Онлайн Радио 24 Бесфайловое вредоносное ПО (бестелесное вредоносное ПО)
Бестелесное или бесфайловое вредоносное ПО — это вредоносное ПО, которое не сохраняется на жестком диске в виде исполняемого файла, а загружается напрямую в оперативную память. Такие зловреды опасны тем, что практически не оставляют следов в зараженной системе, поэтому их довольно сложно обнаружить.
Как правило, для запуска и закрепления в системе бесфайловое вредоносное ПО использует возможности легитимных программ и компонентов операционной системы. Например, вредоносный скрипт может быть передан на компьютер в качестве параметра командной строки. Атаки с использованием легитимного ПО, установленного на зараженном устройстве, называются Living off the land, или LotL-атаки.
Как происходит бесфайловая атака
Существуют различные техники, которые позволяют злоумышленникам обойтись без сохранения файлов на диск на разных этапах атаки.
- Проникновение в систему. На этом этапе злоумышленники могут удаленно эксплуатировать уязвимости в установленных на целевом устройстве программах, внедрять вредоносный код в прошивку или запускать его с внешнего диска, например с USB-флешки.
- Закрепление в системе. На этом этапе злоумышленники используют легитимные инструменты системы, чтобы запускать бесфайловое вредоносное ПО, если оно по какой-то причине перестанет выполняться, например если пользователь перезагрузит компьютер. Так, на устройствах с Windows злоумышленники могут добавить вредоносную запись в реестр Windows или создать задачу в планировщике задач, чтобы зловред запускался всякий раз, когда выполняются определенные условия, например при включении устройства.
- Выполнение вредоносного кода. Для выполнения вредоносного кода также используются легитимные инструменты системы.
Легитимные инструменты в бесфайловых атаках
К легитимным инструментам, которые часто используются в бесфайловых атаках, относятся:
- WMI (Windows Management Instrumentation) — интерфейс, позволяющий администраторам в организациях получить доступ к данным, необходимым для управления устройствами в корпоративной сети. Злоумышленники используют WMI для закрепления в системе, обхода защиты, кражи данных, горизонтального перемещения по сети и других вредоносных задач.
- PowerShell — оболочка для запуска скриптов, предназначенная для администрирования устройства. Злоумышленники используют PowerShell для запуска бесфайлового вредоносного ПО.
- .NET Framework — кроссплатформенный фреймворк для разработки приложений, на базе которого работает и PowerShell. Злоумышленники используют особенности .NET для запуска бесфайлового вредоносного ПО и удаления артефактов из памяти.
- Реестр Windows — база данных, в которой хранятся настройки программ, профилей пользователей, подключенных устройств и т. д. Злоумышленники используют реестр, в частности, для закрепления бесфайлового зловреда в системе.
- Планировщик задач Windows — компонент Windows, который позволяет настраивать автоматическое выполнение определенных задач, например запуск программы в конкретный момент времени. Злоумышленники могут создать задачу на выполнение бесфайлового зловреда, и система сама будет его запускать.
Использование файлов в атаках бесфайлового вредоносного ПО
Далеко не всегда бесфайловые атаки полностью бесфайловые. Нередко на определенном этапе атаки на диск сохраняются, например, документы с макросом, загружающим бестелесное вредоносное ПО в память. После выполнения своей функции вредоносный файл, как правило, удаляется с зараженного устройства.
Обнаружение бесфайловой угрозы
Бесфайловые атаки сложно выявить при помощи анализа сигнатур. Чтобы отследить активность бестелесных зловредов, современные системы безопасности применяют методы поведенческого анализа, а также дополнительную проверку критических элементов, например реестра, планировщика задач и PowerShell-окружения.
Публикации на схожие темы
- PowerGhost — призрачный майнер
- Titanium: APT-группа Platinum снова атакует
- Мультитул для майнинга
- Slammer всё?
Как определить поддельное приложение и вредоносное ПО
Магазины мобильных приложений предлагают пользователям устройств огромный выбор программ, в это разнообразие может закрасться и вредоносное ПО, которое выглядит как легитимные приложения.
Некоторые поддельные приложения полностью копируют оригинал вплоть до пользовательского интерфейса и выбора продукта.
Копиисты создают и продают свои собственные версии популярных приложений с невероятной скоростью.
И пока магазины приложений изо всех сил пытаются обнаружить и удалить поддельные приложения, вы можете предпринять шаги к тому, чтобы скачивать только надежные программы.
Прямо к источнику
Один из способов убедиться в подлинности скачиваемого приложения – посетить официальный сайт разработчика и найти там прямую ссылку на приложение в магазине приложений. Это также подскажет вам, какой из разработчиков в магазине является надежным источником похожих программ от той же компании.
Будьте осторожны при загрузке приложения из магазина, если вы не можете найти ссылку на него на официальном сайте компании.
Некоторые компании не создавали приписываемых им приложений, и это значит, что такие программы в магазине приложений являются подделками, предназначенными для кражи информации о платежных картах, контактов и других личных данных.
