Бесфайловые атаки представляют собой вредоносное ПО, код которого достаточно тяжело обнаружить на компьютере. В последнее время авторы подобных программ все больше и больше их совершенствуют. Таким образом вирусы могут месяцами находиться на устройствах пользователей и оставаться незаметными. Всё это чревато неприятными последствиями для владельцев компьютеров.
Общее понятие
Бесфайловая атака — вирусной воздействие на устройство, при котором троянские файлы сохраняются в памяти устройства, но не на диске. Создатели бесфайловых вирусов применяют все более ухищренные методы получения доступа к чужим компьютерам и копирования данных незаметным способом. Поэтому некоторые пользователи не замечают опасности на протяжении длительного периода, в то время как бесфайловые вирусы предоставляют злоумышленникам доступ к чужой конфиденциальной информации.
Важно! К бесфайловым вирусам можно отнести программы для майнинга, троянные ПО, бот-сети.
Согласно последней статистике, уровень сетевых угроз за последние несколько лет значительно вырос. В 2019 году хакеры применяли этот метод получения доступа к чужим данным по всему миру. Самое опасное то, что эти вирусы можно не обнаружить стандартными программами безопасности для ПК. Всё это приводит к тому, что бесфайловые ПО могут месяцами находиться в памяти устройств и представлять для них большую опасность
Виды атак
Бесфайловые атаки делят на несколько видов: обычные скрипты, опасные документы, шаблоны документов, LOLBins.
Атаки с использованием стандартных скриптов
В этом случае для получения доступа к чужому устройству хакеры используют встроенные в операционную систему концепцию осуществления скрипта. Например, Microsoft Office, Microsoft Html Application Host. Эти троянские программы не фиксируются в файловой системе компьютера. Скриптовые атаки распределяют память устройства, выбирают программные интерфейсы, загружают троянский софт в систему.
Важно! Часто в ходе работы вирусной программы запускаются другие опасные скрипты. Всё эти вредоносные ПО работают вне поля видимости многих программ безопасности, из-за чего их обнаружение может затрудниться.
Javascript
В 2019 году компания SideWinder совершила бесфайловую атаку на Китай. Для получения информации на устройствах пользователей хакеры задействовали ресурсы Javascript для внедрения опасных файлов Dll. В этом случае авторы вредоносного ПО поначалу воспользовались недостатками удалённого выполнения макроса Office для того, чтобы выполнить сценарий Javascript, а далее загрузили вирус на ПК за счёт памяти скрипта.
Vbscript и powershell
Это вредоносные программы удалённого доступа, имеющие свойство управлять чужими конфиденциальными данными без ведома владельцев. Это одни из самых опасных вредоносных программ, которые не оставляют файлового следа в системе ПК и могут предоставлять доступ к персональным данным владельцев компьютеров для выполнения личных целей злоумышленников.
Применение вирусных документов
При использовании вирусных документов хакеры часто доставляют опасные файлы на чужие ПК под видом вложений почты. Всё это делается для выполнения макрос-скрипт в документах.
Документы Microsoft Word имеют достаточно Расширенный Функционал, что даёт хакерам возможности для распространения вирусов на чужие компьютеры. Создатели троянского софта чаще всего выявляют уязвимости для того, чтобы выполнить команды шелл-кода. Иногда шелл-код используется как трамплин для последующего вирусного воздействия.
Документы Microsoft Word поддерживают макросы VBA. Они также дают хакерам дополнительную возможность получить доступ к чужим ПК. В этом случае загрузка вирусного кода на устройства пользователей происходит непосредственно при использовании офисных макросов.
Важно! Ещё один распространённый тип внедрения троянского софта заключается в использовании опасных шаблонов запросов для документов Word.
Шаблоны Word
В первой половине 2020 года компания Гамаредон применила технологию внедрения словарного шаблона для распространения троянского софта в европейских странах. Для внедрения вирусного ПО на чужие устройства использовался принцип добавления словесного шаблона в почтовые письма, связанные с оповещением о Covid-19. В этом случае во время открытия файла пользователь активировал процесс загрузки шаблона для последующего открытия документа, который содержит опасный код макроса.
LOLBins
Это концепция, предложенная Филиппом Го, суть которой заключается в применении двоичных файлов Windows. Например, certutil.exe. В этом случае используются файлы типа .exe. Один из удачных примеров — вирус Astaroth. Это вредоносное ПО, которое ворует персональные данные с чужих компьютеров. В ходе работы программы происходят бесфайловые атаки с использованием LOLBins.
Схема получения доступа к чужим ПК выглядит следующим образом:
- Программа отправляет на устройство пользователя письмо, в котором содержится вирусная ссылка.
- При открытии ссылки пользователь получает доступ к zip-архиву, в котором находится файл LNK.
- Если открыть его, запускается сценарий bat.
