Ukoliko ste mislili da je slučajna instalacija malvera na računar loša stvar, sačekajte da se upoznate sa fajl-manje štetnim softverom, skrivenim uljezom koji ne ostavlja trag na vašem hard disku.
Tradicionalni malver se lakše uklanja kada se otkrije, jer ima vidljive fajlove na disku za skladištenje, koje antivirus može skenirati i eliminisati. Fajl-manje štetni softver funkcioniše isključivo iz memorije računara (RAM), što ga čini mnogo težim za detekciju.
U ovom tekstu, objasniću vam sve što je potrebno da znate o fajl-manje štetnom softveru i kako da se zaštitite od njega.
Šta je fajl-manje štetni softver?
Fajl-manje štetni softver predstavlja zlonamerni kod koji se izvršava direktno iz sistemske memorije. On najčešće traži ranjivosti u legitimnim aplikacijama i potom ih kompromituje da bi se samostalno aktivirao. U retkim slučajevima, može otvoriti sopstvene zlonamerne procese za obavljanje određenih funkcija.
S obzirom da antivirusni programi obično skeniraju preuzete i instalirane datoteke/programe, fajl-manje štetni softver je mnogo teže otkriti, jer nema pridruženu datoteku. Zlonamerne funkcije koje može obavljati slične su funkcijama koje može obavljati većina drugih malvera; ključna razlika je u načinu na koji dospeva na računar.
Kako fajl-manje štetni softver inficira uređaj?
Kao i većina drugih vrsta zlonamernog softvera, fajl-manje štetni softver se najčešće širi putem zlonamernih linkova u neželjenoj elektronskoj pošti, putem kompromitovanih web lokacija ili kroz napade socijalnog inženjeringa. Međutim, način njegovog izvršavanja je drugačiji, jer traži ranjivosti u programima na računaru ili u samom operativnom sistemu.
Tipične ranjive aplikacije uključuju PowerShell, Windows Management Instrumentation (WMI), web pregledače i sve instalirane ranjive dodatke. On koristi ove ranjivosti da ubaci zlonamerni kod u legitimni program i izvrši zadatke u skladu sa svojim ciljem.
Na primer, inficirani PowerShell može izvršavati komande na administratorskom nivou radi krađe podataka ili enkripcije važnih informacija.
Izvor slike: TrendMicro
Takođe može koristiti tehniku „pražnjenja procesa“ da isprazni sadržaj legitimnog procesa, a zatim ga popuni svojim zlonamernim kodom kako bi funkcionisao pod njegovim imenom.
PowerGhost je dobar primer napada fajl-manje štetnog softvera koji je koristio WMI i PowerShell na korporativnim računarima za rudarenje kriptovaluta bez otkrivanja.
Koje su pretnje fajl-manje štetnog softvera?
Kao što sam ranije naveo, fajl-manje štetni softver može izvršavati većinu zadataka sličnih malveru koji se nalazi u skladištu računara. Sve zavisi od cilja za koji je fajl-manje štetni softver programiran i koju ranjivost koristi.
Uobičajene zlonamerne funkcije koje može obavljati uključuju krađu podataka, krađu akreditiva, enkripciju podataka, praćenje aktivnosti, beleženje pritisaka na tastaturi, kripto rudarenje, DDoS napade i promenu bezbednosnih podešavanja za dalje napade.
Da bih vam pružio bolji uvid, u nastavku navodim nekoliko ranijih velikih napada fajl-manje štetnog softvera:
PowerWare: To je bio tip ransomware-a koji je koristio PowerShell da potajno pokreće komande kako bi zaključao važne fajlove i pokušao da prikaže da su oni šifrovani. Nakon toga, tražio je plaćanje u kriptovaluti.
PowerSniff: Širio se putem bezbednosnih podešavanja Microsoft Word-a za izvršavanje makroa poslatog kao dokument. Makro je pretraživao računar i krao akreditive.
TrickBot: Iako nije u potpunosti fajl-manje štetni softver, TrickBot je učitavao svoje module u memoriju u jednoj od svojih naprednijih verzija. Osnovna namena malvera bila je krađa finansijskih akreditiva.
