Microsoft ziet toename van aanvallen met bestandsloze malware
Er is een toename van aanvallen met bestandsloze malware, malware die alleen in het geheugen van de computer actief is en geen bestand op de harde schijf wegschrijft, zo stelt Microsoft. Doordat de malware alleen in het geheugen zit is die lastiger te detecteren voor anti-virussoftware.
"Anti-virusoplossingen zijn zeer effectief geworden in het detecteren van kwaadaardige uitvoerbare bestanden. Real-timebescherming biedt inzicht in elk nieuw bestand dat op de harde schijf verschijnt. Bestandsactiviteiten laten een bewijsspoor na dat kan worden gevolgd tijdens forensisch onderzoek. Daarom zien we een toename van aanvallen met malware die van bestandsloze technieken gebruikmaakt", zegt Microsofts Andrea Lelli.
Bestandsloze malware wordt vanuit de context van een legitiem proces geladen, zonder dat er een uitvoerbaar bestand op de harde schijf wordt weggeschreven. Dit verschilt van traditionele malware, waar het initieel uitvoeren van de lading altijd een uitvoerbaar bestand of dll-bestand vereist. Het voordeel van een bestandsloze aanval is dat een aanvaller niet van fysieke bestanden op de schijf afhankelijk is en zo langer onopgemerkt kan blijven.
Werd dit soort malware eerst alleen bij zeer gerichte en geraffineerde aanvallen ingezet, tegenwoordig komt het ook steeds vaker bij normale malware, aldus Lelli. Ze merkt op dat bestandsloze malware eigenlijk in drie categorieën te verdelen valt. Zo is er de malware die volledig bestandsloos is en niets naar de harde schijf wegschrijft. Dan is er de categorie die geen bestanden wegschrijft, maar wel bestanden op het systeem indirect gebruikt. Als laatste is er bestandsloze malware die alleen op het systeem kan overleven door van al aanwezige bestanden gebruik te maken.
Net als bij traditionele malware moet de code van bestandsloze malware eerst nog op het systeem zien te komen. Dit gebeurt via traditionele aanvalsvectoren, zoals een e-mailbijlage met een kwaadaardig macro-document of het gebruik van een beveiligingslek in bijvoorbeeld Microsoft Office, Adobe Flash Player of Internet Explorer, maar ook via aanvallen op hardware. Gezien de voordelen voor een aanvaller is bestandsloze malware dan ook de volgende ontwikkeling op het gebied van aanvalstechnieken, aldus Microsoft.
Het zal dus iets als een document zijn dat standaard geladen wordt in Office, Browser oid, code in het register is ook mogelijk. Die bestanden worden normaal door de virusscanner genegeerd bij een systeem scan. Vereist een iets slimmere benadering van je scan, ook even alle programma's bekijken wat die meenemen in het opstarten.
Gevolg zal wel een tragere pc zijn.
Het zal dus iets als een document zijn dat standaard geladen wordt in Office, Browser oid, code in het register is ook mogelijk. Die bestanden worden normaal door de virusscanner genegeerd bij een systeem scan. Vereist een iets slimmere benadering van je scan, ook even alle programma's bekijken wat die meenemen in het opstarten.
Gevolg zal wel een tragere pc zijn.
Wat als je code execution hebt en je streamt een dll rechtstreeks naar een process? Want dat heb ik al eens gedaan.
Als je een script hebt, wat code direct download van het Internet, dan hoeven er geen lokale bestanden aanwezig te zijn waarop de virusscanner iets kan reageren.
Op het script zelf natuurlijk wel. Maar dat is meestal gewone standaard code, wat niet direct kwaadaardige code is of hoeft te zijn.
Dit maakt het erg lastig om te detecteren.
Ik vond het ook een vreemde titel. Het woordenboek geeft als definitie van "bestand"
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
En hoe noemt een weldenkend mens dit 'object'?
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Heeft al wat ongeziene narigheid binnenhalen op m'n laptoppie gescheeld.
Het is een der veiligse security benaderingen via het beproefde concept van whitelisten met een paar beperkingen overigens,
maar ook zeer geschikt voor de ouderen onder ons (zoals ik in de leeftijd der sterken).
OSArmor & voodooshield gaat ook goed samen met je residente standalone av van je keuze.
anoniem (oud in jaren, maar jong van digitale geest -
alhoewel wat maakt het uit,
de duvel is pas oud en z'n ouwe moer nog ouder)
Ik vond het ook een vreemde titel. Het woordenboek geeft als definitie van "bestand"
Er staat dus nergens dat een bestand iets is dat op een schijf of ander media staat. Ook uitvoerbare code die ergens in het geheugen van een PC staan, is een bestand.
Normaal reageer je een stuk logischer .
De term 'bestand' (cq : 'file' ) is in de IT toch echt wel heel sterk gekoppeld aan iets dat (ook) op disk staat.
Uitvoerbare code in het geheugen heet meestal een proces (of een thread, of een task of zo ).
Dat dit type malware opkomt is precies om deze reden: _file_ scanners scannen disken (of hangen aan de API die files schrijft) .
Data/code die _alleen maar_ in geheugen leeft heeft wat extra omschrijving nodig. Zelf een term als 'memcache' is dan dubieus, omdat 'cache' impliceert dat de bron nog elders staat , en de gecachte versie alleen maar de snel toegankelijke kopie is.
'bestandsloze executable' is best een goede term om het begrip 'code die geen file op disk heeft' aan te duiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.