Dersom du trodde det var ille å uforvarende installere ondsinnet programvare på datamaskinen din, vil du bli overrasket over filløs skadevare. Dette er en snikende trussel som ikke etterlater seg spor på lagringsenheten.
Tradisjonell skadevare er enklere å fjerne når den først er oppdaget, ettersom den etterlater synlige filer på lagringsenheten som antivirusprogram kan skanne og eliminere. Filløs skadevare opererer derimot utelukkende fra datamaskinens minne (RAM), noe som gjør den mye vanskeligere å oppdage.
I denne artikkelen vil jeg fortelle deg alt du trenger å vite om filløs skadevare og hvordan du kan beskytte deg mot den.
Hva er filløs skadevare?
Filløs skadevare er en type ondsinnet kode som kjører direkte fra systemets minne. Den oppsøker primært sårbarheter i legitime applikasjoner og kompromitterer disse for å kunne kjøre seg selv. I sjeldne tilfeller kan den åpne egne, ondsinnete prosesser for å utføre sine funksjoner.
Ettersom antivirusprogrammer vanligvis skanner nedlastede og installerte filer/programmer, er filløs skadevare mye vanskeligere å oppdage siden den ikke har noen tilknyttet fil. De ondsinnete aktivitetene den utfører, ligner på det annen skadevare kan gjøre. Hovedforskjellen er hvordan den opererer på datamaskinen.
Hvordan infiserer filløs skadevare enheter?
Som de fleste andre typer skadevare, spres filløs skadevare hovedsakelig gjennom ondsinnete lenker i spam-e-poster, ondsinnede nettsider eller ved bruk av sosial manipulering. Det som skiller den fra andre trusler er at den utnytter sårbarheter i eksisterende programmer på datamaskinen eller i selve operativsystemet.
Vanlige sårbare applikasjoner inkluderer Powershell, Windows Management Instrumentation (WMI), nettleseren og installerte programtillegg som har sikkerhetshull. Den utnytter disse sårbarhetene til å injisere ondsinnet kode inn i det legitime programmet og utføre sine oppgaver.
For eksempel kan en infisert Powershell utføre kommandoer på administratornivå for å stjele data eller kryptere viktige filer.
Bildekilde: TrendMicro
Den kan også bruke «prosesshulling» for å tømme innholdet i en legitim prosess og deretter fylle den opp med sin egen, ondsinnede kode for å operere under dennes navn.
PowerGhost er et godt eksempel på et filløst skadelig angrep som brukte WMI og Powershell for å drive kryptoutvinning på bedriftsmaskiner uten å bli oppdaget.
Hvilke trusler utgjør filløs skadevare?
Som nevnt tidligere kan filløs skadevare utføre de fleste oppgaver som ligner på skadelig programvare som er lagret på lagringsenheten. Det avhenger av formålet den er utviklet for og hvilke sårbarheter den utnytter.
Vanlige ondsinnete funksjoner inkluderer datatyveri, tyveri av påloggingsinformasjon, datakryptering, overvåkingsaktivitet, registrering av tastetrykk, kryptoutvinning, DDoS-angrep og endring av sikkerhetsinnstillinger for videre angrep.
For å gi deg en bedre forståelse, følger en liste over tidligere, omfattende filløse skadevareangrep:
PowerWare: Dette var en type løsepengevirus som brukte Powershell til å utføre kommandoer i skjul for å låse viktige filer og forsøke å simulere at de var krypterte. Deretter krever det betaling i kryptovaluta.
PowerSniff: Denne skadevaren spredte seg ved å utnytte sikkerhetsinnstillingene i Microsoft Word for å kjøre en makro sendt som et dokument. Makroen gjennomsøkte datamaskinen og stjal påloggingsinformasjon.
TrickBot: Selv om det ikke er en fullstendig filløs skadevare, lastet TrickBot sine moduler inn i minnet i en av sine avanserte versjoner. Skadevarens hovedformål var å stjele økonomisk informasjon.