- Он, в свою очередь, приводит к открытию wmic.exe для загрузки файла XLS с опасным скриптом.
- Далее за счёт Javascript на компьютер загружается файл Bitsadmin.exe.
- Затем система использует файлы Certutil.exe и Regsvr32.exe. Первый необходим для расшифровки, второй — регистрации библиотек.
Важно! Программа не оставляет файлового следа в системе компьютера, из-за чего обнаружить её достаточно сложно.
Пример бесфайловых атак за счёт использования вредоносного ПО
Один из самых известных случаев бесфайловой атаки случился в 2014 году. Компания Target подверглась взлому хакеров. Как выяснилось позже, злоумышленники получили доступ к конфиденциальной информации очень лёгким способом. Они всего лишь раскрыли и скопировали данные для получения доступа к сети одного из сотрудников компании. Хищение персональных данных в этом случае ещё упростилось из-за того, что компания Target не применяла виртуальные локальные сети и иную сегментацию.
В 2016 году хакеры совершили взлом Национального комитета демократической партии США. В ходе анализа было выявлено, что злоумышленники применили бесфайловую атаку за счёт использования таких инструментов, как Powershell и Windows Management Instrumentation. Они помогли хакерам без проблем получить доступ к конфиденциальными данным Национального комитета.
Защита компьютера от бесфайловых атак при помощи 360 Total Security
360 Total Security — усовершенствованный антивирус, который позволяет защитить персональные данные пользователя за счёт применения открытых, проактивных и интеллектуальных методов.
В обновлённой версии программы используются инновационные технологии, которые помогают защитить компьютер от действия опасного вирусного софта:
- Мониторинг поведения.
- Устранение уязвимостей.
- Использование облачных сервисов.
- Сканирование памяти.
- Диагностика системы.
- Обнаружение вредоносных файлов.
Важно! Программа 360 Total Security обладает расширенным функционалом и мощными инструментами для блокировки непроверенного и потенциально угрожающего системе ПО. Она помогает обнаружить вирусные программы на компьютере, даже те, которые не оставляют файлового следа в системе, и полностью избавиться от них.
360 Total Security полностью защищает ПК от вирусного воздействия за счёт использования следующих инструментов:
- Защита при выходе в сеть. Антивирус помогает максимально обезопасить компьютер при использовании интернет-браузеров. 360 Total Security защищает устройство от посещения вредоносных сайтов, скачивания вирусных программ и совершения опасных онлайн-покупок. Программа помогает блокировать вирусные и потенциально опасные ресурсы и скрыть всплывающие уведомления, которые посылают подозрительные сайты.
- Системные настройки. Программа помогает сканировать систему на предмет вирусов, в том числе и скрытых, блокировать потенциально опасные ПО, настроить регулировку типов файлов, провести проверку на наличие вредоносных ПО в системе и на диске. 360 Total Security позволяет быстро очистить ПК от временных файлов. При этом пользователи могут подключить опцию автоочистки.
- Чёрные и белые списки. Программа 360 Total Security позволяет использовать белые и чёрные списки для распределения системных файлов. Например, файлы из белого списка не будут подвергаться сканированию и диагностике. Данные из чёрного списка, наоборот, будут детально сканироваться на предмет вирусов и иметь весьма ограниченные возможности.
- Полная и выборочная проверка. Программа позволяет провести как полную диагностику системы, так и совершить выборочную проверку файлов
- Ускорение системы. Антивирус 360 Total Security удаляет потенциально опасные файлы с диска, тем самым ускоряет систему и нормализует работу компьютера.
Антивирус 360 Total Security работает в двух режимах: тестовый и Premium. В обоих случаях пользователю удастся защитить ПК от вредоносных вирусов и файлов, а также от бесфайловых атак и потери конфиденциальных данных. Однако Premium-версия отличается более расширенным функционалом и возможностями.
Важно! Premium даёт возможность применять дополнительные инструменты очистки и поиска скрытых вирусных файлов, быстро обновлять драйвера, в ускоренном режиме провести диагностику системы.
Программа очень проста в использовании. Для того чтобы защитить свой ПК от бесфайловых атак, необходимо скачать официальную версию 360 Total Security, открыть антивирус и зайти в настройки. Здесь пользователь может выбрать параметры защиты системы, добавить определённые файлы в чёрный и белый список, поменять параметры конфиденциальности, подключить опцию автоочистки временных файлов.
Заключение
Бесфайловые атаки — один из популярных способов вредоносного воздействия на ПК, подразумевающий использование программ, которые не оставляют файлового следа в системе. Обнаружение таких вирусов весьма затрудняется, поэтому пользователи рискуют предоставить хакерам полный доступ к личным файлам. Защитить компьютер от вредоносных ПО можно при помощи антивируса 360 Total Security.