Fileless malware is a type of malicious attack that doesn't rely on installing software or dropping files on a computer’s hard drive. Instead, it operates entirely within the computer’s RAM (Random Access Memory) or uses legitimate "built-in" tools to execute commands.
Because there is no "malicious file" for traditional antivirus software to scan, these attacks are incredibly stealthy and often bypass standard security measures.
How Fileless Malware Works
Traditional malware acts like a physical intruder breaking into a house and leaving tools behind. Fileless malware is more like a "ghost" that uses the tools already inside the house (the operating system) to do its dirty work.
Entry Point: The attack often begins with a phishing email, a malicious link, or a compromised website.
Living off the Land (LotL): Once inside, the malware uses legitimate programs—like PowerShell, Windows Management Instrumentation (WMI), or Command Prompt—to run malicious scripts.
Execution in Memory: The malicious code is executed directly in the RAM. Since RAM is temporary and cleared when a computer restarts, the malware can disappear without leaving a trace on the disk.
Achieving Persistence: To stay active after a reboot, fileless malware might hide scripts in the Windows Registry or set up Scheduled Tasks that re-trigger the script upon startup.
Key Examples of Fileless Malware
1. PowerShell-Based Attacks
PowerShell is a powerful command-line tool used by administrators. Hackers use it to download and execute malicious scripts directly from the internet into the system's memory.
Example: An employee opens an Excel document. A hidden "macro" triggers PowerShell to download a script that steals login credentials, all without saving a single file to the desktop.
2. Registry-Resident Malware
The Windows Registry is a massive database that stores configuration settings. Malware can hide its code inside a registry key.
Example: The Kovter malware family used this tactic. It stored its malicious payload in the registry and used a small shortcut to "read" and execute that code every time the user logged in.
3. WMI (Windows Management Instrumentation)
WMI is used for managing data and operations on Windows-based operating systems. Attackers use it to schedule tasks or even move "laterally" through a network to infect other computers.
4. Memory-Only Payloads
Some advanced threats, like the Reflective DLL Injection, load a malicious library (DLL) into a process that is already running (like a web browser) without the DLL ever touching the hard drive.
Why is it so Dangerous?
| Feature | Traditional Malware | Fileless Malware |
| Footprint | Leaves files on the hard drive. | Leaves almost no trace on the disk. |
| Detection | Caught by file-scanning antivirus. | Bypasses signature-based detection. |
| Tools | Uses custom malicious software. | Uses "trusted" system tools (LotL). |
| Persistence | Easy to find and delete the file. | Harder to find; hidden in registry or memory. |
How to Defend Against It
Since there are no files to scan, defense requires a more behavioral approach:
Endpoint Detection and Response (EDR): These tools monitor behavior. If PowerShell suddenly starts reaching out to an unknown IP address at 3 AM, EDR will flag it as suspicious.
Disable Unused Tools: If your staff doesn't need PowerShell or Macros, disable them.
Least Privilege: Ensure users don't have administrative rights unless absolutely necessary, which limits what a script can do.
Patching: Keep all software updated to prevent attackers from using "exploits" to get into the memory in the first place.
ఫైల్లెస్ మాల్వేర్ (Fileless Malware) అనేది ఒక రకమైన సైబర్ దాడి. ఇది కంప్యూటర్ యొక్క హార్డ్ డ్రైవ్లో ఎటువంటి సాఫ్ట్వేర్ను లేదా ఫైల్లను ఇన్స్టాల్ చేయకుండానే పనిచేస్తుంది. సాధారణ మాల్వేర్ ఫైల్ల రూపంలో కంప్యూటర్లోకి ప్రవేశిస్తే, ఇది నేరుగా కంప్యూటర్ యొక్క RAM (మెమరీ) లో మాత్రమే పనిచేస్తుంది.
దీని వల్ల సాధారణ యాంటీవైరస్ సాఫ్ట్వేర్లు దీనిని గుర్తించడం చాలా కష్టం, ఎందుకంటే స్కాన్ చేయడానికి అక్కడ ఎటువంటి మాలిక్యులర్ ఫైల్ ఉండదు.
ఫైల్లెస్ మాల్వేర్ ఎలా పనిచేస్తుంది? (How it Works)
సాధారణ మాల్వేర్ ఒక దొంగ తాళం పగలగొట్టి ఇంట్లోకి రావడం లాంటిది. కానీ ఫైల్లెస్ మాల్వేర్, ఇంట్లోనే ఉన్న పనిముట్లను (సిస్టమ్ టూల్స్) ఉపయోగించి దొంగతనం చేసే వ్యక్తి లాంటిది.
ప్రవేశం (Entry Point): ఇది సాధారణంగా ఫిషింగ్ ఈమెయిల్స్, హానికరమైన లింకులు లేదా వెబ్సైట్ల ద్వారా వస్తుంది.
