Идентифициране на безфайлови файлове: пълно ръководство за откриване и спиране на зловреден софтуер в паметта

Атаките, които действат без да оставят следа на диска, са се превърнали в голям проблем за много екипи по сигурността, защото се изпълняват изцяло в паметта и експлоатират легитимни системни процеси. Оттук е важно да се знае... как да разпознаете файлове без файлове и да се защитят от тях.

Отвъд заглавията и тенденциите, разбирането как те работят, защо са толкова неуловими и какви признаци ни позволяват да ги открием прави разликата между ограничаването на инцидент и съжалението за нарушение. В следващите редове анализираме проблема и предлагаме решения.

Какво е безфайлов зловреден софтуер и защо е важен?

 

Безфайловият зловреден софтуер не е специфично семейство, а по-скоро начин на работа: Избягвайте записването на изпълними файлове на диск Той използва услуги и двоични файлове, които вече са налични в системата, за да изпълнява злонамерен код. Вместо да остави лесно сканируем файл, нападателят злоупотребява с надеждни помощни програми и зарежда логиката им директно в RAM паметта.

Този подход често е обхванат във философията „Да живеем от земята“: нападателите инструментализират вградени инструменти като PowerShell, WMI, mshta, rundll32 или скриптови двигатели като VBScript и JScript, за да постигнат целите си с минимален шум.

Сред най-представителните му характеристики откриваме: изпълнение в енергозависима памет, малка или никаква устойчивост на диска, използване на системно подписани компоненти и висок капацитет за избягване на действия, базирани на сигнатури.

Въпреки че много полезни товари изчезват след рестартиране, не се заблуждавайте: противниците могат да установят постоянство чрез използване на ключове в системния регистър, WMI абонаменти или планирани задачи, всичко това без да оставя подозрителни двоични файлове на диска.

Защо ни е толкова трудно да идентифицираме файлове без файлове?

Първата бариера е очевидна: Няма аномални файлове за проверкаТрадиционните антивирусни програми, базирани на сигнатури и файлов анализ, имат малко място за маневриране, когато изпълнението се намира във валидни процеси, а злонамерената логика се намира в паметта.

Вторият е по-фин: нападателите се камуфлират зад легитимни процеси на операционната системаАко PowerShell или WMI се използват ежедневно за администриране, как можете да различите нормалната употреба от злонамерена употреба без контекст и поведенческа телеметрия?

Освен това, сляпото блокиране на критични инструменти не е осъществимо. Деактивирането на макроси на PowerShell или Office повсеместно може да прекъсне операциите и Това не предотвратява напълно злоупотребитезащото има множество алтернативни пътища за изпълнение и техники за заобикаляне на прости блокове.

На всичкото отгоре, облачното или сървърното откриване е твърде късно, за да предотврати проблеми. Без локална видимост в реално време за проблема... командни редове, взаимовръзки между процесите и събития в регистрационния файлАгентът не може да смекчи в движение злонамерен поток, който не оставя следи на диска.

Как работи безфайловата атака от началото до края

Първоначалният достъп обикновено се осъществява със същите вектори, както винаги: фишинг с офис документи които изискват активиране на активно съдържание, връзки към компрометирани сайтове, експлоатация на уязвимости в открити приложения или злоупотреба с изтекли идентификационни данни за достъп чрез RDP или други услуги.

Веднъж щом е вътре, противникът се стреми да изпълни задачата, без да докосва диска. За да направи това, той свързва системни функционалности: макроси или DDE в документи които стартират команди, използват препълвания за RCE или извикват надеждни двоични файлове, които позволяват зареждане и изпълнение на код в паметта.

Ако операцията изисква непрекъснатост, постоянството може да бъде реализирано без разполагане на нови изпълними файлове: записи при стартиране в системния регистърWMI абонаменти, които реагират на системни събития или планирани задачи, които задействат скриптове при определени условия.

След установяване на изпълнението, целта диктува следните стъпки: движение странично, извличане на данниТова включва кражба на идентификационни данни, внедряване на RAT, добив на криптовалути или активиране на криптиране на файлове в случай на ransomware. Всичко това се прави, когато е възможно, чрез използване на съществуващите функционалности.

Премахването на доказателства е част от плана: като не записва подозрителни двоични файлове, нападателят значително намалява артефактите, които трябва да бъдат анализирани. смесване на дейността им между нормалните събития на системата и изтриване на временни следи, когато е възможно.