Netwalker Ransomware: Još jedan ransomware koji koristi fajl-manje taktike, ali njegovo šifrovanje je stvarno. Zamenjivao je legitimne Microsoft procese zlonamernim kodom kako bi se sakrio i pokrenuo naredbe.
Kako otkriti fajl-manje štetni softver?
S obzirom na to da je fajl-manje štetni softver veoma prikriven, veoma ga je teško otkriti. Ukoliko mislite da ste kliknuli na zlonamerni link i da je vaš računar zaražen, postoji nekoliko stvari koje možete uraditi kako biste proverili i preduzeli mere zaštite.
U nastavku su navedeni neki od uobičajenih znakova na koje treba obratiti pažnju:
Neobično ponašanje sistema: Fajl-manje štetni softver može dovesti do neobičnih situacija, kao što su otvaranje i zatvaranje određenih aplikacija, zamrzavanje računara, pad sistema ili ponovno pokretanje, itd.
Usporene performanse: Možete primetiti nagli pad opštih performansi sistema. Takođe može dovesti do zamrzavanja.
Neobična mrežna aktivnost: Pored sporijih mrežnih performansi, možete primetiti neobičan saobraćaj na domenima kojima niste pristupili. Uvek preporučujem GlassWire za analizu mreže.
Visoka potrošnja CPU-a od strane procesa: Otvorite Task Manager i proverite da li neki neuobičajen proces koristi previše CPU resursa. Kompromitovani proces obično koristi veliku snagu procesora čak i kada nije u aktivnoj upotrebi.
Promene u antivirusnom programu: Fajl-manje štetni softver može pokušati da onemogući vaš antivirusni softver kako bi računar učinio ranjivim na više vrsta napada malvera.
Pored ovih, trebalo bi da koristite antivirusni program koji ima ugrađene funkcije za detekciju ponašanja, kako biste otkrili fajl-manje štetni softver. Takve antivirusne aplikacije mogu otkriti neobično ponašanje u aplikacijama i procesima, da bi ustanovile da li su inficirani.
U tu svrhu, Kaspersky Antivirus je posvetio zaštitu od fajl-manje štetnog softvera alatima koji ne samo da detektuju neobično ponašanje, već i skeniraju osetljive Windows funkcije, kao što su WMI ili Windows Registry, u potrazi za zlonamernim kodom. Kaspersky takođe ima dugu istoriju otkrivanja popularnih napada fajl-manje štetnog softvera.
Šta uraditi ako se vaš uređaj zarazi?
Ukoliko mislite da je vaš računar zaražen, postoji velika verovatnoća da je već kasno. Ako je malver imao nameru da nešto ukrade, verovatno je to već uradio.
Međutim, vaša prva linija odbrane je da potpuno isključite računar i ponovo ga pokrenete. S obzirom na to da je RAM memorija nestabilna, ona se potpuno briše kada se računar isključi. Ovo će automatski ukloniti fajl-manje štetni softver, nadamo se pre nego što nanese bilo kakvu štetu.
Nažalost, većina fajl-manje štetnog softvera ima ugrađene metode da preživi ponovno pokretanje, kao što je učitavanje koda u stavku registra. Ukoliko je moguće, pokušajte da pokrenete računar u bezbednom režimu, a zatim sledite sledeće metode:
#1. Skenirajte pomoću antivirusnog programa
Ponovo će vam biti potreban antivirusni program koji ima alate za zaštitu od fajl-manje štetnog softvera. Kaspersky je i dalje moja preporuka za pronalaženje promena koje je izvršio fajl-manje štetni softver. Međutim, možete isprobati i Malwarebytes, koji ima detekciju ponašanja zasnovanu na veštačkoj inteligenciji za fajl-manje štetni softver.
#2. Koristite vraćanje sistema
Vraćanje sistema može vratiti računar na prethodno stanje u trenutku kada je pravilno funkcionisao i poništiti sve promene koje su na njemu napravljene. S obzirom da je po default-u omogućen na svim Windows računarima, trebao bi biti omogućen i na vašem računaru, osim ako ga niste sami isključili.
Samo ukucajte „Recovery“ u Windows pretragu da biste otvorili System Restore. Ovde ćete videti sve tačke vraćanja koje su trenutno sačuvane, da biste se vratili na njih. Samo izaberite onu koja je sačuvana pre infekcije malverom kako biste popravili sve promene.