వ్యవస్థలోని పరికరాలను వాడుకోవడం (Living off the Land): హ్యాకర్లు కంప్యూటర్లో ముందే ఉన్న PowerShell, WMI లేదా Command Prompt వంటి నమ్మకమైన ప్రోగ్రామ్లను వాడుకుంటారు.
మెమరీలో అమలు (Execution in Memory): హానికరమైన కోడ్ నేరుగా RAM లో రన్ అవుతుంది. కంప్యూటర్ రీస్టార్ట్ అవ్వగానే RAM క్లియర్ అవుతుంది కాబట్టి, దీని జాడ దొరకదు.
స్థిరత్వం సాధించడం (Persistence): కంప్యూటర్ రీస్టార్ట్ అయినా మళ్ళీ ఈ మాల్వేర్ పనిచేసేలా చేయడానికి, వీరు Windows Registry లో మార్పులు చేస్తారు.
ఫైల్లెస్ మాల్వేర్ రకాలు మరియు ఉదాహరణలు
1. పవర్షెల్ (PowerShell) ఆధారిత దాడులు
పవర్షెల్ అనేది సిస్టమ్ అడ్మినిస్ట్రేటర్లు వాడే ఒక శక్తివంతమైన టూల్. హ్యాకర్లు దీని ద్వారా ఇంటర్నెట్ నుండి నేరుగా మెమరీలోకి స్క్రిప్ట్లను డౌన్లోడ్ చేసి రన్ చేస్తారు.
ఉదాహరణ: ఒక ఉద్యోగి ఏదైనా ఎక్సెల్ షీట్ ఓపెన్ చేసినప్పుడు, అందులో ఉన్న 'మాక్రో' (Macro) ద్వారా పవర్షెల్ ఆటోమేటిక్గా రన్ అయ్యి డేటాను దొంగిలిస్తుంది.
2. రిజిస్ట్రీ-రెసిడెంట్ మాల్వేర్ (Registry-Resident Malware)
విండోస్ రిజిస్ట్రీ అనేది కంప్యూటర్ సెట్టింగ్లను స్టోర్ చేసే చోటు. హ్యాకర్లు తమ హానికరమైన కోడ్ను ఇక్కడ దాచిపెడతారు.
ఉదాహరణ: Kovter అనే మాల్వేర్ ఈ పద్ధతిని వాడుతుంది. ఇది రిజిస్ట్రీలో దాగి ఉండి, యూజర్ లాగిన్ అయిన ప్రతిసారీ యాక్టివేట్ అవుతుంది.
3. WMI దాడులు
విండోస్ మేనేజ్మెంట్ ఇన్స్ట్రుమెంటేషన్ (WMI) ద్వారా హ్యాకర్లు నెట్వర్క్లోని ఇతర కంప్యూటర్లకు కూడా వైరస్ను వ్యాపింపజేయగలరు.
ఇది ఎందుకు ప్రమాదకరం? (Comparison)
| ఫీచర్ | సంప్రదాయ మాల్వేర్ | ఫైల్లెస్ మాల్వేర్ |
| జాడ (Footprint) | హార్డ్ డిస్క్లో ఫైళ్లను వదులుతుంది. | మెమరీలో మాత్రమే ఉంటుంది, జాడ దొరకదు. |
| గుర్తింపు (Detection) | యాంటీవైరస్ సులభంగా గుర్తిస్తుంది. | సాధారణ యాంటీవైరస్ నుండి తప్పుకుంటుంది. |
| సాధనాలు (Tools) | బయటి సాఫ్ట్వేర్లను వాడుతుంది. | సిస్టమ్ లోని నమ్మకమైన టూల్స్నే వాడుతుంది. |
దీని నుండి రక్షణ ఎలా? (How to Defend)
ఫైల్లు లేనప్పుడు కేవలం స్కాన్ చేయడం వల్ల ఉపయోగం ఉండదు, కాబట్టి ఈ క్రింది పద్ధతులు పాటించాలి:
EDR (Endpoint Detection and Response): ఇవి కంప్యూటర్ ప్రవర్తనను (Behavior) గమనిస్తాయి. అసాధారణంగా ఏదైనా స్క్రిప్ట్ రన్ అయితే వెంటనే ఆపుతాయి.
అనవసరమైన టూల్స్ నిలిపివేయడం: మీకు అవసరం లేకపోతే PowerShell లేదా Macros వంటి వాటిని డిసేబుల్ చేయాలి.
సాఫ్ట్వేర్ అప్డేట్స్: కంప్యూటర్ ఆపరేటింగ్ సిస్టమ్ను ఎప్పటికప్పుడు అప్డేట్ చేయడం ద్వారా సెక్యూరిటీ లూప్హోల్స్ను మూసివేయవచ్చు.
No comments:
Post a Comment
Note: only a member of this blog may post a comment.