Што такое «шкоднаснае праграмнае забеспячэнне без пастаянных файлаў» і як яго выявіць з дапамогай бясплатных інструментаў

З'яўленне шкоднаснае праграмнае забеспячэнне без пастаянных файлаў Гэта стала сапраўдным галаўным болем для службаў бяспекі. Мы маем справу не з тыповым вірусам, які «падхопліваюць» пры выдаленні выканальнага файла з дыска, а з пагрозамі, якія знаходзяцца ў памяці, злоўжываюць легітымнымі сістэмнымі інструментамі і ў многіх выпадках амаль не пакідаюць ніякіх карысных слядоў для экспертызы.

Гэты тып атакі стаў асабліва папулярным сярод прасунутых груп і кіберзлачынцаў, якія імкнуцца абыходзіць традыцыйнае антывіруснае праграмнае забеспячэнне, красці дадзеныя і заставацца схаванымі як мага даўжэй. Разуменне таго, як яны працуюць, якія метады выкарыстоўваюць і як іх выяўляць, з'яўляецца ключавым для любой арганізацыі, якая хоча сур'ёзна паставіцца да кібербяспекі сёння.

Што такое бесфайлавае шкоднаснае праграмнае забеспячэнне і чаму яно выклікае такую ​​заклапочанасць?

Калі мы гаворым пра безфайлавае шкоднаснае праграмнае забеспячэнне Мы не сцвярджаем, што не закрануты ніводны байт, але што шкоднасны код Ён не захоўваецца на дыску як класічны выканальны файл з канцавой кропкі. Замест гэтага ён працуе непасрэдна ў памяці або размяшчаецца ў менш бачных кантэйнерах, такіх як рэестр, WMI або запланаваныя задачы.

У многіх выпадках зламыснік абапіраецца на інструменты, якія ўжо ёсць у сістэме — PowerShell, WMI, скрыпты, падпісаныя бінарныя файлы Windows — каб загружаць, расшыфроўваць або выконваць карысныя нагрузкі непасрэдна ў аператыўную памяцьТакім чынам, не застаюцца відавочныя выканальныя файлы, якія антывірус на аснове сігнатур мог бы выявіць пры звычайным сканаванні.

Акрамя таго, частка ланцужка атакі можа быць "безфайлавай", а іншая частка можа выкарыстоўваць файлавую сістэму, таму гаворка ідзе пра некалькі спектр тэхнік без файлаў аднаго сямейства шкоднасных праграм. Вось чаму не існуе адзінага закрытага вызначэння, а некалькі катэгорый у залежнасці ад ступені іх уздзеяння на машыну.

Асноўныя характарыстыкі шкоднасных праграм без пастаянных файлаў

Ключавой уласцівасцю гэтых пагроз з'яўляецца іх выкананне, арыентаванае на памяцьШкодны код загружаецца ў аператыўную памяць і выконваецца ў легітымных працэсах, не патрабуючы стабільнага шкоднаснага двайковага файла на цвёрдым дыску. У некаторых выпадках ён нават уводзіцца ў крытычныя сістэмныя працэсы для лепшай маскіроўкі.

Яшчэ адной важнай асаблівасцю з'яўляецца нетрадыцыйная настойлівасцьШмат якія кампаніі без файлаў з'яўляюцца цалкам нестабільнымі і знікаюць пасля перазагрузкі, але іншыя прымудраюцца рэактываваць з дапамогай ключоў аўтазапуску рэестра, падпісак WMI, запланаваных задач або BITS, так што "бачны" артэфакт мінімальны, а рэальная карысная нагрузка кожны раз захоўваецца ў памяці.

Такі падыход значна зніжае эфектыўнасць выяўленне на аснове сігнатурПаколькі няма фіксаванага выканальнага файла для аналізу, часта можна ўбачыць цалкам легітымныя PowerShell.exe, wscript.exe або mshta.exe, запушчаныя з падазронымі параметрамі або загружаючыя заблытаны кантэнт.

