"Davamlı faylları olmayan zərərli proqram" nədir və onu pulsuz vasitələrlə necə aşkar etmək olar

Görünüşü daimi faylları olmayan zərərli proqram təminatı Bu, təhlükəsizlik qrupları üçün əsl başağrısı olub. Biz diskdən icra edilə bilən faylı silərkən rastlaşdığınız tipik virusla deyil, yaddaşda yaşayan, qanuni sistem alətlərindən sui-istifadə edən və bir çox hallarda demək olar ki, istifadəyə yararlı heç bir kriminalistik iz buraxmayan təhdidlərlə məşğuluq.

Bu tip hücum, xüsusilə inkişaf etmiş qruplar və kibercinayətkarlar arasında populyarlaşıb ənənəvi antivirus proqramlarından yayınmaq, məlumatları oğurlamaq və gizli qalmaq mümkün qədər uzun müddət. Onların necə işlədiyini, hansı üsullardan istifadə etdiyini və onları necə aşkar edəcəyini anlamaq bu gün kibertəhlükəsizliyə ciddi yanaşmaq istəyən hər hansı bir təşkilat üçün vacibdir.

Faylsız zərərli proqram nədir və niyə bu qədər narahatlıq doğurur?

Biz danışanda faylsız zərərli proqram Biz demirik ki, heç bir bayt iştirak etmir, amma zərərli kod Diskdə klassik icra edilə bilən fayl kimi saxlanılmır son nöqtədən. Bunun əvəzinə, birbaşa yaddaşda işləyir və ya Reyestr, WMI və ya planlaşdırılmış tapşırıqlar kimi daha az görünən konteynerlərdə yerləşdirilir.

Bir çox ssenarilərdə, təcavüzkar sistemdə artıq mövcud olan alətlərə — PowerShell, WMI, skriptlər, imzalanmış Windows ikili fayllarına — etibar edir. faydalı yükləri birbaşa RAM-a yükləyin, şifrəsini açın və ya icra edinBu yolla, imza əsaslı antivirusun normal tarama zamanı aşkar edə biləcəyi açıq-aşkar icra edilə bilən faylları buraxmaqdan qaçınır.

Bundan əlavə, hücum zəncirinin bir hissəsi "faylsız", digər hissəsi isə fayl sistemindən istifadə edə bilər, buna görə də birdən çoxundan danışırıq. faylsız texnikaların spektri tək bir zərərli proqram ailəsinin tərifi. Buna görə də tək, qapalı bir tərif deyil, maşına təsir dərəcəsindən asılı olaraq bir neçə kateqoriya mövcuddur.

Daimi faylları olmayan zərərli proqram təminatının əsas xüsusiyyətləri

Bu təhdidlərin əsas xüsusiyyəti onların yaddaş mərkəzli icraZərərli kod RAM-a yüklənir və sabit diskdə sabit zərərli ikili fayl tələb etmədən qanuni proseslər daxilində icra edilir. Bəzi hallarda, daha yaxşı kamuflyaj üçün hətta vacib sistem proseslərinə də yeridilir.

Digər vacib xüsusiyyət isə qeyri-ənənəvi əzmkarlıqBir çox faylsız kampaniyalar tamamilə dəyişkəndir və yenidən başladıqdan sonra yox olur, lakin digərləri Registry Autorun düymələri, WMI abunəlikləri, planlaşdırılmış tapşırıqlar və ya BITS istifadə edərək yenidən aktivləşdirməyi bacarır ki, "görünən" artefakt minimal olsun və əsl faydalı yük hər dəfə yaddaşda yaşasın.

Bu yanaşma effektivliyi xeyli azaldır imza əsaslı aşkarlamaTəhlil etmək üçün sabit bir icra edilə bilən fayl olmadığı üçün, tez-tez şübhəli parametrlərlə işə salınan və ya qarışıq məzmun yüklənən tamamilə qanuni PowerShell.exe, wscript.exe və ya mshta.exe fayllarını görürsünüz.