#3. Resetujte računar
Ukoliko niste imali tačku vraćanja, onda resetovanje računara takođe može popraviti svu štetu uz zadržavanje lokalnih podataka. Međutim, resetovanje će izbrisati sve programe instalirane na računaru, pa proverite da u njima nema važnih sačuvanih podataka.
U podešavanjima operativnog sistema Windows idite na System > Recovery, a zatim kliknite na Reset PC. U iskačućem prozoru kliknite na Keep my files i pratite uputstva za resetovanje.
Kako se zaštititi od fajl-manje štetnog softvera?
Većina mera koje štite od običnog malvera, štite i od fajl-manje štetnog softvera. Samo se pobrinite da instalirate antivirusni program sa detekcijom ponašanja i nemojte preuzimati ili klikati na zlonamerni sadržaj.
Međutim, postoji nekoliko mera zaštite koje su važnije za zaštitu od fajl-manje štetnog softvera. Navodim ih u nastavku:
Održavajte operativni sistem i aplikacije ažuriranim
Fajl-manje štetni softver u velikoj meri zavisi od sigurnosnih propusta u aplikacijama i operativnom sistemu. Trebalo bi da se uverite da vaš OS ima najnovija sigurnosna ažuriranja i da su sve aplikacije ažurne. Mnoga od ovih ažuriranja sadrže ispravke za ranjivosti koje fajl-manje štetni softver može da iskoristi.
Budite pažljivi sa ekstenzijama pregledača
Fajl-manje štetni softver takođe može zaraziti dodatke pregledača ranjivostima. Uverite se da preuzimate samo pouzdane i renomirane ekstenzije pregledača i da ih redovno ažurirate. U slučaju infekcije, preporučuje se da ponovo instalirate ekstenzije kako biste bili sigurni da nisu glavni problem.
Pratite mrežni saobraćaj
Skoro sav fajl-manje štetni softver uspostavlja mrežne veze sa sopstvenim serverima da bi izvršavao svoj zadatak. Alat kao što je GlassWire vam može pomoći da vidite sumnjive veze, ali i da ih automatski blokirate, zahvaljujući ugrađenom zaštitnom zidu. Preporučujem vam da podesite obaveštenja u njemu, kako biste uvek bili obavešteni kada se otkrije sumnjiva veza.
Povećajte nivo sigurnosti u Kontroli korisničkog naloga (UAC)
Možete konfigurisati Windows UAC da vas uvek obaveštava kada vi ili neka aplikacija izvršite bilo kakvu promenu sistema. Ovo može učiniti stvari pomalo dosadnim zbog obaveštenja o svakoj promeni, ali može u velikoj meri poboljšati sigurnost od skrivenog malvera kao što je fajl-manje štetni softver.
Potražite UAC u Windows pretrazi i kliknite na Change User Account Control Settings. Ovde postavite sigurnosnu traku na sam vrh.
Primenite rešenje Endpoint Security
Za preduzeća, rešenje za sigurnost krajnjih tačaka može da zaštiti sve računare na mreži centralizacijom bezbednosti. Čak i ako se uređaj zarazi, vaši drugi uređaji na mreži će ostati bezbedni, a sigurnosno rešenje može pomoći da se popravi inficirani uređaj. Njihova ažuriranja su takođe u realnom vremenu, tako da se ranjivosti odmah zakrpe kada se poprave.
CrowdStrike je dobro rešenje u ovu svrhu koje nudi zaštitu zasnovanu na veštačkoj inteligenciji od sajber napada. Takođe ima namenski memorijski skener funkciju za zaštitu od fajl-manje štetnog softvera.
Završne misli 🖥🦠
Fajl-manje štetni softver spada u red najlukavijih napada malvera. Ponekad ga hakeri koriste kao deo svog većeg napada kako bi dobili početni pristup ili oslabili sistem. Iskreno, većina ovakvih napada može se lako izbeći ako obuzdamo našu radoznalost i ne klikćemo na ništa što nam se čini sumnjivim.
Takođe možete pročitati o tome kako da skenirate i uklonite zlonamerni softver sa Android i iOS telefona.