Какво е „зловреден софтуер без постоянни файлове“ и как да го открием с безплатни инструменти

Появата на зловреден софтуер без постоянни файлове Това е истинско главоболие за екипите по сигурността. Не си имаме работа с типичния вирус, който „хващате“, когато изтривате изпълним файл от диска, а със заплахи, които се намират в паметта, злоупотребяват с легитимни системни инструменти и в много случаи не оставят почти никакви използваеми криминалистични следи.

Този тип атака стана особено популярен сред напреднали групи и киберпрестъпници, търсещи избягват традиционния антивирусен софтуер, крадат данни и остават скрити възможно най-дълго. Разбирането как работят, какви техники използват и как да ги откриват е ключово за всяка организация, която иска да се заеме сериозно с киберсигурността днес.

Какво е безфайлов зловреден софтуер и защо е толкова обезпокоителен?

Когато говорим за това безфайлов зловреден софтуер Не казваме, че не е замесен нито един байт, а че злонамереният код Не се съхранява като класически изпълним файл на диск от крайната точка. Вместо това, той се изпълнява директно в паметта или се хоства в по-малко видими контейнери, като например системния регистър, WMI или планирани задачи.

В много сценарии, атакуващият разчита на инструменти, които вече са налични в системата – PowerShell, WMI, скриптове, подписани двоични файлове на Windows – за да зарежда, декриптира или изпълнява полезни товари директно в RAM паметтаПо този начин се избягва оставянето на очевидни изпълними файлове, които антивирусна програма, базирана на сигнатури, би могла да открие при нормално сканиране.

Освен това, част от веригата за атака може да бъде „безфайлова“, а друга част може да използва файловата система, така че говорим за повече от една спектър от техники за безфайлово моделиране на едно-единствено семейство зловреден софтуер. Ето защо няма единна, затворена дефиниция, а по-скоро няколко категории в зависимост от степента на въздействие, което оказват върху машината.

Основни характеристики на зловредния софтуер без постоянни файлове

Ключово свойство на тези заплахи е тяхното изпълнение, ориентирано към паметтаЗловредният код се зарежда в RAM паметта и се изпълнява в рамките на легитимни процеси, без да е необходим стабилен злонамерен двоичен файл на твърдия диск. В някои случаи той дори се инжектира в критични системни процеси за по-добра маскировка.

Друга важна характеристика е нетрадиционна упоритостМного кампании без файлове са напълно нестабилни и изчезват след рестартиране, но други успяват да се реактивират с помощта на ключове за автоматично изпълнение в системния регистър, WMI абонаменти, планирани задачи или BITS, така че „видимият“ артефакт е минимален и реалният полезен товар се запазва в паметта всеки път.

Този подход значително намалява ефективността на откриване въз основа на сигнатуриТъй като няма фиксиран изпълним файл за анализ, това, което често виждате, е напълно легитимен PowerShell.exe, wscript.exe или mshta.exe, стартиран със съмнителни параметри или зареждащ обфусирано съдържание.

И накрая, много актьори комбинират техники без файлове с други видове злонамерен софтуер, като троянски коне, рансъмуер или рекламен софтуер, което води до хибридни кампании, съчетаващи най-доброто (и най-лошото) от двата свята: постоянство и скритост.

Видове безфайлови заплахи според тяхното влияние върху системата

Няколко производители на системи за сигурност Те класифицират „безфайловите“ заплахи според следата, която оставят на компютъра. Тази таксономия ни помага да разберем какво виждаме и как да го разследваме.

Тип I: няма видима файлова активност

В най-скрития край откриваме зловреден софтуер, който Не записва абсолютно нищо във файловата системаКодът пристига например чрез мрежови пакети, които експлоатират уязвимост (като EternalBlue), инжектира се директно в паметта и се поддържа например като задна вратичка в ядрото (DoublePulsar беше емблематичен случай).

В други сценарии инфекцията се намира в BIOS фърмуер, мрежови карти, USB устройства или дори подсистеми в процесораТози тип заплаха може да оцелее след преинсталиране на операционната система, форматиране на диск и дори някои пълни рестартирания.

Проблемът е, че повечето решения за сигурност Те не проверяват фърмуера или микрокодаИ дори и да го направят, отстраняването на проблемите е сложно. За щастие, тези техники обикновено са запазени за висококвалифицирани участници и не са норма при масови атаки.

Тип II: Непряко използване на файлове

Втората група е базирана на съдържат злонамерен код в структури, съхранявани на дискаНо не като традиционни изпълними файлове, а в хранилища, които смесват легитимни и злонамерени данни, трудни за почистване, без да се повреди системата.