Нарэшце, многія акцёры спалучаюць безфайлавыя тэхнікі з іншымі тыпы шкоднасных праграм, такіх як траяны, праграмы-вымагальнікі або рэкламнае ПЗ, што прыводзіць да гібрыдных кампаній, якія спалучаюць у сабе лепшае (і горшае) з абодвух светаў: настойлівасць і скрытнасць.

Тыпы бясфайлавых пагроз у залежнасці ад іх уздзеяння на сістэму

Некалькі вытворцаў бяспекі Яны класіфікуюць «бязфайлавыя» пагрозы ў залежнасці ад слядоў, якія яны пакідаюць на кампутары. Гэтая таксанамія дапамагае нам зразумець, што мы бачым і як гэта даследаваць.

Тып I: няма бачнай актыўнасці файлаў

У самым схаваным канцы мы знаходзім шкоднаснае праграмнае забеспячэнне, якое Ён абсалютна нічога не запісвае ў файлавую сістэмуКод паступае, напрыклад, праз сеткавыя пакеты, якія выкарыстоўваюць уразлівасць (напрыклад, EternalBlue), уводзіцца непасрэдна ў памяць і падтрымліваецца, напрыклад, як бэкдор у ядры (DoublePulsar быў сімвалічным выпадкам).

У іншых выпадках інфекцыя знаходзіцца ў Прашыўка BIOS, сеткавыя карты, прылады USB або нават падсістэмы ўнутры працэсараГэты тып пагрозы можа перажыць пераўсталёўку аперацыйнай сістэмы, фарматаванне дыска і нават некаторыя поўныя перазагрузкі.

Праблема ў тым, што большасць рашэнняў бяспекі Яны не правяраюць прашыўку або мікракодІ нават калі гэта так, то ліквідацыя наступстваў — складаная справа. На шчасце, гэтыя метады звычайна выкарыстоўваюцца толькі вельмі дасведчанымі асобамі і не з'яўляюцца нормай пры масавых нападах.

Тып II: Ускоснае выкарыстанне файлаў

Другая група заснавана на утрымліваць шкоднасны код у структурах, якія захоўваюцца на дыскуАле не ў выглядзе традыцыйных выканальных файлаў, а ў рэпазіторыях, якія змешваюць законныя і шкоднасныя дадзеныя, якія цяжка ачысціць, не пашкодзіўшы сістэму.

Тыповымі прыкладамі з'яўляюцца скрыпты, якія захоўваюцца ў Рэпазітар WMI, заблытаныя ланцугі ў Ключы рэестра або запланаваныя задачы, якія запускаюць небяспечныя каманды без відавочнага шкоднаснага двайковага файла. Шкоднаснае праграмнае забеспячэнне можа ўсталёўваць гэтыя запісы непасрэдна з каманднага радка або скрыпта, а потым заставацца практычна нябачным.

Хоць тэхнічна гэта датычыцца файлаў (фізічнага файла, дзе Windows захоўвае рэпазітар WMI або куста рэестра), з практычнага пункту гледжання мы гаворым пра актыўнасць без файлаў таму што няма відавочнага выканальнага файла, які можна проста змясціць у каранцін.

Тып III: для функцыянавання патрэбныя файлы

Да трэцяга тыпу адносяцца пагрозы, якія Яны выкарыстоўваюць файлы, але такім чынам, што гэта не вельмі карысна для выяўлення.Вядомы прыклад — Kovter, які рэгіструе выпадковыя пашырэнні ў рэестры, каб пры адкрыцці файла з гэтым пашырэннем выконваўся скрыпт праз mshta.exe або падобны натыўны бінарны файл.

Гэтыя файлы-прыманкі ўтрымліваюць неістотныя дадзеныя і сапраўдны шкоднасны код Ён атрымліваецца з іншых ключоў рэестра або ўнутраныя рэпазіторыі. Нягледзячы на ​​тое, што на дыску «нешта» ёсць, выкарыстоўваць гэта як надзейны індыкатар кампраметацыі, не кажучы ўжо пра механізм прамой ачысткі, няпроста.