Nəhayət, bir çox aktyor faylsız texnikaları digərləri ilə birləşdirir Trojan, ransomware və ya reklam proqramları kimi zərərli proqram növləri, hər iki dünyanın ən yaxşısını (və ən pisini) birləşdirən hibrid kampaniyalarla nəticələnir: əzmkarlıq və gizlilik.

Sistemdəki təsirlərinə görə faylsız təhdidlərin növləri

Bir neçə təhlükəsizlik istehsalçısı Onlar "faylsız" təhdidləri kompüterdə buraxdıqları izə görə təsnif edirlər. Bu taksonomiya bizə nə gördüyümüzü və onu necə araşdıracağımızı anlamağa kömək edir.

Tip I: görünən fayl fəaliyyəti yoxdur

Ən gizli şəkildə zərərli proqram təminatı tapırıq ki, Fayl sisteminə tamamilə heç nə yazmırMəsələn, kod zəifliyi istismar edən şəbəkə paketləri (məsələn, EternalBlue) vasitəsilə gəlir, birbaşa yaddaşa yeridilir və məsələn, nüvədə arxa qapı kimi saxlanılır (DoublePulsar simvolik bir hal idi).

Digər hallarda infeksiya aşağıdakı hallarda baş verir: BIOS proqram təminatı, şəbəkə kartları, USB cihazları və ya hətta CPU daxilindəki altsistemlərBu tip təhlükə əməliyyat sisteminin yenidən quraşdırılmasından, disk formatlanmasından və hətta bəzi tam yenidən başlatmalardan sonra da davam gətirə bilər.

Problem ondadır ki, əksər təhlükəsizlik həlləri Onlar proqram təminatını və ya mikrokodu yoxlamırlarHətta belə olsa belə, bərpa mürəkkəbdir. Xoşbəxtlikdən, bu üsullar adətən yüksək səviyyəli aktyorlar üçün nəzərdə tutulub və kütləvi hücumlarda norma deyil.

II Tip: Faylların dolayı istifadəsi

İkinci qrup əsaslanır diskdə saxlanılan strukturlarda zərərli kodu ehtiva edirAmma ənənəvi icra edilə bilən fayllar kimi deyil, sistemə zərər vermədən təmizləmək çətin olan qanuni və zərərli məlumatları qarışdıran depolarda.

Tipik nümunələr saxlanılan skriptlərdir WMI deposu, qarışıq zəncirlər Qeydiyyat açarları və ya zərərli ikili fayl olmadan təhlükəli əmrləri işə salan planlaşdırılmış tapşırıqlar. Zərərli proqram bu girişləri birbaşa əmr sətrindən və ya skriptdən quraşdıra və sonra faktiki olaraq görünməz qala bilər.

Texniki olaraq fayllar (Windows-un WMI deposunu və ya Qeydiyyat yuvasını saxladığı fiziki fayl) olsa da, praktik məqsədlər üçün danışırıq faylsız fəaliyyət çünki sadəcə karantinə alına bilən açıq-aşkar bir icra edilə bilən fayl yoxdur.

III Tip: Faylların işləməsi tələb olunur

Üçüncü növə aşağıdakı təhdidlər daxildir: Onlar fayllardan istifadə edirlər, amma aşkarlama üçün o qədər də faydalı olmayan bir şəkildə.Tanınmış bir nümunə, Reyestrdə təsadüfi uzantıları qeyd edən Kovter-dir ki, həmin uzantılı bir fayl açıldıqda, mshta.exe və ya oxşar yerli ikili fayl vasitəsilə skript icra edilsin.

Bu tələ faylları lazımsız məlumatlar və əsl zərərli kod ehtiva edir Digər Qeydiyyat açarlarından əldə edilir və ya daxili depolar. Diskdə "nəsə" olsa da, onu etibarlı bir güzəşt göstəricisi kimi istifadə etmək asan deyil, birbaşa təmizləmə mexanizmi kimi daha az.

Ən çox yayılmış infeksiya vektorları və yoluxma nöqtələri

Ayaq izi təsnifatından başqa, necə olduğunu anlamaq vacibdir Daimi faylları olmayan zərərli proqramların rol oynadığı yer budur. Gündəlik həyatda təcavüzkarlar ətraf mühitdən və hədəfdən asılı olaraq tez-tez bir neçə vektoru birləşdirirlər.