Типични примери са скриптове, съхранявани в WMI хранилище, обфускирани вериги в ключове в регистъра или планирани задачи, които стартират опасни команди без ясен злонамерен двоичен файл. Злонамереният софтуер може да инсталира тези записи директно от командния ред или скрипт и след това да остане практически невидим.

Въпреки че технически има включени файлове (физическият файл, където Windows съхранява WMI хранилището или кошера на системния регистър), за практически цели говорим за безфайлова активност защото няма очевиден изпълним файл, който може просто да бъде поставен под карантина.

Тип III: Изисква файлове, за да функционира

Третият тип включва заплахи, които Те използват файлове, но по начин, който не е много полезен за откриване.Добре известен пример е Kovter, който регистрира произволни разширения в системния регистър, така че когато се отвори файл с това разширение, се изпълнява скрипт чрез mshta.exe или подобен оригинален двоичен файл.

Тези файлове-примамки съдържат неподходящи данни и истинския зловреден код Извлича се от други ключове на системния регистър или вътрешни хранилища. Въпреки че има „нещо“ на диска, не е лесно да се използва като надежден индикатор за компрометиране, още по-малко като директен механизъм за почистване.

Най-чести входни вектори и точки на инфекция

Отвъд класификацията на отпечатъците, важно е да се разбере как Тук се намесва злонамерен софтуер без постоянни файлове. В ежедневието нападателите често комбинират няколко вектора в зависимост от средата и целта.

Експлойти и уязвимости

Един от най-преките пътища е злоупотребата с Уязвимости за дистанционно изпълнение на код (RCE) в браузъри, плъгини (като Flash от миналото), уеб приложения или мрежови услуги (SMB, RDP и др.). Експлойтът инжектира шелкод, който директно изтегля или декодира злонамерения полезен товар в паметта.

В този модел, първоначалният файл може да бъде в мрежата (експлойти от тип WannaCryили в документ, който потребителят отваря, но Полезният товар никога не се записва като изпълним файл на диск: дешифрира се и се изпълнява в движение от RAM паметта.

Злонамерени документи и макроси

Друг силно използван път е Office документи с макроси или DDEкакто и PDF файлове, предназначени да експлоатират уязвимости на четеца. Привидно безобиден Word или Excel файл може да съдържа VBA код, който стартира PowerShell, WMI или други интерпретатори за изтегляне на код, изпълнение на команди или инжектиране на шелкод в надеждни процеси.

Тук файлът на диска е „само“ контейнер за данни, докато действителният вектор е вътрешният скриптов двигател на приложениетоВсъщност много масови спам кампании са злоупотребявали с тази тактика, за да внедряват безфайлови атаки срещу корпоративни мрежи.

Легитимни скриптове и двоични файлове (Да живееш от земята)

Нападателите харесват инструментите, които Windows вече предоставя: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Инструменти за управление на Windows, BITS и др. Тези подписани и надеждни двоични файлове могат да изпълняват скриптове, DLL файлове или отдалечено съдържание, без да е необходим подозрителен „virus.exe“.

Чрез предаване на зловреден код като параметри на командния редВграждането му в изображения, криптирането и декодирането му в паметта или съхраняването му в системния регистър гарантира, че антивирусната програма вижда само активност от легитимни процеси, което прави откриването, основано единствено на файлове, много по-трудно.

Компрометиран хардуер и фърмуер

На още по-ниско ниво, напреднали нападатели могат да проникнат BIOS фърмуер, мрежови карти, твърди дискове или дори подсистеми за управление на процесора (като например Intel ME или AMT). Този тип зловреден софтуер работи под операционната система и може да прехваща или променя трафика, без операционната система да знае за това.

Въпреки че е екстремен сценарий, той илюстрира степента, до която една безфайлова заплаха може Поддържайте постоянство, без да докосвате файловата система на операционната системаи защо класическите инструменти за крайни точки не са достатъчни в тези случаи.

Как работи атаката със зловреден софтуер без постоянни файлове

На ниво поток, атаката без файлове е доста подобна на атаката, базирана на файлове, но с съответните разлики в това как се реализира полезният товар и как се поддържа достъпът.

1. Първоначален достъп до системата

Всичко започва, когато нападателят получи първа опорна точка: фишинг имейл със злонамерен линк или прикачен файл, експлойт срещу уязвимо приложение, откраднати идентификационни данни за RDP или VPN или дори подправено USB устройство.

