멀웨어는 다양한 형태와 강도로 나타나며 여기서는 가장 위험한 멀웨어 중 하나인 파일리스 멀웨어에 대해 논의하겠습니다.
이름 자체만으로도 많은 호기심을 불러일으킵니다. 관련된 파일이 없을 때 이 악성코드가 확산될 수 있습니까? 더 구체적으로 말하자면, 예를 들어 파일을 다운로드하지도 않은 상태에서 어떻게 파일 없는 악성 코드가 내 PC를 장악할 수 있는지 생각할 수 있습니다.
또한 읽어 보세요: 악성 코드: 우리가 결코 바라지 않은 전쟁
공격자의 두뇌에 조금이라도 들어가 보는 것은 어떻습니까? 공격자는 Fileless Malware를 사용할 가능성이 있습니다.
- 일반적인 상황에서는 바이러스 백신이 이를 감지하지 못하기 때문입니다. 왜? 이에 대해서는 나중에 게시물에서 논의하겠습니다.
- 탐지할 파일이나 디지털 서명이 없습니다.
- 공격자는 대부분 합법적인 도구를 사용합니다. Windows에 바로 있습니다. 어떤 면에서 공격자는 Windows를 자신에게 불리하게 만들 것입니다.
이제 더 자세히 살펴보겠습니다.
파일리스 악성 코드란 무엇입니까?
파일리스 악성코드는 이름에서 알 수 있듯이 파일을 사용하여 악성코드를 확산시키지 않는 악성 프로그램입니다. 이는 파괴를 유발하기 위해 파일을 바이러스에 감염시킬 필요가 없음을 의미합니다. 그렇다면 컴퓨터를 어떻게 악용하는가? 일반적으로 사용되는 애플리케이션과 내장 도구를 이용하여 공격을 수행합니다. 합법적인 프로그램을 사용하여 PC를 감염시킵니다. 어떤 면에서는 Windows PC를 스스로 반대하게 만듭니다. 파일리스 악성코드가 기존 공격과 다른 점은 공격자가 감염된 PC에 코드를 설치하지 않기 때문에 파일리스 악성코드를 탐지하기 어렵다는 점입니다.
파일리스 악성코드는 어떻게 작동하나요?
파일리스 악성 코드는 LOC 또는 관찰하기 어려운 특성 공격에 속합니다. 이러한 공격은 대부분의 보안 솔루션의 탐지를 회피하는 은밀한 공격입니다. 파일리스 악성코드는 컴퓨터의 Random Access Memory에서 작동하며 컴퓨터의 하드 드라이브에는 절대 건드리지 않습니다. 대신 공격자는 컴퓨터에 이미 존재하는 취약한 소프트웨어를 사용하여 제어권을 잡고 공격을 실행합니다.
공격자가 컴퓨터에 액세스할 수 있게 되면 공격자는 WMI(Windows Management Instrumentation) 또는 Windows PowerShell을 악용할 수 있습니다. 악의적인 활동을 수행하는 것입니다.
어느 시점에서는 이것이 어떻게 내 보안 솔루션을 통과할 수 있는지 궁금할 것입니다. 많은 보안 기술이 이러한 유틸리티를 신뢰하기 때문에 악성 코드는 우리의 활동은 감지되지 않은 채 남아 있을 수 있습니다. 게다가 파일리스 악성 코드는 하드 드라이브에 직접 아무것도 기록하지 않기 때문에 보안 소프트웨어가 검사할 수 있는 파일이 저장되어 있지 않습니다. 게다가 파일 없는 악성 코드는 바이러스 백신이 일반적으로 식별하는 발자국이나 서명을 남기지 않습니다.
파일 없는 악성 코드의 다른 단계는 무엇입니까?
1단계 :
공격자는 취약점을 악용하고 웹 스크립트를 사용하여 원격 액세스 권한을 얻습니다.
2단계:
공격자가 액세스 권한을 얻은 후에는 해당 환경의 다른 시스템으로 이동하기 위해 손상된 환경의 자격 증명을 얻으려고 더 시도합니다.
3단계:
공격자는 이제 레지스트리를 수정하여 백도어를 생성합니다.
4단계:
공격자는 필요한 데이터를 수집하여 한 곳에 복사합니다. 그런 다음 공격자는 쉽게 사용할 수 있는 도구를 사용하고 쉽게 사용할 수 있는 시스템 도구를 사용하여 데이터를 압축합니다. 그리고 공격자는 마침내 FTP를 통해 데이터를 업로드하여 환경에서 데이터를 제거합니다.
파일리스 악성 코드 공격의 다양한 유형은 무엇입니까?
몇 가지를 살펴보겠습니다. 파일리스 악성 코드 유형 –
– 메모리 코드 삽입 –이름에서 알 수 있듯이 공격자는 이 기술을 사용하여 합법적인 애플리케이션의 메모리에 악성 코드를 숨깁니다. 맬웨어는 WIndows 활동에 중요한 프로세스가 실행되는 동안 자체적으로 주입 및 배포됩니다. 합법적인 애플리케이션에 대해 말하면 MWI 및 PowerShell과 같은 Windows 프로그램을 사용하기 때문에 실행되는 명령은 안전한 것으로 간주되므로 위험 신호가 트리거되지 않습니다.
– Windows 레지스트리 조작 –과거에는 , Powelike 및 Kovter는 피해자의 시스템을 클릭 봇으로 변환하고 클릭 연결 광고 및 웹 사이트에 연결했습니다. 이러한 종류의 공격에서는 피해자가 악성 링크나 파일을 클릭하면 악성 코드는 일반적인 Windows 프로세스를 사용하여 레지스트리에 바로 파일 없는 코드를 작성하고 실행하기도 합니다.