Некоторые компании не продают официальные приложения в отдельных регионах, поэтому мошенники создают «копии», чтобы обмануть пользователей в этих странах.
Если вы точно знаете, что у компании есть приложение, но вы не можете найти ссылку на него, свяжитесь с производителем напрямую и выясните информацию о скачивании и возможных географических ограничениях.
«Сарафанное радио»: как оно может помочь
Если нужное вам приложение не имеет официального сайта, как в случае приложениями, созданными независимыми разработчиками, прочитайте все отзывы и комментарии о нем – как положительные, так и отрицательные.
Отрицательные отзывы могут выявить проблемы, с которыми пользователи уже сталкивались ранее.
Обратите особое внимание на следующие замечания: приложение запрашивает подозрительные разрешения, производит неодобренные платежи в мобильном кошельке, вносит несанкционированные изменения в настройки или ведет себя странным образом.
А если при этом упоминается отсутствие поддержки со стороны публикатора, то это еще один предупреждающий знак – приложение поддельное.
Положительные отзывы так же полезны, как и отрицательные. Поддельные приложения могут иметь много положительных отзывов, потому что их можно купить в Dark Web.
Приложение вряд ли будет иметь много подробных, восторженных отзывов на протяжении всей истории его разработки.
Убедитесь, что история обзоров включает подробные отзывы клиентов из нескольких циклов обновления.
Магазины приложений часто размещают запись о том, что приложение рекомендуется администраторами магазина или о том, что они полагаются на разработчика. Это своего рода маркеры, указывающие на аутентичные приложения.
Внимание к делатям
Возможно, вы сможете «вычислить» поддельные приложения, просто внимательно изучив описания и просмотрев изображения.
Легитимные компании-производители обычно тщательно выверяют описания и публикуют четкие профессиональные скриншоты. С подделками такое бывает не часто.
Кроме того, новейшие приложения следует загружать с осторожностью, а вот приложения с длинной историей обновлений, скорее всего, будут подлинными.
Прочтите информацию об обновлениях и узнайте, были ли они сделаны в ответ на жалобы клиентов, для добавления функций или исправления ошибок, а также поищите информацию о следующих запланированных обновлениях.
Я загрузил правильное приложение?
Иногда ощущение, что с приложением что-то не то, возникает уже когда вы начинаете им использоваться.
Если авторитет бренда и пользовательский опыт не помогают, значит, пришло время провести исследование и определить, является ли приложение подделкой.
Например, вы заметили, что цвета отличаются от тех, которые используются на сайте или в рекламе, что логотип выглядит некорректно, или что обещанные функции отсутствуют.
Удалите приложение и обратитесь в компанию напрямую и узнайте, загрузили ли вы правильное приложение.
В поддельных приложениях часто прячется вредоносное ПО, и тогда игра в фоновом режиме может передавать ваши контакты и местоположение злоумышленникам.
Убедитесь, что устанавливаемое вами приложение, имеет только те разрешения, которые необходимы ему для работы, и отключите остальные разрешения, которые ему не нужны.
Если постоянная забота о том, как бы не скачать поддельное приложение, кажется вам слишком хлопотной, лучший способ не ошибиться – вообще не загружать приложения неизвестного происхождения.
Для многих целей, например, онлайн-шопинга или просмотра расписания киносеансов, и приложение от официальной компании, и ее веб-сайт предлагают пользователю одинаковые возможности.
В этом случае пользование сайтом с зашифрованным HTTPS-соединением может быть безопаснее, чем пользование приложением.
Вы можете помочь удалить поддельные приложения и сделать магазины приложений безопасными для всех пользователей.
Если вы обнаружили очевидную подделку или случайно скачали поддельное приложение, сообщите об этом в компанию, чье приложение было скопировано, и в магазин приложений.
Поддельные приложения – это повсеместная проблема, но активная позиция клиентов магазина приложений не позволит создателям подделок извлекать выгоду из доверчивости ничего не подозревающих пользователей.
Статьи и ссылки по теме:Related Articles Links:
- КиберпреступностьЧто такое Adware?
- Что такое троянская программа?
- Компьютерные вирусы и вредоносное ПО
- Спам и фишинг
- Программы-вымогатели и кибершантаж
- Выбор антивирусного решения
Продукты:
- Kaspersky Total Security
- Kaspersky Internet Security
- Антивирус Касперского
- Бесплатный Aнтивирус Kaspersky Free
- Kaspersky Internet Security для Mac
- Kaspersky Internet Security для Android
Как определить поддельное приложение и вредоносное ПО
Поддельные приложения выглядят аутентичными, но содержат вредоносные программы, которые заражают устройства и украдут личную информацию. Узнайте, как определить поддельное приложение и не допустить его использования.
При подготовке материала использовались источники:
https://www.kaspersky.ru/resource-center/preemptive-safety/identifying-and-avoiding-fake-apps