В тази фаза се използва следното: социално инженерствозлонамерени пренасочвания, кампании за малтретиране или злонамерени Wi-Fi атаки, целящи да подведат потребителя да кликне там, където не би трябвало, или да експлоатират услуги, достъпни в интернет.

2. Изпълнение на зловреден код в паметта

След като се получи първият запис, се задейства безфайловият компонент: макрос на Office стартира PowerShell, експлойт инжектира шелкод, WMI абонамент задейства скрипт и т.н. Целта е зарежда зловреден код директно в RAM паметтаили чрез изтегляне от интернет, или чрез реконструкция от вградени данни.

Оттам зловредният софтуер може ескалиране на привилегии, странично преместване, кражба на идентификационни данни, внедряване на уеб шелове, инсталиране на RAT-ове или криптиране на данниВсичко това е подкрепено от легитимни процеси за намаляване на шума.

3. Установяване на постоянство

Сред обичайните техники Те са следните:

• Ключове за автоматично стартиране в системния регистър, които изпълняват команди или скриптове при влизане в системата.
• Планирани задачи които стартират скриптове, легитимни двоични файлове с параметри или отдалечени команди.
• WMI абонаменти които задействат код, когато възникнат определени системни събития.
• Използване на BITS за периодично изтегляне на полезни товари от сървъри за командване и контрол.

В някои случаи персистиращият компонент е минимален и служи само за повторно инжектиране на зловредния софтуер в паметта всеки път, когато системата се стартира или е изпълнено определено условие.

4. Действия по цели и евакуация

С гарантирана упоритост, нападателят се фокусира върху това, което наистина го интересува: кражба на информация, криптирането ѝ, манипулиране на системи или шпиониране в продължение на месециИзтичането на данни може да се осъществи чрез HTTPS, DNS, скрити канали или легитимни услуги. В реални инциденти, знаейки Какво да правите през първите 24 часа след хакване може да има значение.

При APT атаките е обичайно зловредният софтуер да остане тих и дискретен за дълги периоди, изграждане на допълнителни задни врати, за да се осигури достъп, дори ако част от инфраструктурата бъде открита и разчистена.

Възможности и видове зловреден софтуер, който може да бъде безфайлов

На практика всяка злонамерена функция, която класическият зловреден софтуер може да изпълнява, може да бъде реализирана чрез следване на този подход. безфайлов или полубезфайловТова, което се променя, не е целта, а начинът, по който се използва кодът.

Зловреден софтуер, намиращ се само в паметта

Тази категория включва полезни товари, които Те живеят изключително в паметта на процеса или ядрото.Съвременните руткитове, усъвършенстваните задни врати или шпионският софтуер могат да се заредят в паметта на легитимен процес и да останат там, докато системата не бъде рестартирана.

Тези компоненти са особено трудни за виждане с дисково-ориентирани инструменти и налагат използването на анализ на живата памет, EDR с проверка в реално време или усъвършенствани криминалистични възможности.

Зловреден софтуер, базиран на системния регистър на Windows

Друга повтаряща се техника е съхраняването криптиран или обфускиран код в ключовете на системния регистър и използвайте легитимен двоичен файл (като PowerShell, MSHTA или rundll32), за да го прочетете, декодирате и изпълните в паметта.

Първоначалният дроппер може да се самоунищожи след запис в системния регистър, така че всичко, което остава, е смес от привидно безобидни данни, които Те активират заплахата всеки път, когато системата се стартира или всеки път, когато се отвори определен файл.

Рансъмуер и троянски коне без файлове

Безфайловият подход не е несъвместим с много агресивни методи за зареждане, като например ransomwareИма кампании, които изтеглят, декриптират и изпълняват цялото криптиране в паметта, използвайки PowerShell или WMI, без да оставят изпълнимия файл на ransomware на диска.

По същия начин, троянски коне за отдалечен достъп (RAT)Кейлогърите или крадците на идентификационни данни могат да работят полу-безфайлово, зареждайки модули при поискване и хоствайки основната логика в легитимни системни процеси.

Комплекти за експлоатация и откраднати идентификационни данни

Комплектите за уеб експлойт са друга част от пъзела: те откриват инсталиран софтуер, Те избират подходящата експлойт атака и инжектират полезния товар директно в паметта., често без да се запазва нищо на диска.

От друга страна, използването на откраднати идентификационни данни Това е вектор, който се вписва много добре с безфайловите техники: атакуващият се удостоверява като легитимен потребител и оттам злоупотребява с вградените инструменти за администриране (PowerShell Remoting, WMI, PsExec), за да внедри скриптове и команди, които не оставят класически следи от зловреден софтуер.

