В любой корпоративной стратегии повышения осведомленности об информационной безопасности у сотрудников есть одна фундаментальная заповедь: они никогда не должны открывать вложения, если они не уверены на 100%, что это безопасно. Если они игнорируют это правило, то скачивание или открытие файла может стать причиной серьезного инцидента с ИТ-безопасностью всей компании.

Но что случится, когда вредоносная программа, наводняющая компьютер, не скрыта внутри файла? Что, если она интегрирована в сложно обнаруживаемый процесс? Такое происходит в том случае, если компании сталкиваются с безфайловыми вредоносными программами.

Что такое безфайловая вредоносная программа?

Безфайловая вредоносная программа – это именно тот случай, когда вредоносная программа попадает на компьютер не через определенный файл (документ), а устанавливается в оперативной памяти самого компьютера, и внедряется с использованием различных процессов.

После того как она запускается, существует несколько способов, как эта кибер-криминальная техника может вести себя на компьютере (вот лишь несколько примеров): Anthrax повреждает файлы в системе; Phasebot действует как набор по настройке вредоносных программ для других кибер-преступников, а Poweliks модифицирует серверы, чтобы открыть на них новые точки входа для инфекций.

С помощью такой тактики, безфайловые вредоносные программы очень сложно обнаруживать как пользователям, так даже и решениям информационной безопасности, которые специально не подготовлены для обнаружения подобного рода вторжений.

35% атак в 2018 году

Несмотря на то, что безфайловые вредоносные программы менее известны, чем другие виды атак, тем не менее, в настоящее время они переживают настоящий бум, что не может не беспокоить. Согласно исследованию, проведенному Ponemon Institute, безфайловые вредоносные программы были ответственны за 29% всех кибер-атак во всем мире в 2017 году, а к концу 2018 года эта цифра может возрасти до 35%.

Данный тип кибер-атак особенно опасен в корпоративной среде, т.к. будучи установленным в оперативной памяти, безфайловые вредоносные атаки являются более эффективными средствами нападения через компьютеры, которые остаются включенными в течение 24 часов в сутки, и они могут достичь даже серверов, в результате чего может возникнуть цепная реакция и пострадать вся компания целиком.

В любом случае эти атаки могут поразить организации любого типа. Именно это и произошло с Демократическим национальным комитет в США в середине 2016 года. Активист, известный под ником Guccifer 2.0, вставил кусок безфайловой вредоносной программы в систему Комитета, после чего получил доступ к 19 252 электронным письмам и 8034 вложениям. Результатом этого вторжения стала публикация в WikiLeaks серии откровений, которые в конечном итоге навредили Хиллари Клинтон, тогдашнему сопернику Дональда Трампа.

Как избежать безфайловых вредоносных атак

Неуклонный рост этого вида кибер-преступлений заставляет компании предпринимать меры во избежание новых заражений. Вот некоторые наиболее важные шаги:

1. Будьте кибер-устойчивы. Самый очевидный, но и самый важный совет: кибер-преступники ежедневно перепрофилируют и переосмысливают свои стратегии. Таким образом, любая компания, которая хочет защитить свою корпоративную информационную безопасность, должна быть кибер-устойчивой и оставаться в курсе новых видов атак.

2. Языки сценариев. Безфайловые вредоносные программы очень часто используют преимущества от тех инструментов, которые используют языки сценариев, например, Powershell. Везде, где это возможно, компаниям следует отказаться от использования таких языков.

3. Адаптированные решения. Самое большое преимущество, которым обладают безфайловые вредоносные программы, заключается в том, что они оперируют не из файлов, а из оперативной памяти, что позволяет им оставаться необнаруживаемыми для большинства решений безопасности. Но Panda Adaptive Defense анализирует и осуществляет мониторинг всех подозрительных процессов, которые происходят либо в определенных файлах на конечных устройствах, либо в их оперативной памяти.

4. Осторожнее с макросами. Макросы – один из наиболее распространенных инструментов на любом компьютере, но они также могут являться потенциальной точкой входа для такого рода кибер-преступлений, Как и в случае с языками сценариев, компаниям не следует отказываться от всех видов макросов, но необходимо ответственно их использовать.