– 스크립트 기반 기술-이 기술이 완전히 생명이 없다고 말할 수는 없지만, 한 가지 확실한 것은 탐지하기가 쉽지 않다는 것입니다. SamSam 랜섬웨어(SamSam Ransomware)와 Operation Cobalt Kitty라는 두 가지 인기 있는 공격을 통해 이에 대해 설명하겠습니다. 전자는 반 파일리스였습니다. 이번 공격에서는 페이로드를 분석할 수 없었습니다. 런타임에 해독된 초기 스크립트입니다. 또한 작성자 측에서도 비밀번호가 필요합니다. 코발트 키티 작전(Operation Cobalt Kitty)에 대해 말하자면, 악성 파워셸(PowerShell)을 이용해 약 6개월 동안 아시아 기업을 대상으로 한 파일리스 공격이었습니다. 보다 구체적으로 스피어 피싱 이메일은 40개가 넘는 서버와 PC에 침투하는 데 사용되었습니다.
파일 악성 코드로부터 시스템을 어떻게 보호할 수 있습니까?
A 파일 없는 악성 코드는 바이러스 백신 솔루션((약한 솔루션)을 무력화할 수 있지만 이것이 컴퓨터에 바이러스 백신 솔루션이 없어야 한다는 의미는 아닙니다. Microsoft의 Windows 보안을 포함한 대부분의 바이러스 백신 솔루션은 PowerShell의 불규칙한 활동을 저지할 수 있습니다. (있는 경우). 아래에는 파일리스 악성 코드를 최대한 피할 수 있도록 취해야 할 몇 가지 주의 깊은 단계가 나열되어 있습니다.
- 무엇보다도 의심스러운 항목을 클릭하지 마십시오. 신뢰할 수 없는 웹사이트를 방문해서는 안 됩니다.
- 컴퓨터의 다양한 애플리케이션을 업데이트하세요. 특히 Microsoft에서 제공하는 애플리케이션을 업데이트하세요.
- 두 가지 바이러스 백신 보호 기능을 사용하는 것이 좋습니다. Microsoft Defender를 사용할 수 있으며 Windows 운영 체제에서 바이러스 백신 보호의 기본 또는 두 번째 계층으로 T9 Antivirus를 선택할 수 있습니다.
다음은 이 바이러스 백신 애플리케이션의 주목할만한 기능 중 일부입니다.
- 다양한 악성 위협으로부터 실시간 보호.
- 보호 PUP, 제로데이 위협, 트로이 목마 등.
- 새로운 취약점 제거.
- 위협 제거를 위한 다중 검사.
- 원하는 시간에 검사를 예약합니다.
- 알 수 없는 파일에 대한 보호 기능을 활용합니다.
- 원치 않는 시작 항목을 지울 수 있습니다.
- 바이러스 백신 유틸리티는 가볍습니다.
T9 바이러스 백신은 어떻게 작동하나요?
1. T9 Antivirus 다운로드 및 설치
2. 바이러스 백신이 업데이트를 설치하도록 하세요.
3. 주황색 지금 스캔 버튼을 클릭하세요.
4. 이제 T9 Antivirus는 임박한 위협을 찾아냅니다.
마무리악성코드는 다양한 형태와 강도로 나타날 수 있으며, Fileless Malware에서 볼 수 있듯이 위협 행위자는 지속적으로 증가하고 있습니다. 방어를 무너뜨리기 위한 앤티. 따라서 우리가 절대로 당신이 누구이든, 본격적인 기업이든 개인이든, 절대로 경계를 늦추지 마십시오. 읽으신 내용이 마음에 드셨다면 좋아요를 눌러 친구 및 소중한 모든 사람과 공유해 주세요.
자주 묻는 질문Q.1. 파일 없는 악성 코드의 예는 무엇입니까?
파일 없는 악성 코드의 주목할만한 예로는 Code Red Worm(2001), SQL Slammer(2003), Operation Cobalt Kitty, Stuxnet(2010), UIWIX(2017) 및 Ramnit Banking Trojan.
Q.2. 파일리스 바이러스란 무엇입니까?
파일리스 바이러스 또는 파일리스 맬웨어는 공격을 수행하기 위해 기존의 실행 파일을 사용하지 않고, 대신 운영 체제를 악용하여 Windows 컴퓨터 자체를 공격하고 합법적인 악성 코드를 사용합니다. Windows 애플리케이션.
Q.3. 웜은 파일리스 악성코드인가?
파일리스 악성코드로 분류된 최초의 악성코드는 2001년에 만연했던 Code Red Worm입니다. 이는 Microsoft의 인터넷 정보 서비스(IIS)를 실행하는 컴퓨터를 공격했습니다. 메모리 전용 악성코드인 또 다른 인기 작품은 Duqu 2.0이었습니다.
Q.4. Windows Defender는 파일 없는 맬웨어를 감지합니까?
Microsoft는 Windows PowerShell과 같은 합법적인 프로그램에서 불규칙한 활동을 감지할 수 있는 방식으로 Windows Defender도 업그레이드했습니다. Microsoft Defender에는 AntiMalware Scan Interface(AMSI, 메모리 검색, 동작 모니터링 및 부팅 섹터 보호)가 함께 제공됩니다. 이러한 기능을 통해 파일 없는 맬웨어를 차단할 수 있습니다.
읽기: 0