Защо е толкова трудно да се открие безфайлов зловреден софтуер?

Основната причина е, че този вид заплаха е специално предназначена да заобиколят традиционните слоеве на защитабазирано на сигнатури, бели списъци и периодични сканирания на файлове.

Ако злонамереният код никога не се запазва като изпълним файл на диск или ако се крие в смесени контейнери като WMI, системния регистър или фърмуера, традиционният антивирусен софтуер има много малко за анализ. Вместо „подозрителен файл“, това, което имате, е легитимни процеси, които се държат аномално.

Освен това, той радикално блокира инструменти като PowerShell, макроси на Office или WMI. Не е жизнеспособно в много организацииЗащото те са от съществено значение за администрирането, автоматизацията и ежедневните операции. Това принуждава застъпниците да действат много внимателно.

Някои доставчици са се опитали да компенсират с бързи решения (общо блокиране на PowerShell, пълно деактивиране на макроси, откриване само в облака и др.), но тези мерки обикновено са... недостатъчни или прекомерно разрушителни за бизнеса.

Съвременни стратегии за откриване и спиране на безфайлов зловреден софтуер

За да се справим с тези заплахи, е необходимо да се отиде отвъд простото сканиране на файлове и да се възприеме целенасочен подход. поведение, телеметрия в реално време и дълбока видимост на последната точка.

Мониторинг на поведението и паметта

Ефективният подход включва наблюдение на това, което процесите всъщност правят: какви команди изпълняват, до какви ресурси имат достъп, какви връзки установяваткак се свързват помежду си и т.н. Въпреки че съществуват хиляди варианти на зловреден софтуер, моделите на злонамерено поведение са много по-ограничени. Това може да се допълни и с Разширено откриване с YARA.

Съвременните решения комбинират тази телеметрия с анализи в паметта, усъвършенствани евристики и автоматично обучение да се идентифицират вериги от атаки, дори когато кодът е силно обфускиран или никога преди не е бил виждан.

Използване на системни интерфейси като AMSI и ETW

Windows предлага технологии като Интерфейс за сканиране срещу зловреден софтуер (AMSI) y Проследяване на събития за Windows (ETW) Тези източници позволяват проверка на системни скриптове и събития на много ниско ниво. Интегрирането на тези източници в решения за сигурност улеснява откриването. зловреден код непосредствено преди или по време на изпълнението му.

Освен това, анализът на критични области – планирани задачи, WMI абонаменти, ключове в системния регистър за зареждане и др. – помага за идентифициране скрито безфайлово постоянство което може да остане незабелязано с просто сканиране на файлове.

Лов на заплахи и индикатори за атака (IoA)

Тъй като класическите индикатори (хешове, файлови пътища) са недостатъчни, препоръчително е да се разчита на индикатори за атака (IoA), които описват подозрително поведение и поредица от действия, съответстващи на известни тактики.

Екипите за търсене на заплахи – вътрешни или чрез управлявани услуги – могат проактивно да търсят модели на странични движения, злоупотреба с вградени инструменти, аномалии при използването на PowerShell или неоторизиран достъп до чувствителни данни, откривайки заплахи без файлове, преди те да предизвикат бедствие.

EDR, XDR и SOC 24/7

Съвременни платформи на EDR и XDR (Откриване и реагиране на крайни точки на разширено ниво) осигуряват видимостта и корелацията, необходими за възстановяване на пълната история на инцидента, от първия фишинг имейл до окончателното извличане на данни.

В комбинация с 24/7 оперативна SOCТе позволяват не само откриване, но и ограничава и отстранява автоматично злонамерена дейност: изолиране на компютри, блокиране на процеси, отмяна на промени в системния регистър или отмяна на криптиране, когато е възможно.

Техниките за безфайлов зловреден софтуер промениха играта: простото стартиране на антивирусно сканиране и изтриване на подозрителен изпълним файл вече не е достатъчно. Днес защитата включва разбиране как атакуващите експлоатират уязвимостите, като скриват код в паметта, системния регистър, WMI или фърмуера, и внедряване на комбинация от поведенчески мониторинг, анализ в паметта, EDR/XDR, лов на заплахи и най-добри практики. Реалистично намалете въздействието Атаките, които по замисъл се опитват да не оставят следи там, където изглеждат по-традиционните решения, изискват цялостна и непрекъсната стратегия. В случай на компромис, е важно да се знае Поправка на Windows след сериозен вирус е от съществено значение.