Netwalker Ransomware: Dette er et annet løsepengevirus som benytter seg av filløse taktikker, men krypteringen er ekte. Det erstattet legitime Microsoft-prosesser med ondsinnede koder for å skjule seg selv og utføre kommandoer.
Hvordan oppdage filløs skadevare?
Siden filløs skadevare handler om å være snikende, er det svært vanskelig å oppdage den. Hvis du mistenker at du har klikket på en ondsinnet lenke og at maskinen din er infisert, er det et par ting du kan gjøre for å identifisere problemet og ta beskyttende tiltak.
Nedenfor er noen vanlige tegn å se etter:
Uvanlig systematferd: Filløs skadevare kan føre til uvanlig aktivitet, som at apper åpnes og lukkes uten din intervensjon, at datamaskinen fryser, krasjer eller starter på nytt.
Redusert ytelse: Du kan oppleve en plutselig nedgang i den generelle systemytelsen. Dette kan også føre til at systemet fryser.
Uvanlig nettverksaktivitet: Sammen med tregere nettverkshastighet, kan du legge merke til uvanlig trafikk til domener du ikke har besøkt. Jeg anbefaler alltid GlassWire for nettverksanalyse.
Høy CPU-bruk av en prosess: Åpne Oppgavebehandling og se om en uvanlig prosess bruker uforholdsmessig mye CPU-kraft. En kompromittert prosess vil ofte bruke mye CPU-ressurser selv når den ikke er i aktiv bruk.
Endringer i antivirusprogrammet: Filløs skadevare kan forsøke å deaktivere antivirusprogrammet ditt for å gjøre datamaskinen sårbar for flere typer angrep.
I tillegg til disse tegnene bør du bruke et antivirusprogram som har innebygde funksjoner for atferdsanalyse for å oppdage filløs skadevare. Slike antivirusprogrammer kan oppdage uvanlig atferd i apper og prosesser for å avgjøre om det er en infeksjon.
For dette formålet har Kaspersky Antivirus dedikerte verktøy for å beskytte mot filløse trusler. Disse verktøyene oppdager ikke bare uvanlig atferd, men skanner også sensitive Windows-funksjoner, som WMI og Windows-registeret, for å avdekke ondsinnet kode. Kaspersky har også en historikk med å oppdage populære filløse skadevareangrep.
Hva bør du gjøre hvis enheten din er infisert?
Hvis du mistenker at datamaskinen din er infisert, er det en sjanse for at det allerede er for sent. Hvis skadevarens mål var å stjele data, har de sannsynligvis allerede gjort det.
Din første forsvarslinje er imidlertid å slå av datamaskinen fullstendig og starte den på nytt. Ettersom RAM er et flyktig minne, blir det fullstendig slettet når datamaskinen slås av. Dette vil automatisk fjerne den filløse skadevaren, forhåpentligvis før den gjør noen skade.
Dessverre har de fleste filløse skadevarer innebygde metoder for å overleve en omstart, for eksempel å laste inn koden i en registeroppføring. Hvis det er mulig, prøv å starte datamaskinen i sikker modus og følg deretter trinnene nedenfor:
#1. Skann med antivirus
Som nevnt tidligere, trenger du et antivirusprogram som har verktøy for å beskytte mot filløs skadevare. Kaspersky er fortsatt min anbefaling for å finne endringer gjort av filløs skadevare. Du kan også prøve Malwarebytes, som har AI-basert atferdsanalyse for filløs skadevare.
#2. Bruk systemgjenoppretting
Systemgjenoppretting kan tilbakestille datamaskinen til en tidligere tilstand og reversere alle endringer som er gjort. Siden denne funksjonen er aktivert som standard på alle Windows-datamaskiner, bør den være tilgjengelig på din maskin, med mindre du har deaktivert den selv.
Bare søk etter «Gjenoppretting» i Windows-søkefeltet for å åpne Systemgjenoppretting. Her vil du se alle gjenopprettingspunktene som er lagret. Velg det punktet som ble opprettet før skadevareinfeksjonen for å reversere alle endringene.
