Microsoft ziet toename van aanvallen met bestandsloze malware
Er is een toename van aanvallen met bestandsloze malware, malware die alleen in het geheugen van de computer actief is en geen bestand op de harde schijf wegschrijft, zo stelt Microsoft. Doordat de malware alleen in het geheugen zit is die lastiger te detecteren voor anti-virussoftware.
"Anti-virusoplossingen zijn zeer effectief geworden in het detecteren van kwaadaardige uitvoerbare bestanden. Real-timebescherming biedt inzicht in elk nieuw bestand dat op de harde schijf verschijnt. Bestandsactiviteiten laten een bewijsspoor na dat kan worden gevolgd tijdens forensisch onderzoek. Daarom zien we een toename van aanvallen met malware die van bestandsloze technieken gebruikmaakt", zegt Microsofts Andrea Lelli.
Bestandsloze malware wordt vanuit de context van een legitiem proces geladen, zonder dat er een uitvoerbaar bestand op de harde schijf wordt weggeschreven. Dit verschilt van traditionele malware, waar het initieel uitvoeren van de lading altijd een uitvoerbaar bestand of dll-bestand vereist. Het voordeel van een bestandsloze aanval is dat een aanvaller niet van fysieke bestanden op de schijf afhankelijk is en zo langer onopgemerkt kan blijven.
Werd dit soort malware eerst alleen bij zeer gerichte en geraffineerde aanvallen ingezet, tegenwoordig komt het ook steeds vaker bij normale malware, aldus Lelli. Ze merkt op dat bestandsloze malware eigenlijk in drie categorieën te verdelen valt. Zo is er de malware die volledig bestandsloos is en niets naar de harde schijf wegschrijft. Dan is er de categorie die geen bestanden wegschrijft, maar wel bestanden op het systeem indirect gebruikt. Als laatste is er bestandsloze malware die alleen op het systeem kan overleven door van al aanwezige bestanden gebruik te maken.
Net als bij traditionele malware moet de code van bestandsloze malware eerst nog op het systeem zien te komen. Dit gebeurt via traditionele aanvalsvectoren, zoals een e-mailbijlage met een kwaadaardig macro-document of het gebruik van een beveiligingslek in bijvoorbeeld Microsoft Office, Adobe Flash Player of Internet Explorer, maar ook via aanvallen op hardware. Gezien de voordelen voor een aanvaller is bestandsloze malware dan ook de volgende ontwikkeling op het gebied van aanvalstechnieken, aldus Microsoft.
Het zal dus iets als een document zijn dat standaard geladen wordt in Office, Browser oid, code in het register is ook mogelijk. Die bestanden worden normaal door de virusscanner genegeerd bij een systeem scan. Vereist een iets slimmere benadering van je scan, ook even alle programma's bekijken wat die meenemen in het opstarten.
Gevolg zal wel een tragere pc zijn.
Het zal dus iets als een document zijn dat standaard geladen wordt in Office, Browser oid, code in het register is ook mogelijk. Die bestanden worden normaal door de virusscanner genegeerd bij een systeem scan. Vereist een iets slimmere benadering van je scan, ook even alle programma's bekijken wat die meenemen in het opstarten.
Gevolg zal wel een tragere pc zijn.
Wat als je code execution hebt en je streamt een dll rechtstreeks naar een process? Want dat heb ik al eens gedaan.
Als je een script hebt, wat code direct download van het Internet, dan hoeven er geen lokale bestanden aanwezig te zijn waarop de virusscanner iets kan reageren.
Op het script zelf natuurlijk wel. Maar dat is meestal gewone standaard code, wat niet direct kwaadaardige code is of hoeft te zijn.
Dit maakt het erg lastig om te detecteren.
Ik vond het ook een vreemde titel. Het woordenboek geeft als definitie van "bestand"
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
En hoe noemt een weldenkend mens dit 'object'?
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Heeft al wat ongeziene narigheid binnenhalen op m'n laptoppie gescheeld.
Het is een der veiligse security benaderingen via het beproefde concept van whitelisten met een paar beperkingen overigens,
maar ook zeer geschikt voor de ouderen onder ons (zoals ik in de leeftijd der sterken).
OSArmor & voodooshield gaat ook goed samen met je residente standalone av van je keuze.
anoniem (oud in jaren, maar jong van digitale geest -
alhoewel wat maakt het uit,
de duvel is pas oud en z'n ouwe moer nog ouder)
Ik vond het ook een vreemde titel. Het woordenboek geeft als definitie van "bestand"
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Normaal reageer je een stuk logischer .
De term 'bestand' (cq : 'file' ) is in de IT toch echt wel heel sterk gekoppeld aan iets dat (ook) op disk staat.
Uitvoerbare code in het geheugen heet meestal een proces (of een thread, of een task of zo ).
Dat dit type malware opkomt is precies om deze reden: _file_ scanners scannen disken (of hangen aan de API die files schrijft) .
Data/code die _alleen maar_ in geheugen leeft heeft wat extra omschrijving nodig. Zelf een term als 'memcache' is dan dubieus, omdat 'cache' impliceert dat de bron nog elders staat , en de gecachte versie alleen maar de snel toegankelijke kopie is.
'bestandsloze executable' is best een goede term om het begrip 'code die geen file op disk heeft' aan te duiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
