฤติกรรมผิดปกติใดๆ ที่ชี้ไปยังเนื้อหาที่เป็นอันตรายจะได้รับแจ้งพร้อมการแจ้งเตือน

เมื่อไม่มีโซลูชันปลายทางใดที่สามารถตรวจจับมัลแวร์ที่ไม่มีไฟล์ได้ การวิเคราะห์เชิงพฤติกรรมจะตรวจจับพฤติกรรมผิดปกติใดๆ เช่น กิจกรรมการเข้าสู่ระบบที่น่าสงสัย ชั่วโมงการทำงานที่ผิดปกติ หรือการใช้ทรัพยากรที่ผิดปกติใดๆ โซลูชันการรักษาความปลอดภัยนี้จะเก็บข้อมูลเหตุการณ์ระหว่างเซสชันที่ผู้ใช้ใช้แอปพลิเคชันใดๆ เรียกดูเว็บไซต์ เล่นเกม โต้ตอบบนโซเชียลมีเดีย ฯลฯ

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

วิธีป้องกันและตรวจจับมัลแวร์ Fileless(Fileless Malware)

ปฏิบัติตามข้อควรระวังพื้นฐานเพื่อรักษาความปลอดภัยคอมพิวเตอร์ Windows ของคุณ(precautions to secure your Windows computer) :

  • ใช้(Apply)Windows Updates ล่าสุด(Windows Updates –)ทั้งหมดโดยเฉพาะการอัปเดตความปลอดภัยกับระบบปฏิบัติการของคุณ
  • ตรวจสอบ ให้(Make)แน่ใจว่าซอฟต์แวร์ที่ติดตั้งทั้งหมดของคุณได้รับการติดตั้งและอัปเดตเป็นเวอร์ชันล่าสุดแล้ว
  • ใช้ผลิตภัณฑ์รักษาความปลอดภัยที่ดีที่สามารถสแกนหน่วยความจำของคอมพิวเตอร์ของคุณได้อย่างมีประสิทธิภาพ และยังบล็อกหน้าเว็บที่เป็นอันตรายที่อาจโฮสต์Exploits ควรมี การ ตรวจสอบพฤติกรรม(Behavior) การ สแกนหน่วยความจำ(Memory) และ การป้องกันBoot Sector
  • โปรดใช้ความระมัดระวังก่อนที่จะดาวน์โหลดไฟล์แนบ(downloading any email attachments)อีเมล นี่คือเพื่อหลีกเลี่ยงการดาวน์โหลดเพย์โหลด
  • ใช้ ไฟร์วอลล์(Firewall) ที่ แข็งแกร่งซึ่งช่วยให้คุณควบคุมการรับส่งข้อมูลเครือข่าย ได้อย่างมีประสิทธิภาพ(Network)

อ่านต่อ(Read next) : การโจมตีของ Living Off The Land(Living Off The Land attacks)คืออะไร ?



ปานศักดิ์ ดิเรกวิทยา

About the author

ฉันเป็นวิศวกรซอฟต์แวร์ที่มีประสบการณ์และมีประสบการณ์มากกว่า 10 ปีในแอป Windows และระบบนิเวศการจัดการไฟล์ ฉันยังเป็นผู้เชี่ยวชาญในการพัฒนาระบบและโซลูชันการรักษาความปลอดภัยสำหรับธุรกิจและรัฐบาลอีกด้วย ประสบการณ์ของฉันในทั้งสองด้านทำให้ฉันมีมุมมองที่ไม่เหมือนใครเกี่ยวกับสิ่งที่ทำให้ซอฟต์แวร์ ระบบ และความปลอดภัยที่ดี และวิธีการสร้างซอฟต์แวร์อย่างมีประสิทธิภาพ


Related posts