Найбольш распаўсюджаныя транспарцёры і кропкі заражэння

Акрамя класіфікацыі следу, важна разумець, як Вось тут і ўступае ў гульню шкоднаснае праграмнае забеспячэнне без пастаянных файлаў. У паўсядзённым жыцці зламыснікі часта спалучаюць некалькі вектараў у залежнасці ад асяроддзя і мэты.

Эксплойты і ўразлівасці

Адзін з самых прамых шляхоў — гэта злоўжыванне Уразлівасці дыстанцыйнага выканання кода (RCE) у браўзерах, плагінах (напрыклад, Flash у мінулым), вэб-праграмах або сеткавых службах (SMB, RDP і г.д.). Эксплойт уводзіць шэл-код, які непасрэдна загружае або дэкадуе шкоднасную карысную нагрузку ў памяць.

У гэтай мадэлі зыходны файл можа знаходзіцца ў сетцы (тып эксплойтаў WannaCryабо ў дакуменце, які адкрывае карыстальнік, але Карысная нагрузка ніколі не запісваецца на дыск як выканальны файл: ён расшыфроўваецца і выконваецца на хаду з аператыўнай памяці.

Шкоднасныя дакументы і макрасы

Яшчэ адзін шырока эксплуатаваны шлях — гэта Дакументы Office з макрасамі або DDEа таксама PDF-файлы, прызначаныя для выкарыстання ўразлівасцей чытачоў. Здавалася б, бяскрыўдны файл Word або Excel можа ўтрымліваць код VBA, які запускае PowerShell, WMI або іншыя інтэрпрэтатары для загрузкі кода, выканання каманд або ўстаўкі шэл-кода ў давераныя працэсы.

Тут файл на дыску — гэта «толькі» кантэйнер дадзеных, а фактычны вектар — гэта унутраны механізм сцэнарыяў праграмыНасамрэч, многія кампаніі па масавай рассылцы спаму злоўжывалі гэтай тактыкай для разгортвання бязфайлавых атак на карпаратыўныя сеткі.

Легітымныя скрыпты і бінарныя файлы (Жыццё за кошт зямлі)

Зламыснікам падабаюцца інструменты, якія ўжо прапануе Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Інструментарый кіравання Windows, BITS і г.д. Гэтыя падпісаныя і надзейныя двайковыя файлы могуць выконваць скрыпты, DLL-файлы або аддалены кантэнт без неабходнасці падазронага "virus.exe".

Перадаючы шкоднасны код як параметры каманднага радкаУбудаванне яго ў вобразы, шыфраванне і дэкадаванне ў памяці або захоўванне ў рэестры гарантуе, што антывірус бачыць толькі актыўнасць легітымных працэсаў, што значна ўскладняе выяўленне выключна на аснове файлаў.

Скампраметаванае абсталяванне і прашыўка

На яшчэ ніжэйшым узроўні прасунутыя зламыснікі могуць пранікнуць Прашыўка BIOS, сеткавыя карты, жорсткія дыскі ці нават падсістэмы кіравання працэсарам (напрыклад, Intel ME або AMT). Гэты тып шкоднаснага праграмнага забеспячэння працуе пад аперацыйнай сістэмай і можа перахопліваць або змяняць трафік без ведама аперацыйнай сістэмы.

Нягледзячы на ​​тое, што гэта экстрэмальны сцэнар, ён ілюструе ступень, у якой пагроза без файлаў можа Захоўваць захаванасць, не дакранаючыся файлавай сістэмы АСі чаму класічныя інструменты для канчатковых кропак не спраўляюцца з гэтымі выпадкамі.

Як працуе атака шкоднаснага праграмнага забеспячэння без пастаянных файлаў

На ўзроўні патоку атака без файлаў вельмі падобная на атаку на аснове файлаў, але з адпаведныя адрозненні у тым, як рэалізуецца карысная нагрузка і як падтрымліваецца доступ.

1. Першапачатковы доступ да сістэмы

Усё пачынаецца, калі нападнік атрымлівае першую апору: фішынгавы ліст са шкоднаснай спасылкай або ўкладаннем, эксплойт супраць уразлівага прыкладання, скрадзеныя ўліковыя дадзеныя для RDP або VPN, або нават падробленая USB-прылада.

