Egyre gyakoribbak a fájlmentes, kizárólag a számítógép memóriájában működő kártevők. Az ilyen támadások azért veszélyesek, mert nincs olyan fájl, amelyet a víruslaboratóriumokban elemezni lehetne, és amelynek az ujjlenyomatát a hagyományos víruskereső technológiák felismernék.
A kiberbiztonsági szakemberek mostanában sokat beszélnek a fájlmentes támadásokról, mivel a 2000-es évek elején megjelent támadásforma a reneszánszát éli. Elég, ha csak a vírusstatisztikát nézzük: 2017-ben a legtöbb támadást (13 százalék) fájlmentes kártevő indította. A Barkly és a Ponemon Institute felmérése szerint a fájlmentes támadásoknak tízszer nagyobb az esélyük a sikerre, mint a fájlalapú támadásoknak – nagy valószínűséggel ezért növekszik ennek a támadásfajtának a „népszerűsége”.
A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Ennek oka, hogy a támadás során a kártevő sokszor egy e-mail-csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert az aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen semmilyen nyoma nincs.
Van védelem
Ma már természetesen minden vezető vírusirtó szoftver tartalmaz olyan új generációs vírusfelismerési technológiákat, amelyek nem a hagyományos módon (szignatúrák alapján) ismerik fel a kártevőket, hanem különböző heurisztikus és proaktív technológiák vagy éppen a memória felügyeletének segítségével. Érdekesség, hogy a legnagyobb gyártók ritkán reklámozzák önmagukat új generációs védelemként, mivel természetesnek veszik, hogy az új kártevők ellen új védelmi mechanizmusokat fejlesztenek ki. Így a „next generation” jelzőt jellemzően feltörekvő, kisebb cégek szokták zászlajukra tűzni.
A hagyományos vírusvédelem minden egyes újracsomagolt kártevőt új változatként analizál, majd minden új változatot egyesével blokkol. A vírusirtó cégek ezért folyamatosan fejlesztik azokat a technológiákat, amelyek segítségével „általánosan” ismerik fel a kártevőket, jellemzően azok viselkedése alapján. A magatartás-alapú vírusvédelem a gépre letöltött kódok szimulált viselkedése alapján ismeri fel az új kártevőket, és azt a kódot tekinti kártevőnek, amelyik úgy viselkedik a gépen, ahogyan a kártevők szoktak (például kinyit egy portot, és egy távoli szerverről további fájlokat tölt le). Az ilyen védelem ma már fontos részét képezi minden vírusirtónak, de a G Data most ennél jóval tovább ment.
A német információvédelmi társaság megoldásai a kockázati tényező kiszámításához az új DeepRay elnevezésű mesterségesintelligencia-alapú technológiát alkalmazzák, amely 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a programozási környezetet, amelyet a fájl létrehozásához használtak. Az adatokat egy neurális hálózat elemzi, amely képes a tanulásra, így folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében ezeket az eredményeket felhasználja.
Mindehhez a DeepRay húsz különböző gépi tanulási modellt használ fel, és ha az egyik modell kártevőnek jelöl meg egy fájlt, akkor azt mélyebb elemzésnek veti alá. Erre a gép memóriájában kerül sor, méghozzá azért, hogy a kártevő ne tudja érzékelni az elemzői környezetet. A technológia lehetővé teszi olyan kártevők felismerését is, amelyek korábban átjutottak a vírusvédelmen. A DeepRay ellehetetleníti, hogy a bűnözők egyszerűen újracsomagolják a már ismertté vált kártevőket, így például hiába álcáznak rendszerfájlnak egy vírust. A teljesen új kártevőcsaládok felismeréséhez pedig az adaptív tanulást használja. A DeepRay segítségével felépített tudás így a korábbiakhoz képest stabilabb és hosszabban használható a kártevők elleni védekezéshez.
Rozena és Fodevepdf
A német G Data vírusvédelmi cég szakértői két fájlmentes kártevő működését ismertették. A Rozena egy backdoor, amely a megcélzott számítógépen egy rejtett ajtón keresztül nyit kommunikációs csatornát a kártevő szerzője felé. Miután ez a csatorna kinyílt, a támadó kedve szerint garázdálkodhat a megtámadott számítógépen. Mindkét, a régebbi és az új Rozena kártevő is a Windows operációs rendszerű számítógépeket támadja. A különbség a két változat között, hogy a 2018-as verzió a fájlmentes technikát alkalmazza: PowerShell szkripteket használ. A Rozenát egyébként vagy egy másik kártevő juttathatja számítógépünkre, vagy egyszerűen letöltődik a gépre, amikor fertőzött weboldalakat látogatunk. Emellett csatolmányként is érkezhet egy célzottan küldött e-mailben. Általában Word dokumentumnak álcázza magát, holott egy futtatható fájl. A második elemzett kártevő egy letöltő, teljes neve Script.Trojan-Downloader.Fodevepdf.A. Ezeket a letöltőket is kedvelik a támadók, mert segítségükkel bármit az áldozat számítógépére lehet helyezni. A legtöbb esetben egy kis, a merevlemezen rejtve maradt programot használnak erre a célra. Ebben a mostani letöltőben az a különleges, ahogyan megkerüli a User Account Control (UAC) jogokat. A Windowsban a UAC biztosítja azt, hogy a magasabb jogosultságot igénylő műveleteket a felhasználó engedélyezze. Dióhéjban: ebben az esetben a letöltő a rendszerleíró adatbázisba több kulcsot ír; ezeket pedig arra használja, hogy egy olyan folyamatot indítson el, amelynek a legmagasabb jogosultságai vannak, miközben a támadó mindvégig ellenőrzi a viselkedését.
(Cikkünk a Biztonságpiac 2019 évkönyvben jelent meg, tavaly februárban.)