حملات Fileless
در حال حاضر تغییرات قابل توجهی در متدولوژی نرم افزار های مخرب در حال اعمال می باشد و این موضوع را نمی توان نادیده گرفت. چند سال پیش هدف مهاجمان شامل دو بخش می شد: قدم اول جلوگیری از شناسایی و قدم دوم ایجاد سود. اما اخیرا مهاجمان واقعیت مهمی را دریافتند که هرچه نقطه پایانی آلوده را بیشتر حفظ کنند، سود آن ها بیشتر خواهد بود.
با وارد شدن بد افزار های Fileless به این زمینه، یک رویکرد جدید برای حملات سایبری ایجاد شد که به مهاجمان اجازه می دهد از شناسایی و ردیابی های روش های سنتی فرار کنند و به آن ها یک قابلیت مهم در برابر دفاع از امنیت سازمانی می دهد.این حملات ثابت کرده اند که در برابر کسب و کار، کار آمد هستند زیرا اکثر راه حل های امنیتی قدیمی شرکت برای شناسایی بد فازار های مبتنی بر فایل که بر روی دیسک قرار دارند طراحی شده اند ،نه در حافظه.
SMBs ها (Small to midsize businesses) نیز آسیب پذیر شده اند زیرا برخی از آنها به اندازه کافی از امنیت و متخصصان فناوری اطلاعات برای درک بهتر و محافظت در برابر این تهدیدات برخودار نیستند.
تحقیقات موسسه Ponemon نشان می دهد که حملات Fileless حدود 35 درصد از کل حملات را در سال 2018 تشکیل داده اند و تقریبا 10 برابر بیشتر از حملات File-Based بوده اند.تحقیقات دیگر نشان دهنده افزایش این نوع حملات ، همچنین افزایش تهدیدات مخرب از جمله TrickBot ، Emotet ، SamSam ، Sorebrect و سوء استفاده از PowerShell مایکروسافت است.
توضیحات زیر مروری بر چهار نوع از خطرناک ترین بد افزارهاست که بر کسب و کار های مختلف در سراسر جهان تاثیر می گذارند و در سال 2019 شاهد افزایش آن ها می باشیم.
Emotet And Trickbot
تروجان های بانکی Emotet and Trickbot بخشی از موج های جدید تروجان های نسل بعدی می باشند که ایمیل ها را با استفاده از اسناد مخرب توزیع می کنند تا حملات را شروع کنند. این حملات بیشتر در ایالات متحده آمریکا فعال هستند و تکزاس بزرگ ترین هدف آن هاست. اخیرا در فیلیپین ، انگلیس و کانادا نیز وجود داشته، در حالی که TrickBot در استرالیا فعالیت می کند.
انتظار می رود که این حملات را در سال 2019 بیشتر ببینیم کههر جزء شبکه را برای جلوگیری از شناسایی، تغییر می دهد.
Sorebrect
Sorebrect تهدیدی جدید و کاملا Fileless است که به سهام شبکه حمله می کند. شناسایی این نو حملات در شبکه هایی که از راه حل های امنیتی مشترک و قدیمی که حافظه را مدنظر قرار می دهند و از شناسایی رفتار ها استفاده می کنند، امکان پذیر نیست زیرا Ransomware های سنتی را با تاکتیک های Fileless ترکیب می کنند.
در حالی که Sorebrect تهدید مهمی در آمریکا و بسیاری از اروپا محسوب می شود، دریافتیم که کسب و کار های APAC به ویژه در اندونزی ، تایلند و فیلیپین سهم خود را از این حملات ویرانگر نشان داده اند. بسیاری از کسب و کار ها از مرورگر ها و سیستم عامل های قدیمی لستفاده می کنند و آن ها را هدفی برای حملات قرار می دهند. خوشبختانه این تهدیدات بیشتر از مناطق ایلات متحده آمریکا گسترش نیافته اند. اما ما از شرکت ها درخواست کردیم که در سال 2019 این حملات را نیز در نظر بگیرند.
SamSam
بسیاری از بدافزار ها به صورت خودمختار عمل می کنند اما تعداد انگشت شماری از آن ها توسط مهاجمان به صورت دستی راه اندازی می شوند که این امر ابزار های آن ها را بسیار قدرتمند تر می کند. معمولا تهدیدات دستی کنترل شده به سختی شناسایی می شوند زیرا آن ها از الگوی خاصی پیروی نمی کنند یا signature ها حملات اتوماتیک را کنار گذاشته اند. SamSam یکی از تهدادت رایج است که با نفوذ به یک شبکه، نرم افزار ها را به صورت دستی راه اندازی می کند، این رویکرد باعث می شود که بد افزار به سختی شناسایی و رفع شود به این دلیل که مهاجمان، نرم افزار های امنیتی را نیز به صورت دستی غیر فعال می کنند.
تحقیقات Symantec نشان دهده این است که مهاجمان SamSam، 67 درصد از مناطق مختلف را هدف قرار داده اند که بیشتر در ایالات متحده آمریکا است.این حملات بسیار پرهزینه اند و اثر پایداری را به همراه دارند.
Microsoft PowerShell
اخیرا مهاجمان این نوع تحدید ، متد جدیدی را جهت بهره برداری از Powershell برای دانلود و اجرای بد افزار کشف کرده اند.از این رو مهاجمان می توانند مستقیما به حافظه کامپیوتر حمله کنند. این روش به مهاجمان این امکان را می دهند که توسط متخصصان امنیتی شناسایی نشوند.
محافظت های لازم برای جلوگیری و مقابله با حملات Fileless
وقت آن است که نگاهی کلی به ابزار های امنیتی فعلی خود داشته باشید و هر شکاف را ارزیابی کنید. شما باید نیاز های خاص سازمان خود را با توجه به چیز هایی مانند امنیت پایه ، فیروال ، ایمیل ، IAM و SIEM بررسی کنید.
• اطمینان حاصل کنید که بروز رسانی های حیاتی برای ابزار های امنیتی شما وجود داشته باشد و شما از آن ها به موقع استفاده کنید.
• در آموزش منظم ومداوم کارکنان خود برای کمک به شناسایی آخرین تهدیدات امنیتی از جمله فیشینگ ایمیل و سایر تهدیدات سرمایه گذاری کنید. علاوه بر این اطمینان حاصل کنید که مسئولان امنیتی شما به خوبی به وظیفه خود عمل کنند.
• پروتکلی برای شناسایی و پاسخ به حملات و تمرین ” Cyber fire drills” ایجاد کنید. کسب و کار ها به طرح و برنامه ای نیاز دارند که توسط سهام داران در زمینه امینت سایبری درک شده و توسط مسئولان تمرین و انجام شده اند. این برنامه باید چگونگی تشخیص حمله ، چه اطلاعاتی دزدیه شده یا خراب شده و چگونگی ایمن نگه داشتن سیستم های مجاور را مشخص کند تا این حملات نتوانند گسترش یابند.
مهاجمان همیشه نقطه ای را هدف قرار می دهند که ما عموما پیگیر آن نیستیم در اصطلاح هنگامی که در را میبندیم از پنجره وارد می شوند.