На гэтым этапе выкарыстоўваецца наступнае: сацыяльная інжынерыяшкоднасныя перанакіраванні, рэкламныя кампаніі са шкоднаснымі спасылкамі або шкоднасныя атакі Wi-Fi, каб падмануць карыстальніка і прымусіць яго націскаць там, дзе не трэба, або скарыстацца паслугамі, даступнымі ў Інтэрнэце.

2. Выкананне шкоднаснага кода ў памяці

Пасля атрымання першага запісу запускаецца кампанент без файлаў: макрас Office запускае PowerShell, эксплойт уводзіць шэл-код, падпіска WMI запускае скрыпт і г.д. Мэта складаецца ў тым, каб загружаць шкоднасны код непасрэдна ў аператыўную памяцьальбо загрузіўшы яго з Інтэрнэту, альбо аднавіўшы з убудаваных дадзеных.

Адтуль шкоднаснае праграмнае забеспячэнне можа пашырыць прывілеі, перанесціся ў іншыя сістэмы, украсці ўліковыя дадзеныя, разгарнуць вэб-абалонкі, усталяваць RAT або шыфраваць дадзеныяУсё гэта падтрымліваецца законнымі працэсамі па зніжэнні шуму.

3. Устанаўленне настойлівасці

Сярод звычайных тэхнік з'яўляюцца:

• Клавішы аўтазапуску у рэестры, якія выконваюць каманды або скрыпты пры ўваходзе ў сістэму.
• Запланаваныя задачы якія запускаюць скрыпты, легітымныя бінарныя файлы з параметрамі або дыстанцыйныя каманды.
• Падпіскі WMI якія запускаюць код пры ўзнікненні пэўных сістэмных падзей.
• Выкарыстанне BITS для перыядычнай загрузкі карысных нагрузак з сервераў кіравання і кантролю.

У выпадках, калі пастаянны кампанент мінімальны і служыць толькі для паўторна ўвесці шкоднаснае праграмнае забеспячэнне ў памяць кожны раз, калі сістэма запускаецца або выконваецца пэўная ўмова.

4. Дзеянні па мэтах і эвакуацыя

З упэўненасцю ў сваёй настойлівасці зламыснік засяроджваецца на тым, што яго сапраўды цікавіць: крадзеж інфармацыі, яе шыфраванне, маніпуляванне сістэмамі або шпіянаж на працягу месяцаўВыкраданне дадзеных можа ажыццяўляцца праз HTTPS, DNS, схаваныя каналы або легітымныя сэрвісы. У рэальных інцыдэнтах, ведаючы Што рабіць у першыя 24 гадзіны пасля ўзлому можа мець значэнне.

Пры APT-атаках шкоднаснае праграмнае забеспячэнне звычайна застаецца ціха і незаўважна на працягу доўгага часу, стварэнне дадатковых задніх дзвярэй, каб забяспечыць доступ, нават калі частка інфраструктуры будзе выяўлена і ачышчана.

Магчымасці і тыпы шкоднасных праграм, якія могуць быць безфайлавымі

Практычна любую шкоднасную функцыю, якую можа выконваць класічнае шкоднаснае праграмнае забеспячэнне, можна рэалізаваць з дапамогай гэтага падыходу. безфайлавы або паўбезфайлавыЗмяняецца не мэта, а спосаб разгортвання кода.

Шкоднаснае праграмнае забеспячэнне знаходзіцца толькі ў памяці

У гэтую катэгорыю ўваходзяць карысныя нагрузкі, якія Яны жывуць выключна ў памяці працэсу або ядра.Сучасныя руткіты, прасунутыя бэкдоры або шпіёнскія праграмы могуць загружацца ў памяць легітымнага працэсу і заставацца там да перазагрузкі сістэмы.

Гэтыя кампаненты асабліва цяжка ўбачыць з дапамогай дыскавых інструментаў і прымушаюць выкарыстоўваць аналіз жывой памяці, EDR з праверкай у рэжыме рэальнага часу або пашыранымі магчымасцямі крыміналістычнай экспертызы.