İstismarlar və zəifliklər

Ən birbaşa yollardan biri sui-istifadədir uzaqdan kod icrası (RCE) zəiflikləri brauzerlərdə, plaginlərdə (məsələn, keçmişdəki Flash), veb tətbiqlərində və ya şəbəkə xidmətlərində (SMB, RDP və s.) istifadə olunur. Eksploit zərərli yükü birbaşa yaddaşa yükləyən və ya deşifrə edən shell kodu daxil edir.

Bu modeldə ilkin fayl şəbəkədə ola bilər (istismar növü İstəyirəmvə ya istifadəçinin açdığı sənəddə, amma Faydalı yük heç vaxt diskə icra edilə bilən fayl kimi yazılmır: RAM-dan şifrələnir və dərhal icra olunur.

Zərərli sənədlər və makrolar

Digər bir ağır istismar olunan yol isə Makros və ya DDE ilə Office sənədlərieləcə də oxucu zəifliklərindən istifadə etmək üçün hazırlanmış PDF-lər. Görünür zərərsiz bir Word və ya Excel faylı, kodu yükləmək, əmrləri yerinə yetirmək və ya etibarlı proseslərə shell kodunu yeritmək üçün PowerShell, WMI və ya digər interpretatorları işə salan VBA kodu ehtiva edə bilər.

Burada diskdəki fayl "yalnız" məlumat konteyneridir, faktiki vektor isə tətbiqin daxili skript mühərrikiƏslində, bir çox kütləvi spam kampaniyaları bu taktikadan sui-istifadə edərək korporativ şəbəkələrə faylsız hücumlar tətbiq edib.

Qanuni skriptlər və binarlar (Torpaqdan kənarda yaşamaq)

Hücumçular Windows-un artıq təqdim etdiyi alətləri sevirlər: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows İdarəetmə Alətləri, BITS və s. Bu imzalanmış və etibarlı binar fayllar şübhəli "virus.exe" faylına ehtiyac olmadan skriptləri, DLL-ləri və ya uzaq məzmunu icra edə bilər.

Zərərli kodu ötürməklə əmr sətri parametrləriOnu şəkillərə yerləşdirmək, yaddaşda şifrələmək və dekodlaşdırmaq və ya Reyestrdə saxlamaq antivirusun yalnız qanuni proseslərdən fəaliyyəti görməsini təmin edir və bu da yalnız fayllara əsaslanan aşkarlamanı daha da çətinləşdirir.

Zədələnmiş aparat və proqram təminatı

Daha aşağı səviyyədə isə, inkişaf etmiş hücumçular sıza bilər BIOS proqram təminatı, şəbəkə kartları, sərt disklər və ya hətta CPU idarəetmə alt sistemləri (məsələn, Intel ME və ya AMT). Bu tip zərərli proqram əməliyyat sisteminin altında işləyir və əməliyyat sisteminin xəbəri olmadan trafiki ələ keçirə və ya dəyişdirə bilər.

Bu, həddindən artıq bir ssenari olsa da, faylsız bir təhlükənin nə dərəcədə təsir edə biləcəyini göstərir OS fayl sisteminə toxunmadan davamlılığı qoruyunvə niyə klassik son nöqtə alətləri bu hallarda çatışmır.

Daimi fayllar olmadan zərərli proqram hücumu necə işləyir

Axın səviyyəsində, faylsız hücum fayl əsaslı hücuma olduqca bənzəyir, lakin müvafiq fərqlər faydalı yükün necə tətbiq olunduğu və girişin necə qorunub saxlanıldığı.

1. Sistemə ilkin giriş

Hər şey hücumçu ilk dayaq nöqtəsini qazandıqda başlayır: a Zərərli link və ya əlavə ilə fişinq e-poçtu, həssas tətbiqə qarşı istismar, RDP və ya VPN üçün oğurlanmış etimadnamələr və ya hətta dəyişdirilmiş USB cihazı.