Техники и инструменти, които обикновено използват

Каталогът е обширен, но почти винаги се фокусира върху местни помощни програми и надеждни маршрути. Това са едни от най-често срещаните, винаги с цел... максимизиране на изпълнението в паметта и замъгли следата:

• PowerShellМощно писане на скриптове, достъп до Windows API и автоматизация. Неговата гъвкавост го прави предпочитан както за администриране, така и за злоупотреби.
• WMI (Windows Management Instrumentation)Позволява ви да отправяте заявки и да реагирате на системни събития, както и да извършвате отдалечени и локални действия; полезно за постоянство и оркестрация.
• VBScript и JScript: двигатели, присъстващи в много среди, които улесняват изпълнението на логика чрез системни компоненти.
• mshta, rundll32 и други надеждни двоични файловедобре познатите LoLBins, които, когато са правилно свързани, могат изпълнява код без изпускане на артефакти видно на диска.
• Документи с активно съдържаниеМакросите или DDE в Office, както и PDF четците с разширени функции, могат да служат като трамплин за стартиране на команди в паметта.
• Регистър на Windows: ключове за самостоятелно зареждане или криптирано/скрито съхранение на полезни товари, които се активират от системните компоненти.
• Изземване и инжектиране в процеси: модификация на паметта на изпълняваните процеси за злонамерена логика на хоста в рамките на легитимен изпълним файл.
• Операционни комплектиоткриване на уязвимости в системата на жертвата и внедряване на персонализирани експлойти за постигане на изпълнение без докосване на диска.

Предизвикателството пред компаниите (и защо простото блокиране на всичко не е достатъчно)

Наивният подход предполага драстична мярка: блокиране на PowerShell, забрана на макроси, предотвратяване на двоични файлове като rundll32. Реалността е по-нюансирана: Много от тези инструменти са от съществено значение. за ежедневни ИТ операции и за административна автоматизация.

Освен това, нападателите търсят вратички: стартиране на скриптовия енджин по други начини, използвайте алтернативни копияМожете да пакетирате логиката в изображения или да прибегнете до по-малко наблюдавани LoLBins. Грубото блокиране в крайна сметка създава триене, без да осигурява пълна защита.

Чисто сървърният или облачен анализ също не решава проблема. Без богата телеметрия на крайните точки и без отзивчивостта на самия агентРешението идва късно и превенцията не е осъществима, защото трябва да чакаме външна присъда.

Междувременно, пазарните доклади отдавна сочат много значителен растеж в тази област, с пикове, при които Опитите за злоупотреба с PowerShell почти се удвоиха в кратки периоди, което потвърждава, че това е повтаряща се и печеливша тактика за противниците.

Съвременно откриване: от файл до поведение

Ключът не е кой изпълнява, а как и защо. Мониторингът на поведението на процеса и неговите взаимовръзки Решаващо е: команден ред, наследяване на процеси, чувствителни API извиквания, изходящи връзки, промени в системния регистър и WMI събития.

Този подход драстично намалява повърхността за избягване: дори ако участващите двоични файлове се променят, моделите на атака се повтарят (скриптове, които се изтеглят и изпълняват в паметта, злоупотреба с LoLBins, извикване на интерпретатори и др.). Анализирането на този скрипт, а не на „идентичността“ на файла, подобрява откриването.

Ефективните EDR/XDR платформи корелират сигналите, за да реконструират пълната история на инцидентите, идентифицирайки първопричина Вместо да обвинява процеса, който се е „появил“, този разказ свързва прикачени файлове, макроси, интерпретатори, полезни товари и постоянство, за да смекчи целия поток, а не само изолирана част.

Прилагането на рамки като например MITER ATT&CK Това помага за картографиране на наблюдаваните тактики и техники (TTP) и насочване на преследването на заплахи към поведения, представляващи интерес: изпълнение, постоянство, избягване на защита, достъп до идентификационни данни, откриване, странично движение и ексфилтрация.

Накрая, оркестрацията на отговора на крайната точка трябва да бъде незабавна: изолиране на устройството, крайни процеси участват, отменят промените в системния регистър или планировчика на задачи и блокират подозрителни изходящи връзки, без да чакат външни потвърждения.

