Niektoré formy malvéru sú sofistikovanejšie než iné a používajú rôzne metódy vyhýbania sa detekcii. Bezsúborový malvér sa intenzívne snaží vyhnúť odhaleniu bezpečnostným softvérom, pracuje len v pamäti počítača a nezanecháva fyzickú stopu na pevnom disku.
Znamená to, že naše zariadenia sú proti takejto hrozbe bezmocné? Nie tak celkom.
Čo je bezsúborový malvér?
Mnohé typy rodín malvéru bežne fungujú tak, že využívajú škodlivú prílohu, ktorú keď používateľ otvorí, neúmyselne umožní kódu vykonávať nežiaducu činnosť bez jeho vedomia.
Kód môže následne infikovať rôzne časti systému, nainštalovať ďalšie škodlivé kódy, ako sú keyloggery alebo iný spyvér, zablokovať prístup k súborom alebo aplikáciám, zobrazovať škodlivé reklamy a podobne. Predstavte si ho ako bežný program, ktorý je nainštalovaný v počítači, ale pôsobí proti vašim záujmom.
Bezsúborový malvér je trochu iný. Namiesto toho, aby bol uložený na disku počítača, pôsobí škodlivo výlučne po načítaní do pamäte RAM. Na rozdiel od bežného malvéru, ktorý na svoje spustenie potrebuje spustiteľné súbory (musí byť nainštalovaný), je bezsúborový malvér menej viditeľný, pretože na kompromitáciu počítača využíva legitímne programy. To znamená, že bezsúborový malvér je ťažšie odhaliť, keďže nezanecháva žiadnu stopu – existuje výlučne v pamäti.
Bezsúborový malvér nespúšťa samostatnú „kampaň“, ale v podstate manipuluje s existujúcimi procesmi/nástrojmi v prospech svojej vlastnej agendy, a práve vďaka schopnosti manipulovať s funkciami systému, zneužívať ich a skrývať sa v nich je tiež odolnejší.
Počiatky prvých bezsúborových vírusov
Prvý počítačový vírus Brain infikoval iba zavádzacie sektory diskiet, nie súbory. Datuje sa do roku 1986 a po ňom sa objavilo mnoho ďalších infektorov zavádzacích sektorov diskiet (a pevných diskov), napríklad Form, a infektorov hlavných zavádzacích záznamov pevných diskov, ako napríklad Stoned a Michelangelo. Ani jeden z nich sa nikdy nenachádzal v súbore súborového systému diskového oddielu, ale len v systémových oblastiach disku, ktoré boli pre používateľov bežne neprístupné, a následne po spustení systému z infikovaného média boli tieto vírusy prítomné aj v pamäti.
Možno si však hovoríte: „Dobre, ale aj tak si ho musím niekde stiahnuť, nie?“ A máte pravdu. Bezsúborový malvér zasahujúci pamäť sa stále šíri prostredníctvom škodlivých odkazov alebo príloh, len jeho spúšťanie je iné – keďže jeho cieľom je sa čo najviac vyhnúť detekcii.
Príklady bezsúborového malvéru
Známym príkladom využitia bezsúborového malvéru bola kampaň malvéru Astaroth (detegovaného spoločnosťou ESET pod názvom Guildma), v rámci ktorej sa bezsúborová metóda (vloženie kódu do procesov) využívala na prevádzku infostealera, pôvodne doručeného prostredníctvom škodlivého e‑mailového odkazu. Pri interakcii malvér využíval legitímne nástroje systému Windows, ako napríklad BITSAdmin, atribút súboru Alternate Data Streams a nástroj prehliadača Internet Explorer (ExtExport.exe) na obchádzanie obrany (prostredníctvom tzv. side‑loadingu knižnice DLL).
V podstate využíval legitímne systémové procesy a nástroje na spustenie svojho kódu, ktorý bolo možné detegovať až po spustení v pamäti (detegované spoločnosťou ESET ako Win32/Spy.Guildma).
Podobne aj rodina malvéru Kovter, ktorú výskumníci spoločnosti ESET prvýkrát odhalili v roku 2014, ukrývala svoj škodlivý kód zašifrovaný v databáze Registry systému Windows, čo sa považuje za bezsúborové pretrvávanie malvéru. Takisto malvér GreyEnergy bol navrhnutý tak, aby niektoré z jeho modulov bežali len v pamäti, čo bránilo detekcii.
Takéto techniky malvéru spôsobujú problémy jednoduchému bezpečnostnému softvéru na ochranu koncových zariadení, ktorý kontroluje iba súbory v systéme a nedokáže kontrolovať procesy ani pamäť. To však neznamená, že ich nemožno odhaliť.
Ochrana pred bezsúborovými hrozbami
Viacvrstvové riešenie ESET Endpoint Security obsahuje modul pokročilej kontroly pamäte, ktorý spolu s našou funkciou Exploit Blocker chráni pred malvérom navrhnutým tak, aby sa vyhýbal detekcii. Okrem toho sa v rámci produktu používajú rôzne formy pokročilého strojového učenia na zaistenie čo najlepšej miery detekcie.
Iba kontrola pamäte môže úspešne odhaliť aktívne bezsúborové útoky v pamäti, ktoré nemajú trvalé komponenty v súborovom systéme, ako to bolo v prípade malvéru Astaroth (Guildma), ktorý zneužíval súbor nástrojov systému Windows.
Okrem toho systém HIPS spoločnosti ESET a jeho modul hĺbkovej kontroly správania používajú preddefinované pravidlá na vyhľadávanie a monitorovanie podozrivého správania súvisiaceho so spustenými procesmi, súbormi a kľúčmi databázy Registry, pričom sa zameriavajú na metódy, ktoré často používa bezsúborový malvér na zamaskovanie svojich aktivít. Preto je pre rodiny malvéru, ako je Kovter, ťažké ukryť sa pred bezpečnostným riešením ESET Endpoint Security v databáze Registry systému Windows, keďže technológia kontroly pamäte vyhľadáva aj šifrované hrozby.
Ako sa vyhnúť problémom?
V súvislosti s bezpečnostnými riešeniami zameranými na ochranu používateľov pred pokročilými hrozbami, ako je napríklad bezsúborový malvér, je však potrebné povedať jednu vec: nikdy neklikajte na škodlivé odkazy alebo prílohy v podozrivých e‑mailoch, aj keď sú od niekoho, koho poznáte a komu dôverujete.
Najprv prostredníctvom iného komunikačného média (napr. textovej správy, telefonicky alebo osobne v prípade, že ste správu dostali e‑mailom) kontaktujte zdanlivého odosielateľa a overte, či správu naozaj poslal on, ako aj jeho zámer. Aj keď sa to môže zdať prehnané, techniky sociálneho inžinierstva sú čoraz komplexnejšie a útočníci dokážu pomerne ľahko oklamať každého.
Najjednoduchšou cestou ku kompromitácii je, ako vždy, zneužitie ľudského faktora. Preto vyskúšajte naše bezplatné školenie kybernetickej bezpečnosti pre zamestnancov a naučte sa, ako za každých okolností zostať v bezpečí.