Bu mərhələdə aşağıdakılar istifadə olunur: sosial mühəndislikistifadəçini klikləməməli olduğu yerlərə klikləməyə və ya İnternetdə aşkarlanan xidmətlərdən sui-istifadə etməyə aldatmaq üçün zərərli yönləndirmələr, zərərli reklam kampaniyaları və ya zərərli Wi-Fi hücumları.

2. Zərərli kodun yaddaşda icrası

İlk giriş əldə edildikdən sonra faylsız komponent işə düşür: Office makrosu PowerShell-i işə salır, eksploit shell kodunu daxil edir, WMI abunəliyi skripti işə salır və s. Məqsəd budur zərərli kodu birbaşa RAM-a yükləyinya onu internetdən yükləməklə, ya da daxil edilmiş məlumatlardan yenidən yaratmaqla.

Oradan zərərli proqram təminatı imtiyazları artırmaq, yan tərəfə keçmək, etimadnamələri oğurlamaq, veb qabıqları yerləşdirmək, RAT-lar quraşdırmaq və ya məlumatları şifrələməkBütün bunlar səs-küyün azaldılması üçün qanuni proseslərlə dəstəklənir.

3. Dözümlülüyün yaradılması

Adi texnikalar arasında Onlara rast gəlinir:

• Avtomatik işə salma düymələri daxil olarkən əmrləri və ya skriptləri yerinə yetirən Qeydiyyatda.
• Planlaşdırılmış tapşırıqlar skriptləri, parametrləri olan qanuni ikili faylları və ya uzaqdan əmrləri işə salan.
• WMI Abunəlikləri müəyyən sistem hadisələri baş verdikdə tetikleyici kod.
• BITS-in istifadəsi komanda və idarəetmə serverlərindən vaxtaşırı yüklənmələr üçün.

Bəzi hallarda, davamlı komponent minimaldır və yalnız zərərli proqramı yaddaşa yenidən yeritmək sistem hər dəfə işə düşdükdə və ya müəyyən bir şərt yerinə yetirildikdə.

4. Hədəflər və ifrazatlar üzərində hərəkətlər

Təcavüzkar, əzmkarlıqla onu həqiqətən maraqlandıran şeylərə diqqət yetirir: məlumat oğurlamaq, onu şifrələmək, sistemləri manipulyasiya etmək və ya aylarla casusluq etməkEksfiltrasiya HTTPS, DNS, gizli kanallar və ya qanuni xidmətlər vasitəsilə həyata keçirilə bilər. Real həyatda baş verən hadisələrdə, bilmək Hackdən sonra ilk 24 saat ərzində nə etməli Bütün fərqi yarada bilər.

APT hücumlarında zərərli proqram təminatının qalması adi haldır uzun müddət səssiz və gizli, infrastrukturun bir hissəsi aşkar edilərək təmizlənsə belə, girişi təmin etmək üçün əlavə arxa qapıların tikintisi.

Faylsız ola biləcək zərərli proqram təminatlarının imkanları və növləri

Klassik zərərli proqram təminatının yerinə yetirə biləcəyi demək olar ki, hər hansı bir zərərli funksiya bu yanaşmaya əməl etməklə həyata keçirilə bilər faylsız və ya yarı faylsızDəyişən məqsəd deyil, kodun yerləşdirilmə tərzidir.

Yalnız yaddaşda yaşayan zərərli proqram

Bu kateqoriyaya faydalı yüklər daxildir Onlar yalnız prosesin və ya nüvənin yaddaşında yaşayırlar.Müasir rootkitlər, qabaqcıl arxa qapılar və ya casus proqram təminatı qanuni prosesin yaddaş sahəsinə yüklənə və sistem yenidən başlayana qədər orada qala bilər.

Bu komponentləri disk yönümlü alətlərlə görmək xüsusilə çətindir və istifadəni məcbur edir canlı yaddaş təhlili, Real vaxt rejimində yoxlama və ya qabaqcıl məhkəmə ekspertizası imkanları ilə EDR.

