A szkript alapú, vagy másnéven fájlnélküli támadások során a rosszindulatú program egy szkript, amely egy meglévő, legális alkalmazásban fut, és a PowerShellt vagy más, már telepített Windows-komponenst használ. Nem valósul meg semmilyen új szoftver telepítése, így a hagyományos védelmeket megkerüli.
A Ponemon szerint ezek a fajta támadások sokkal nagyobb valószínűséggel vezetnek eredményre, mint a hagyományos módszerek, és a számuk egyre növekszik. Két éve még az összes támadás 30 százalékát tették ki, tavaly pedig már 35 százalékra emelkedett a részesedésük.
Szakértők szerint megnehezíti a védelem munkáját, hogy nincs olyan rosszindulatú bináris kód, amelyet szkenneléssel fel lehetne fedezni. Ugyanakkor bizonyos hálózati forgalom felhívhatja a figyelmet a fájlnélküli támadásokra. Azonban a támadók titkosíthatják a kommunikációt, vagy megbízható kommunikációs útvonalat használhatnak az adatok észrevétlen ellopására.
A tavaly kiadott Symantec-féle Internet Security Threat Report szerint a rosszindulatú PowerShell szkriptek használata 1000 százalékkal nőtt az elmúlt esztendőben. A támadók a PowerShellt többek között olyan parancsok - például base64 kódolt utasítások - végrehajtására használják, amelyek emberek által nem olvashatók, nyilatkozta Naaman Hart, a Digital Guardian felhőszolgáltatásokkal foglalkozó biztonsági architektje.
- A PowerShellre szükség van manapság, ezért mindig felhasználható rendszerek feltörésére, tette hozzá a szakember.
Az ilyen jellegű támadások lefüleléséhez olyan példákat kell keresni, amikor elterjedten használt alkalmazások nem szokványos műveleteket hajtanak végre, hangsúlyozza Hart. Például nyomon követjük az utolsó ezer végrehajtott utasítást a környezetünkben, és felkutatjuk azokat, amelyek ötnél kevesebbszer fordultak elő. Ezzel a módszerrel többnyire megtaláljuk a nem szokványos parancsokat, amelyek az esetek többségében azok a rosszindulatú utasítások lesznek, amelyeket a hackerek használnak egy fájlnélküli támadáshoz.