Шкоднаснае праграмнае забеспячэнне на базе рэестра Windows

Яшчэ адзін паўтаральны метад - гэта захоўванне зашыфраваны або заблытаны код у ключах рэестра і выкарыстоўваць легітымны двайковы файл (напрыклад, PowerShell, MSHTA або rundll32) для яго чытання, дэкадавання і выканання ў памяці.

Пачатковая праграма можа самазнішчыцца пасля запісу ў рэестр, таму ўсё, што застаецца, — гэта сумесь, здавалася б, бяскрыўдных дадзеных, якія Яны актывуюць пагрозу кожны раз, калі сістэма запускаецца або кожны раз, калі адкрываецца пэўны файл.

Вымагальніцкія праграмы і траяны без файлаў

Бесфайлавы падыход не сумяшчальны з вельмі агрэсіўнымі метадамі загрузкі, такімі як вымагальнікаўІснуюць кампаніі, якія спампоўваюць, расшыфроўваюць і выконваюць усё шыфраванне ў памяці з дапамогай PowerShell або WMI, не пакідаючы выканальны файл вымагальніка на дыску.

Акрамя таго, траяны аддаленага доступу (RAT)Кейлогеры або злодзеі ўліковых дадзеных могуць працаваць напаўбезфайлавым чынам, загружаючы модулі па патрабаванні і размяшчаючы асноўную логіку ў легітымных сістэмных працэсах.

Камплекты для эксплойтавання і скрадзеныя ўліковыя дадзеныя

Вэб-эксплойты — яшчэ адзін элемент галаваломкі: яны выяўляюць усталяванае праграмнае забеспячэнне, Яны выбіраюць адпаведны эксплойт і ўводзяць карысную нагрузку непасрэдна ў памяць., часта без захавання чаго-небудзь на дыску.

З іншага боку, выкарыстанне скрадзеныя ўліковыя дадзеныя Гэта вектар, які вельмі добра спалучаецца з бясфайлавымі метадамі: зламыснік аўтэнтыфікуецца як законны карыстальнік і, адтуль, злоўжывае ўбудаванымі інструментамі адміністравання (PowerShell Remoting, WMI, PsExec) для разгортвання скрыптоў і каманд, якія не пакідаюць класічных слядоў шкоднаснага праграмнага забеспячэння.

Чаму так цяжка выявіць шкоднаснае праграмнае забеспячэнне без файлаў?

Асноўная прычына ў тым, што гэты тып пагрозы спецыяльна распрацаваны для таго, каб абыйсці традыцыйныя пласты абаронына аснове сігнатур, белых спісаў і перыядычных сканаванняў файлаў.

Калі шкоднасны код ніколі не захоўваецца ў выглядзе выканальнага файла на дыску або калі ён хаваецца ў змешаных кантэйнерах, такіх як WMI, рэестр або прашыўка, традыцыйнае антывіруснае праграмнае забеспячэнне мае вельмі мала для аналізу. Замест «падазронага файла» вы атрымліваеце… законныя працэсы, якія паводзяць сябе анамальна.

Акрамя таго, ён радыкальна блакуе такія інструменты, як PowerShell, макрасы Office або WMI. Гэта нежыццяздольна ў многіх арганізацыяхТаму што яны неабходныя для адміністравання, аўтаматызацыі і штодзённых аперацый. Гэта прымушае прыхільнікаў дзейнічаць вельмі асцярожна.

Некаторыя пастаўшчыкі спрабавалі кампенсаваць гэта хуткімі выпраўленнямі (агульная блакіроўка PowerShell, поўнае адключэнне макрасаў, выяўленне толькі ў воблаку і г.д.), але гэтыя меры звычайна недастаткова або празмерна разбуральна для бізнесу.

Сучасныя стратэгіі выяўлення і спынення бесфайлавых шкоднасных праграм

Каб супрацьстаяць гэтым пагрозам, неабходна выйсці за рамкі простага сканавання файлаў і прыняць мэтанакіраваны падыход. паводзіны, тэлеметрыя ў рэжыме рэальнага часу і глыбокая бачнасць з канчатковага пункта.