#3. Tilbakestill datamaskinen
Hvis du ikke har et gjenopprettingspunkt, kan en tilbakestilling av datamaskinen også reparere eventuelle skader, samtidig som du beholder de lokale dataene. En tilbakestilling vil imidlertid slette alle programmer som er installert på datamaskinen, så sørg for at du ikke har lagret viktig informasjon i disse.
I Windows-innstillinger, gå til «System» > «Gjenoppretting» og klikk på «Tilbakestill PC». I popup-vinduet klikker du på «Behold filene mine» og følger instruksjonene for å tilbakestille.
Hvordan beskytte seg mot filløs skadevare?
De fleste tiltakene som beskytter mot vanlig skadevare, beskytter også mot filløs skadevare. Sørg for å installere et antivirusprogram med atferdsanalyse og unngå å laste ned eller klikke på ondsinnede lenker.
Det er imidlertid noen få beskyttelsestiltak som er enda viktigere for beskyttelse mot filløs skadevare. Jeg lister dem nedenfor:
Hold operativsystemet og appene oppdatert
Filløs skadevare er sterkt avhengig av sikkerhetssårbarheter i apper og operativsystemer. Det er viktig å sørge for at operativsystemet ditt har de siste sikkerhetsoppdateringene og at alle appene er oppdaterte. Mange av disse oppdateringene inneholder rettelser for sårbarheter som filløs skadevare kan utnytte.
Vær forsiktig med nettleserutvidelser
Filløs skadevare kan også infisere nettlesertillegg som har sikkerhetshull. Pass på at du bare laster ned pålitelige og anerkjente nettleserutvidelser og at du holder dem oppdatert. Ved en eventuell infeksjon, anbefales det å installere utvidelsene på nytt for å sikre at de ikke er årsaken til problemet.
Overvåk nettverket
Nesten all filløs skadevare oppretter nettverksforbindelser med sine egne servere for å utføre sine oppgaver. Et verktøy som GlassWire kan ikke bare hjelpe deg med å oppdage mistenkelige forbindelser, men også blokkere dem automatisk takket være den innebygde brannmuren. Jeg anbefaler deg å sette opp varsler i programmet for å motta et varsel når en mistenkelig tilkobling oppdages.
Øk sikkerheten i brukerkontokontroll (UAC)
Du kan konfigurere Windows UAC til å alltid varsle deg når systemendringer blir utført av deg eller en applikasjon. Dette kan være litt irriterende på grunn av hyppige varslinger, men det kan i stor grad forbedre sikkerheten mot skjult skadevare, som filløs skadevare.
Søk etter UAC i Windows-søkefeltet og klikk på «Endre innstillinger for brukerkontokontroll». Her kan du sette sikkerhetsnivået til toppen.
Bruk en Endpoint Security-løsning
For bedrifter kan en «endpoint security»-løsning beskytte alle datamaskinene på et nettverk ved å sentralisere sikkerheten. Selv om en enhet skulle bli infisert, vil de andre enhetene i nettverket forbli sikre. Sikkerhetsløsningen kan også bistå med å reparere den infiserte enheten. Oppdateringene deres skjer også i sanntid, slik at sårbarheter blir rettet umiddelbart etter at de oppdages.
CrowdStrike er en god løsning for dette formålet som tilbyr AI-basert beskyttelse mot cyberangrep. Den har også en dedikert minneskanner funksjon for å beskytte mot filløs skadevare.
Siste tanker 🖥️🦠
Filløs skadevare er en av de mest avanserte formene for skadevareangrep. Noen ganger bruker hackere dem som en del av et større angrep, enten for å få tilgang til systemet i første omgang, eller for å svekke systemet. Ærlig talt kan de fleste slike angrep unngås ved å være forsiktige med hva vi klikker på og med å være skeptisk til innhold vi er usikre på.
Du kan også lese om hvordan du skanner og fjerner skadevare fra Android- og iOS-telefoner.