Windows Qeydiyyatına əsaslanan zərərli proqram

Başqa bir təkrarlanan üsul saxlamadır Qeydiyyat açarlarında şifrələnmiş və ya qarışıq kod və yaddaşda oxumaq, deşifrə etmək və icra etmək üçün qanuni ikili fayldan (məsələn, PowerShell, MSHTA və ya rundll32) istifadə edin.

İlkin dropper Reyestrə yazdıqdan sonra özünü məhv edə bilər, buna görə də qalan tək şey zahirən zərərsiz görünən məlumatların qarışığıdır Sistem hər dəfə işə düşəndə ​​təhlükəni aktivləşdirirlər və ya hər dəfə müəyyən bir fayl açıldıqda.

Ransomware və faylsız Trojanlar

Faylsız yanaşma, kimi çox aqressiv yükləmə metodları ilə uyğunsuz deyil. fidyə proqramıRansomware proqramını diskdə saxlamadan, PowerShell və ya WMI istifadə edərək yaddaşdakı bütün şifrələməni yükləyən, deşifrə edən və icra edən kampaniyalar mövcuddur.

Eyni şəkildə, Uzaqdan Giriş Trojanları (RAT)Keyloggerlər və ya etimadnamə oğruları yarı-faylsız şəkildə işləyə, tələb olunduqda modulları yükləyə və əsas məntiqi qanuni sistem proseslərində yerləşdirə bilərlər.

İstismar dəstləri və oğurlanmış etimadnamələr

Veb istismar dəstləri tapmacanın başqa bir hissəsidir: onlar quraşdırılmış proqram təminatını aşkarlayır, Onlar uyğun eksploiti seçir və faydalı yükü birbaşa yaddaşa yeridirlər., tez-tez diskə heç nə saxlamadan.

Digər tərəfdən oğurlanmış etimadnamələr Bu, faylsız texnikalara çox uyğun bir vektordur: təcavüzkar qanuni istifadəçi kimi təsdiqlənir və oradan da yerli inzibati vasitələrdən (PowerShell Remoting, WMI, PsExec) sui-istifadə edərək zərərli proqramların klassik izlərini qoymayan skriptlər və əmrlər yerləşdirir.

Faylsız zərərli proqramı aşkar etmək niyə bu qədər çətindir?

Əsas səbəb bu təhdidin xüsusi olaraq hazırlanmasıdır ənənəvi müdafiə təbəqələrini aşmaqimzalara, ağ siyahılara və dövri fayl skanlarına əsaslanır.

Zərərli kod heç vaxt diskdə icra edilə bilən fayl kimi saxlanılmırsa və ya WMI, Qeydiyyat və ya proqram təminatı kimi qarışıq konteynerlərdə gizlənirsə, ənənəvi antivirus proqramının təhlil etmək üçün çox az şeyi var. "Şübhəli fayl" əvəzinə, əlinizdə olanlar bunlardır qeyri-adi davranış göstərən qanuni proseslər.

Bundan əlavə, PowerShell, Office makroları və ya WMI kimi alətləri kökündən bloklayır. Bir çox təşkilatda bu mümkün deyilÇünki onlar idarəetmə, avtomatlaşdırma və gündəlik əməliyyatlar üçün vacibdir. Bu, tərəfdarları çox diqqətli olmağa məcbur edir.

Bəzi satıcılar tez bir zamanda həll yolları ilə (ümumi PowerShell bloklanması, makronun tamamilə deaktiv edilməsi, yalnız bulud aşkarlanması və s.) kompensasiya etməyə çalışıblar, lakin bu tədbirlər adətən qeyri-kafi və ya həddindən artıq pozucu biznes üçün.

Faylsız zərərli proqramların aşkarlanması və qarşısının alınması üçün müasir strategiyalar

Bu təhdidlərlə mübarizə aparmaq üçün sadəcə faylları skan etməkdən kənara çıxmaq və məqsədyönlü bir yanaşma tətbiq etmək lazımdır. davranış, real vaxt telemetriyası və dərin görünürlük son nöqtədən.

