De senaste åren har hotaktörer ökat sin användning av fileless malware då det visar sig vara ett högeffektivt alternativ till exekverbara filer.
Traditionella antivirus och andra säkerhetslösningar för endpoint har ofta fokuserat på exekverbara filer, detta för att förebygga och upptäcka malware i ett tidigt stadie. För en hotaktör som önskar maximal avkastning för minimal ansträngning, är filbaserat malware långt ifrån det mest lönsamma.
Hur fungerar Fileless Malware?
Fileless malware är skadlig kod som inte är beroende av en exekverbar fil på användarens enhet. I stället använder den sig av system som redan finns. För traditionella antivirus är det avsevärt mycket svårare att upptäcka och hindra det eftersom det inte lämnar lika tydliga spår efter sig. Fileless malware injiceras ofta i processer eller mjukvara som redan är i gång och som OS:et bedömer som ”säkra”, exempelvis PowerShell. Genom att gömma sig i till exempel RAM-utrymmet kan hotaktören dölja sin position.
Processen för en attack
Den vanligaste typen av fileless malware tar sig in genom att en användare klickar på en spam-länk i ett e-mail eller på en osäker webbsida. Hotaktören förlitar sig ofta på typiska metoder för social engineering, som att utge sig för att vara en betrodd källa. När hotaktören väl fått access till en enhet och de rättigheter som behövs kan en s.k. backdoor upprättas för att säkerställa tillgången till den utsatta enheten. Efter att hotaktören funnit den information de är ute efter kan de exfiltrera den till en annan miljö.
Hur stoppas det?
Om en administratör skulle försöka lösa problemet genom att blockera exempelvis PowerShell skulle det skapa problem för organisationens IT-team. Nyckeln till att upptäcka och stoppa fileless malware är att använda cybersäkerhetslösningar som ser till beteendet hos processer som pågår på en enhet, snarare än att undersöka de enskilda filerna.
IT-Totals lösning för Endpoint Protection använder sig av ett beteendefokuserat AI som inte påverkar en användares arbete eller produktivitet, men samtidigt skyddar effektivt även mot fileless malware.
Vidare läsning
https://www.sentinelone.com/cybersecurity-101/fileless-malware/
Hur beteendefokuserad säkerhet skyddade mot WannaCry
( 1:40 min)