Полезна телеметрия: какво да се наблюдава и как да се приоритизират

За да се увеличи вероятността за откриване, без да се претоварва системата, е препоръчително да се приоритизират сигналите с висока стойност. Някои източници и контроли предоставят контекст. критично за безфайлови звук:

• Подробен лог на PowerShell и други интерпретатори: лог на блокове на скриптове, история на командите, заредени модули и AMSI събития, когато са налични.
• WMI хранилищеИнвентаризация и предупреждение относно създаването или промяната на филтри за събития, потребители и връзки, особено в чувствителни пространства от имена.
• Събития, свързани със сигурността, и Sysmonкорелация на процесите, целостност на образа, зареждане на паметта, инжектиране и създаване на планирани задачи.
• червенаномални изходящи връзки, маяци, модели на изтегляне на полезен товар и използване на скрити канали за измами.

Автоматизацията помага да се отдели зърното от плявата: правила за откриване, базирани на поведение, списъци с разрешени легитимна администрация и обогатяването с информация за заплахи ограничава фалшивите положителни резултати и ускорява реакцията.

Предотвратяване и намаляване на повърхностните

Нито една мярка не е достатъчна, но многопластовата защита значително намалява риска. От превантивна гледна точка, няколко линии на действие се открояват вектори на културите и да направят живота по-труден за противника:

• Управление на макроси: деактивирано по подразбиране и разрешаване само когато е абсолютно необходимо и подписано; подробен контрол чрез групови правила.
• Ограничение на интерпретаторите и LoLBinsПрилагане на AppLocker/WDAC или еквивалент, контрол на скриптове и шаблони за изпълнение с цялостно регистриране.
• Корекции и смекчаване на последиците: затворете експлоатираните уязвимости и активирайте защити на паметта, които ограничават RCE и инжекциите.
• Силна автентификацияПринципите на многостранна финансова помощ (МФП) и нулево доверие за ограничаване на злоупотребата с удостоверения и намаляване на страничното движение.
• Осъзнаване и симулации: практическо обучение по фишинг, документи с активно съдържание и сигнали за аномално изпълнение.

Тези мерки се допълват от решения, които анализират трафика и паметта, за да идентифицират злонамерено поведение в реално време, както и политики за сегментиране и минимални привилегии за ограничаване на въздействието, когато нещо се промъкне.

Услуги и подходи, които работят

В среди с много крайни точки и висока критичност, управлявани услуги за откриване и реагиране с 24/7 мониторинг Те са доказали, че ускоряват ограничаването на инциденти. Комбинацията от SOC, EMDR/MDR и EDR/XDR осигурява експертно наблюдение, богата телеметрия и координирани възможности за реагиране.

Най-ефективните доставчици са интернализирали преминаването към поведение: леки агенти, които корелират активността на ниво ядроТе реконструират пълната история на атаките и прилагат автоматични мерки за смекчаване, когато открият злонамерени вериги, с възможност за връщане назад, за да отменят промените.

Успоредно с това, пакетите за защита на крайни точки и XDR платформите интегрират централизирана видимост и управление на заплахите в работни станции, сървъри, самоличности, имейл и облак; целта е да се премахне веригата от атаки независимо дали са включени файлове или не.

Практически индикатори за преследване на заплахи

Ако трябва да приоритизирате хипотезите за търсене, фокусирайте се върху комбинирането на сигнали: офис процес, който стартира интерпретатор с необичайни параметри, Създаване на WMI абонамент След отваряне на документ, модификации на стартовите ключове, последвани от връзки към домейни с лоша репутация.

Друг ефективен подход е да разчитате на базови стойности от вашата среда: какво е нормално на вашите сървъри и работни станции? Всяко отклонение (новоподписани двоични файлове, появяващи се като родителски файлове на интерпретатори, внезапни скокове в производителността (на скриптове, командни низове с обфускация) заслужава проучване.

И накрая, не забравяйте паметта: ако имате инструменти, които проверяват работещи региони или правят моментни снимки, констатациите в RAM Те могат да бъдат окончателното доказателство за безфайлова активност, особено когато няма артефакти във файловата система.

Комбинацията от тези тактики, техники и контроли не елиминира заплахата, но ви поставя в по-добра позиция да я откриете навреме. прережи веригата и да намалят въздействието.

Когато всичко това се прилага разумно – телеметрия, богата на крайни точки, поведенческа корелация, автоматизиран отговор и селективно втвърдяване – тактиката без файлове губи голяма част от предимството си. И въпреки че ще продължи да се развива, фокусът върху поведението Вместо да е във файлове, той предлага солидна основа, за да може вашата защита да се развива заедно с него.