Fileless Malware 공격, 보호 및 탐지

Fileless Malware 는 새로운 용어일지도 모릅니다 만, 보안 업계는 수년간 그것을 알고있었습니다. 올해 초 전세계 140 개 이상의 기업이 은행, 통신사 및 정부 기관을 포함한 Fileless Malware를 공격했습니다. Fileless Malware는 이름에서 알 수 있듯이 프로세스에서 파일을 사용하지 않는 일종의 멀웨어입니다. 그러나 일부 보안 업체는 파일리스 공격이 악의적 인 호스트의 작은 바이너리를 남겨두고 맬웨어 공격을 시작한다고 주장합니다. 이러한 공격은 지난 몇 년 동안 의미심장 한 증가를 보였으며 전통적인 멀웨어 공격보다 위험합니다.

Fileless Malware 공격

Fileless Malware 공격은 Non-Malware 공격 이라고도합니다. 그들은 탐지 가능한 맬웨어 파일을 사용하지 않고 시스템에 침투하기 위해 일반적인 기술을 사용합니다. 지난 몇 년 동안 공격자는 더욱 스마트 해지고 공격을 시작하기위한 다양한 방법을 개발했습니다.

파일없는 맬웨어는 컴퓨터를 감염시켜 로컬 하드 드라이브에 파일을 남기지 않고 기존의 보안 및 법의학 도구를 피합니다.

이 공격의 독특한 점은 컴퓨터의 파일 시스템에 추적을 남기지 않고 손상된 시스템의 메모리에만 상주하는 정교한 악성 소프트웨어의 사용입니다. 파일리스 맬웨어는 공격자가 정적 파일 분석 (안티 바이러스)을 기반으로하는 대부분의 엔드 포인트 보안 솔루션에서 탐지를 피할 수있게합니다. Fileless 맬웨어의 최신 발전은 개발자들이 네트워크 운영을 위장하는 것에서 희생자의 인프라 내부에서 횡 방향 이동을 탐지하는 것을 피하는 것에 초점을두고 있다고 마이크로 소프트는 말합니다.

파일리스 맬웨어는 Random Access Memory 컴퓨터의 바이러스 백신 프로그램은 메모리를 직접 검사하지 않으므로 공격자가 PC에 침투하여 모든 데이터를 훔치는 가장 안전한 모드입니다. 최고의 바이러스 백신 프로그램조차도 메모리에서 실행되는 악성 프로그램을 놓칠 수 있습니다.

전 세계 컴퓨터 시스템에 감염된 최근 Fileless Malware 감염은 Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 등입니다.

Fileless Malware 작동 방법

Fileless Malware가 Memory 에 설치되면 PowerShell , SC.exe와 같은 기본 및 시스템 관리 Windows 기본 도구를 배포 할 수 있습니다 및 netsh.exe 를 사용하여 악의적 인 코드를 실행하고 시스템에 관리자 액세스 권한을 부여하여 명령을 수행하고 데이터를 도용 할 수 있습니다. Fileless Malware는 Windows 운영 체제의 Rootkits 또는 Registry 에도 숨어있을 수 있습니다.

공격자는 Windows 썸네일 캐시를 사용하여 맬웨어 메커니즘을 숨 깁니다. 그러나 맬웨어는 여전히 호스트 PC에 들어가기 위해 정적 바이너리가 필요하며 전자 메일은 동일한 용도로 사용되는 가장 일반적인 매체입니다. 사용자가 악의적 인 첨부 파일을 클릭하면 암호화 된 페이로드 파일을 Windows 레지스트리에 씁니다.

Fileless Malware는 Mimikatz 및 Metaspoilt 와 같은 도구를 사용하여 코드를 PC의 메모리에 저장하고 거기에 저장된 데이터를 읽습니다. 이 도구는 공격자가 PC에 더 깊이 침투하여 모든 데이터를 훔치는 데 도움이됩니다.

행동 분석 및 파일리스 맬웨어

대부분의 일반 바이러스 백신 프로그램은 맬웨어 파일을 식별하기 위해 서명을 사용하기 때문에 파일없는 맬웨어는 감지하기 어렵습니다. 따라서 보안 회사는 행동 분석을 사용하여 맬웨어를 탐지합니다. 이 새로운 보안 솔루션은 사용자 및 컴퓨터의 이전 공격 및 동작을 해결할 수 있도록 설계되었습니다.

파일리스 맬웨어를 감지 할 수있는 엔드 포인트 솔루션이 없으면 동작 분석은 의심스러운 로그인 활동, 비정상적인 근무 시간 또는 비정형적인 리소스 사용과 같은 비정상적인 동작을 감지합니다. 이 보안 솔루션은 사용자가 응용 프로그램을 사용하고, 웹 사이트를 탐색하고, 게임을하고, 소셜 미디어 등에서 상호 작용하는 세션 중에 이벤트 데이터를 캡처합니다.

파일리스 맬웨어는 더 똑똑하고 일반적으로 보입니다. 일반 서명 기반 기술 및 도구는 Microsoft가 말하는이 복잡한 복잡하고 도박 지향적 인 유형의 멀웨어를 발견하기가 더 어려울 것입니다.

Fileless Malware 방지 및 탐지 방법

Windows 컴퓨터를 보호하기위한 기본적인 예방 조치를 따르십시오.

• 모든 최신 Windows 업데이트 - 특히 운영 체제에 보안 업데이트 적용
• 설치된 모든 소프트웨어가 최신 버전으로 패치되고 업데이트되었는지 확인하십시오.
• 효율적으로 검사 할 수있는 훌륭한 보안 제품을 사용하십시오. 컴퓨터 메모리를 차단하고 Exploits를 호스팅 할 수있는 악의적 인 웹 페이지도 차단합니다.
• 전자 메일 첨부 파일을 다운로드하기 전에주의하십시오. 이것은 페이로드 다운로드를 피하기위한 것입니다.
• 네트워크 트래픽을 효과적으로 제어 할 수있는 강력한 방화벽을 사용하십시오.

이 주제에 관해 더 자세히 읽으려면 Microsoft로 넘어 가서 McAfee의 백서를 확인하십시오.