Маніторынг паводзін і памяці

Эфектыўны падыход прадугледжвае назіранне за тым, што насамрэч робяць працэсы: якія каманды яны выконваюць, да якіх рэсурсаў яны атрымліваюць доступ, якія злучэнні яны ўстанаўліваюцьяк яны звязаны адзін з адным і г.д. Нягледзячы на ​​тое, што існуюць тысячы варыянтаў шкоднасных праграм, мадэлі паводзін шкоднасных праграм значна больш абмежаваныя. Гэта таксама можна дапоўніць з дапамогай Пашыранае выяўленне з дапамогай YARA.

Сучасныя рашэнні спалучаюць гэтую тэлеметрыю з аналітыкай у памяці, пашыранай эўрыстыкай і аўтаматычнае навучанне выяўляць ланцужкі атак, нават калі код моцна заблытаны або ніколі раней не выкарыстоўваўся.

Выкарыстанне сістэмных інтэрфейсаў, такіх як AMSI і ETW

Windows прапануе такія тэхналогіі, як Інтэрфейс сканавання супраць шкоднасных праграм (AMSI) y Адсочванне падзей для Windows (ETW) Гэтыя крыніцы дазваляюць правяраць сістэмныя скрыпты і падзеі на вельмі нізкім узроўні. Інтэграцыя гэтых крыніц у рашэнні бяспекі спрашчае выяўленне. шкоднасны код непасрэдна перад або падчас яго выканання.

Акрамя таго, аналіз крытычна важных абласцей — запланаваных задач, падпісак WMI, ключоў рэестра загрузкі і г.д. — дапамагае вызначыць схаванае захаванне без файлаў што можа застацца незаўважаным пры простым сканаванні файлаў.

Пошук пагроз і індыкатары атакі (IoA)

Паколькі класічныя індыкатары (хэшы, шляхі да файлаў) недастатковыя, рэкамендуецца абапірацца на індыкатары атакі (IoA), якія апісваюць падазроныя паводзіны і паслядоўнасць дзеянняў, што адпавядаюць вядомай тактыцы.

Каманды па пошуку пагроз — унутраныя або праз кіраваныя службы — могуць праактыўна шукаць шаблоны латэральных рухаў, злоўжыванне натыўнымі інструментамі, анамаліі ў выкарыстанні PowerShell або несанкцыянаваны доступ да канфідэнцыйных дадзеных, выяўляючы пагрозы без файлаў, перш чым яны справакуюць катастрофу.

EDR, XDR і SOC 24/7

Сучасныя платформы EDR і XDR (Выяўленне канчатковых кропак і рэагаванне на пашыраным узроўні) забяспечвае бачнасць і карэляцыю, неабходныя для рэканструкцыі поўнай гісторыі інцыдэнту, ад першага фішынгавага электроннага ліста да канчатковай эксфільтрацыі.

У спалучэнні з Кругласутачная праца SOCЯны дазваляюць не толькі выяўляць, але і аўтаматычна стрымліваць і ліквідаваць шкоднасная актыўнасць: ізаляваць кампутары, блакіраваць працэсы, аднаўляць змены ў рэестры або адмяняць шыфраванне, калі гэта магчыма.

Бескалейныя метады шкоднасных праграм змянілі правілы гульні: простага запуску антывіруснай праверкі і выдалення падазронага выканальнага файла ўжо недастаткова. Сёння абарона прадугледжвае разуменне таго, як зламыснікі выкарыстоўваюць уразлівасці, хаваючы код у памяці, рэестры, WMI або прашыўцы, і разгортванне камбінацыі паводніцкага маніторынгу, аналізу ў памяці, EDR/XDR, пошуку пагроз і перадавых практык. Рэалістычна паменшыць уплыў Атакі, якія наўмысна імкнуцца не пакідаць слядоў там, дзе выглядаюць больш традыцыйныя рашэнні, патрабуюць комплекснай і пастаяннай стратэгіі. У выпадку кампрамісу, ведаючы Аднаўленне Windows пасля сур'ёзнай віруснай інфекцыі мае важнае значэнне.