Davranış və yaddaş monitorinqi

Effektiv yanaşma proseslərin əslində nə etdiyini müşahidə etməyi əhatə edir: hansı əmrləri yerinə yetirirlər, hansı resurslara daxil olurlar, hansı əlaqələr qururlaronların bir-biri ilə necə əlaqəli olduğu və s. Minlərlə zərərli proqram variantı mövcud olsa da, zərərli davranış nümunələri daha məhduddur. Bu, həmçinin aşağıdakılarla da tamamlana bilər YARA ilə qabaqcıl aşkarlama.

Müasir həllər bu telemetriyanı yaddaşdaxili analitika, qabaqcıl evristika və s. ilə birləşdirir. maşın öyrənməsi kod çox qarışıq olduqda və ya əvvəllər heç görülmədikdə belə, hücum zəncirlərini müəyyən etmək üçün.

AMSI və ETW kimi sistem interfeyslərindən istifadə

Windows kimi texnologiyalar təklif edir Anti-Malware Scan Interface (AMSI) y Windows üçün Hadisə İzləmə (ETW) Bu mənbələr sistem skriptlərinin və hadisələrinin çox aşağı səviyyədə yoxlanılmasına imkan verir. Bu mənbələrin təhlükəsizlik həllərinə inteqrasiyası aşkarlamanı asanlaşdırır. zərərli kod, icrasından əvvəl və ya icrası zamanı.

Bundan əlavə, vacib sahələrin — planlaşdırılmış tapşırıqların, WMI abunəliklərinin, açılış qeyd açarlarının və s. — təhlili müəyyən etməyə kömək edir gizli faylsız davamlılıq sadə bir fayl skanlaması ilə diqqətdən kənarda qala bilər.

Təhdid ovu və hücum göstəriciləri (IoA)

Klassik indikatorlar (heşlər, fayl yolları) çatışmadığı üçün, etibar etmək məsləhətdir hücum göstəriciləri (IoA), məlum taktikalara uyğun şübhəli davranışları və hərəkət ardıcıllığını təsvir edir.

Təhdid axtarış qrupları — daxili və ya idarə olunan xidmətlər vasitəsilə — proaktiv axtarış apara bilərlər yanal hərəkət nümunələri, yerli alətlərdən sui-istifadə, PowerShell istifadəsində anomaliyalar və ya həssas məlumatlara icazəsiz giriş, faylsız təhdidləri fəlakətə səbəb olmazdan əvvəl aşkarlamaq.

EDR, XDR və SOC 24/7

Müasir platformalar EDR və XDR (Uç nöqtəsinin aşkarlanması və geniş səviyyədə cavablandırılması), ilk fişinq e-poçtundan son exfiltrasiyaya qədər hadisənin tam tarixini yenidən qurmaq üçün lazım olan görünürlük və korrelyasiyanı təmin edir.

Bir ilə birləşdirilmişdir 24/7 əməliyyat SOCOnlar yalnız aşkar etməyə deyil, həm də avtomatik olaraq saxlayır və düzəldir zərərli fəaliyyət: kompüterləri təcrid etmək, prosesləri bloklamaq, Reyestrdəki dəyişiklikləri geri qaytarmaq və ya mümkün olduqda şifrələməni ləğv etmək.

Faylsız zərərli proqram təminatı üsulları oyunu dəyişdirib: sadəcə antivirus skanını işə salmaq və şübhəli icra olunan faylı silmək artıq kifayət deyil. Bu gün müdafiə, hücum edənlərin yaddaşda, Qeydiyyatda, WMI-da və ya proqram təminatında kodu gizlətməklə zəifliklərdən necə istifadə etdiklərini anlamağı və davranış monitorinqi, yaddaşda təhlil, EDR/XDR, təhdid axtarışı və ən yaxşı təcrübələrin kombinasiyasını tətbiq etməyi əhatə edir. Təsiri real olaraq azaldın Ənənəvi həllərin göründüyü yerdə heç bir iz qoymamağa çalışan hücumlar, vahid və davamlı bir strategiya tələb edir. Güzəştə gedərkən, bilməli Ciddi bir virusdan sonra Windows-u təmir edin Bu vacibdir.