To top

2018. A kártevő nélküli támadások éve

jan 8

2018. A kártevő nélküli támadások éve

Mi történt a kiberbűnözéssel?

A 2017-es esztendő egyértelműen a zsarolóvírusok éve volt: a WannaCry, a Petya és az ezeket követő számtalan variáns alapjaiban rengették meg hét kontinens felhasználóinak hamis biztonságérzetét. A ransomware keményen lesújtott a kis-, közép- és nagyvállalati szektorra, nem kímélte az állami szférát és komoly váltságdíjakat zsarolt ki vagy jelentős pusztítást végzett a magánfelhasználók rendszerein is. Milliók ébredtek tudatára: a kibertámadásoktól immár senki sincs biztonságban.

A 2018-as évben a zsarolóvírusok támadásai továbbra is fenyegetnek, a hekkerek nem hagyják abba az újabb és újabb ilyen programok fejlesztését, hiszen a ransomware-ekkel való kereskedelem (RaaS) százmillió dolláros üzlet. Ezekre az illegális kiberfegyverekre kereslet mindaddig lesz, amíg a felhasználók hajlandók váltságdíjakat fizetni, vagy a korszerű védelmes nyújtó védelmi eszközök annyira el nem terjednek, hogy többé nem lesz támadási felület. Ez azonban jövőre még biztosan nem várható.

A 2017- es események után a vállalatok komolyabb beruházásokba kezdtek, hogy megvédjék érzékeny és értékes adataikat a kiberbűnözőktől. A hekkerek erre nemcsak még jobb vírusokat, még hatékonyabb rosszindulatú kódokat, még jobban elrejtőző kártevőket kezdtek írni.

 

A kiberbűnözők a hálózatokra egyre inkább úgy igyekeznek bejutni, hogy különféle kártevő nélküli módszereket használva megszerzik az adminisztrátor kulcsait, jelszavait, érzékeny adatait, majd ezekkel megkerülik a biztonsági rendszert. 2017 utolsó hónapjaiban a hálózati behatolás céljával vezetett támadások 49%-ában már kártevő nélküli betörések történtek. 2018-ban ez csak rosszabbodni fog.

Hogyan támadhatnak a hekkerek kártevő nélkül?

A kártevő nélküli támadásnak (malwareless attack) számos formája lehet, az elv viszont mindig ugyanaz: valamilyen megszokott folyamat, például a rendszeradminisztrátor által naponta használt szoftver fájljaiban elbújtatni egy olyan kódot, aminek segítségével megnyílik az út a rendszer megfertőzéséhez, ahonnan aztán csak egy lépés a hálózat teljes letámadása.

Jó példa a Process Doppelgänging elnevezésű fenyegetés (a blogon mi is írtunk róla), ami működési elvét tekintve klasszikus kártevő nélküli támadás, egy kis csavarral: egy kártevőt nem tartalmazó dropper kódot juttat a számítógépre adathalász email segítségével, amely aztán letölti magát a kártékony kódot, ami elindít egy olyan folyamatot, mely során egy valamilyen megbízható állományt a kártékony kóddal felülír. A már fertőzött kód a memóriába kerül, az eredeti fájl módosításai pedig nyom nélkül visszavonódnak. A merevlemezen így a kártevő nem lesz megtalálható, de memóriában már fut, ahonnan aztán más folyamatokba is beilleszti a saját kódját, így terjed el a rendszeren és a hálózaton.

Hogyan lehet mégis védekezni?

A kártevő nélküli támadások ellen éppen azért nehéz védekezni, mert a hagyományos vírusvédelmek saját működési elvükből eredően képtelenek kiszűrni azokat. Mivel a támadás nem tartalmaz rosszindulatú kódot, a vírusdefiníciós adatbázisok alapján nem akad fenn a hagyományos védelmi eszköz szűrőjén.

Az ilyen támadások ellen olyan védelemre van szükség, amely a folyamatokat viselkedésük alapján elemzi és besorolja azokat megbízható vagy megbízhatatlanként. Ez a viselkedésalapú védelem biztosítja azt, hogy a fájlnélküli támadás már azelőtt meghiúsuljon, hogy a kártékony kódot valamilyen trükkös módszerrel, például dropper segítségével egyáltalán a rendszerre telepíthetnék a kiberbűnözők. Az Panda EDR-megoldása az Adaptive Defense, amely képes arra, hogy a futó folyamatok és hálózati események 100%-át ellenőrizze és viselkedés alapján osztályozza, a megbízhatatlanokat pedig még azelőtt megállítsa, hogy bármilyen tevékenységet végeznének a számítógépen vagy a hálózaton. Ez biztosítja a legkorszerűbb és leghatékonyabb védekezést a kártevő nélküli támadások és a zsarolóvírusok ellen is.

Blog
No Comments

Sorry, the comment form is closed at this time.