Egyre gyakoribbak a fájlmentes, kizárólag a számítógép memóriájában működő kártevők. Az ilyen támadások azért veszélyesek, mert nincs olyan fájl, amelyet a víruslaboratóriumokban elemezni lehetne, és amelynek az ujjlenyomatát a hagyományos víruskereső technológiák felismernék.

A kiberbiztonsági szakemberek mostanában sokat beszélnek a fájlmentes támadásokról, mivel a 2000-es évek elején megjelent támadásforma a reneszánszát éli. Elég, ha csak az vírusstatisztikát nézzük: 2017-ben a legtöbb támadást (13 százalék) fájlmentes kártevő indította. A Barkly és a Ponemon Institute felmérése szerint a fájlmentes támadásoknak tízszer nagyobb az esélyük a sikerre, mint a fájl alapú támadásoknak – nagy valószínűséggel ezért növekszik ennek a támadásfajtának a népszerűsége.

A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Ennek oka, hogy a támadás során a kártevő sokszor egy e-mail csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert az aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen semmilyen nyoma nincsen.

Van védelem

Ma már természetesen a vezető vírusirtó szoftverek mindegyike tartalmaz olyan új generációs vírusfelismerési technológiákat, melyek nem a hagyományos módon (szignatúrák alapján) ismerik fel a kártevőket, hanem különböző heurisztikus és proaktív technológiák, vagy éppen a memória felügyeletének a segítségével. Érdekesség, hogy a legnagyobb gyártók ritkán reklámozzák önmagukat új generációs védelemként, mivel természetesnek veszik, hogy az új kártevők ellen új védelmi mechanizmusokat fejlesztenek ki. Így a „next generation” jelzőt jellemzően feltörekvő kisebb cégek szokták a zászlójukra tűzni.

A G DATA a fájlok nélkül működő kártevők elemzésén keresztül arra hívja fel a figyelmet, hogy a jövőben ezek a proaktív felismerési technológiák még nagyobb szerepet kapnak, és a kártevőkhöz hasonlóan a vírusvédelem működése is átalakul.

Rozena és Fodevepdf

A német vírusvédelmi cég szakértői két fáljmentes kártevőt elemeztek. A Rozena egy backdoor, amely a megcélzott számítógépen egy rejtett ajtón keresztül nyit kommunikációs csatornát a kártevő szerzője felé. Miután ez a csatorna kinyílt, a támadó kedve szerint garázdálkodhat a megtámadott számítógépen. Mindkét, a régebbi és az új Rozena kártevő is a Windows operációs rendszerű számítógépeket támadja. A különbség a két változat között, hogy a 2018-as verzió a fájlmentes technikát alkalmazza: PowerShell szkripteket használ.

A Rozenát egyébként vagy egy másik kártevő juttathatja számítógépünkre, vagy egyszerűen letöltődik a gépre, amikor fertőzött weboldalakat látogatunk. Emellett csatolmányként is érkezhet egy célzottan küldött e-mailben. Általában Word dokumentumnak álcázza magát, holott egy futtatható fájl.

Futtatás után a kártevő egy Hi6kI7hcxZwU nevű szövegfájlt hoz létre, melyet a %temp% mappába ment el. A futtatható fájl ezután kódolt PowerShell parancsokat indít el. Elsőként megalkot egy újabb PowerShell parancssort – ezt creator, azaz alkotó szkriptnek nevezték el. Ez kikódolja a Hi6kI7hcxZwU nevű szövegfájlt, majd egy újabb PowerShell parancssort hajt végre – ez a dekódoló (decoder) szkript. Ezt a parancssort beinjektálja a PowerShell.exe-be – ez az injector script. Itt kezdődik a fájlmentes támadási szakasz, amikor a PowerShellbe bejuttatott kód egy kétoldali TCP kapcsolatot nyit egy távoli szerver felé, mely a kártevő szerzőjének hozzáférést biztosít a kiszemelt számítógéphez.

A második elemzett kártevő egy letöltő, teljes neve Script.Trojan-Downloader.Fodevepdf.A. Ezeket a letöltőket is kedvelik a támadók, mert segítségükkel bármit az áldozat számítógépére lehet helyezni. A legtöbb esetben egy kis, a merevlemezen rejtve maradt programot használnak erre a célra. Ebben a mostani letöltőben az a különleges, ahogyan megkerüli a User Account Control (UAC) jogokat. A Windowsban a UAC biztosítja azt, hogy a magasabb jogosultságot igénylő műveleteket a felhasználó engedélyezze. Dióhéjban: ebben az esetben a letöltő a rendszerleíró adatbázisba több kulcsot ír; ezeket pedig arra használja, hogy egy olyan folyamatot indítson el, melynek rendszerjogosultságai vannak, miközben a támadó mindvégig ellenőrzi a viselkedését. A kártevő működésének bővebb technikai leírását a G DATA whitepaperében találhatjuk meg.