Fileless (bezsouborový) je označení škodlivého programu, který po sobě nezanechává žádné stopy. Po celou dobu plní svůj úkol, tak aby se nic neuložilo na disk. Operuje většinou čistě z paměti, popřípadě nějakého externího úložiště. Jakmile svůj úkol splní, tak po sobě zahladí všechny stopy a vymaže se.

Slabiny a výhody Fileless

Možná se vám zdá tento model fungování jako nevýhoda. Vždyť stačí počítač vypnout a tím se jej zbavíte. Na druhou stranu fileless nemá za úkol být v počítači déle než je to nutné. Jeho úkolem je většinou propašovat do systému malware a nepozorovaně zmizet. Navíc dnešní trend už není přístroje vypínat, ale uspat anebo dát hybernovat, abychom mohli pracovat, co nejdříve.

Naopak tento model velice znesnadňuje detekci fileless pro staré antiviry, které sledují, co se děje na pevném disku. Také odborníci na bezpečnost jej nedokáží zachytit zas tak jednoduše, protože po sobě nezanechává průběžně stopy. Nová verze tak může před nimi získat náskok, díky kterému se infikuje velké množství strojů.

Jak Fileless funguje

Nejčastěji se dostanou do systému přes malvertisign anebo v příloze emailu (PowerSniff). Uloží se do paměti. Jakmile si osahají systém zkusí kontaktovat Command & Control server. Ten jim předá instrukce co mají dělat dále. Nejčastěji otevřít díru v systému a nahrát malware.

Jsou tu ale i zajímavé výjimky. Například USB Thief přežívá jako plugin v přítomných úložištích. Mezitím sbírá informace o napadeném systému a všechno si zapisuje na USB disk.

Poweliks je skrytý v registrech a spouští JavaScript. Používá PowerShell pro spuštění zakódovaných skriptů. Jeho úkolem je sběr dat, ale umí na požádání propašovat do systému i malware.

PhaseBot funguje podobně. Do registrů uloží zakódované skripty, které spouští přes PowerShell. Na rozdíl od Poweliks však umí provádět i rozkazy, které obdrží z Command & Control serveru. Promění tedy váš počítač v zombie a zařadí do botnet.

Závěr

Fileless jsou novým trendem. Určitě uznáte, že výše uvedené příklady jsou navržené opravdu chytře a originálně.

• https://blog.malwarebytes.org/security-threat/2016/03/fileless-infections-an-overview/

Tento článek byl byl přečten 2886 krát