Šta je "zlonamjerni softver bez trajnih datoteka" i kako ga otkriti besplatnim alatima

Izgled zlonamjerni softver bez trajnih datoteka Ovo je bila prava glavobolja za sigurnosne timove. Ne radi se o tipičnom virusu koji "uhvatite" prilikom brisanja izvršne datoteke s diska, već o prijetnjama koje se nalaze u memoriji, zloupotrebljavaju legitimne sistemske alate i, u mnogim slučajevima, ne ostavljaju gotovo nikakav upotrebljiv forenzički trag.

Ova vrsta napada postala je posebno popularna među naprednim grupama i sajber kriminalcima koji traže izbjegavaju tradicionalni antivirusni softver, kradu podatke i ostaju skriveni što je duže moguće. Razumijevanje kako funkcionišu, koje tehnike koriste i kako ih otkriti ključno je za svaku organizaciju koja danas želi ozbiljno shvatiti sajber sigurnost.

Šta je malware bez datoteka i zašto je toliki problem?

Kada pričamo zlonamjerni softver bez datoteka Ne kažemo da nijedan bajt nije uključen, već da je zlonamjerni kod Ne pohranjuje se kao klasična izvršna datoteka na disku. sa krajnje tačke. Umjesto toga, pokreće se direktno u memoriji ili se nalazi u manje vidljivim kontejnerima kao što su Registar, WMI ili planirani zadaci.

U mnogim scenarijima, napadač se oslanja na alate koji su već prisutni u sistemu - PowerShell, WMI, skripte, potpisane Windows binarne datoteke - da bi učitavanje, dešifriranje ili izvršavanje korisnih podataka direktno u RAMNa ovaj način se izbjegava ostavljanje očiglednih izvršnih datoteka koje bi antivirusni program zasnovan na potpisima mogao otkriti tokom normalnog skeniranja.

Nadalje, dio lanca napada može biti "bez datoteka", a drugi dio može koristiti sistem datoteka, tako da govorimo o više od jednog spektar tehnika bez datoteka jedne porodice zlonamjernog softvera. Zato ne postoji jedna, zatvorena definicija, već nekoliko kategorija ovisno o stepenu utjecaja koji ostavljaju na računar.

Glavne karakteristike zlonamjernog softvera bez trajnih datoteka

Ključna karakteristika ovih prijetnji je njihova izvršavanje usmjereno na memorijuZlonamjerni kod se učitava u RAM memoriju i izvršava unutar legitimnih procesa, bez potrebe za stabilnom zlonamjernom binarnom datotekom na tvrdom disku. U nekim slučajevima se čak ubrizgava u kritične sistemske procese radi bolje kamuflaže.

Još jedna važna karakteristika je nekonvencionalna upornostMnoge kampanje bez datoteka su potpuno nestabilne i nestaju nakon ponovnog pokretanja, ali druge uspijevaju ponovo aktivirati pomoću ključeva automatskog pokretanja registra, WMI pretplata, planiranih zadataka ili BITS-a, tako da je "vidljivi" artefakt minimalan, a pravi korisni teret se svaki put vraća u memoriju.

Ovakav pristup uveliko smanjuje efikasnost detekcija zasnovana na potpisuBudući da ne postoji fiksni izvršni fajl za analizu, ono što često vidite je potpuno legitimni PowerShell.exe, wscript.exe ili mshta.exe, pokrenut sa sumnjivim parametrima ili učitavajući obfusirani sadržaj.

Konačno, mnogi glumci kombiniraju tehnike bez datoteka s drugim vrste zlonamjernog softvera kao što su trojanci, ransomware ili adware, što rezultira hibridnim kampanjama koje kombiniraju najbolje (i najgore) iz oba svijeta: upornost i prikrivenost.

Vrste prijetnji bez datoteka prema njihovom utjecaju na sistem

Nekoliko proizvođača sigurnosnih sistema Oni klasificiraju "fileless" prijetnje prema tragu koji ostavljaju na računaru. Ova taksonomija nam pomaže da shvatimo šta vidimo i kako to istražiti.

Tip I: nema vidljive aktivnosti datoteke

Na najneprikrivenijem kraju nalazimo zlonamjerni softver koji Ne piše apsolutno ništa u datotečni sistemKod stiže, na primjer, putem mrežnih paketa koji iskorištavaju ranjivost (kao što je EternalBlue), ubrizgava se direktno u memoriju i održava se, na primjer, kao backdoor u kernelu (DoublePulsar je bio simboličan slučaj).

U drugim scenarijima, infekcija se nalazi u BIOS firmver, mrežne kartice, USB uređaji ili čak podsistemi unutar CPU-aOva vrsta prijetnje može preživjeti ponovne instalacije operativnog sistema, formatiranje diska, pa čak i neka potpuna ponovna pokretanja sistema.

Problem je što većina sigurnosnih rješenja Ne provjeravaju firmver ili mikrokodČak i ako to urade, sanacija je složena. Srećom, ove tehnike su obično rezervisane za visoko sofisticirane aktere i nisu norma u masovnim napadima.

Tip II: Indirektna upotreba datoteka

Druga grupa je zasnovana na sadrže zlonamjerni kod u strukturama pohranjenim na diskuAli ne kao tradicionalne izvršne datoteke, već u repozitorijima koji miješaju legitimne i zlonamjerne podatke, teško ih je očistiti bez oštećenja sistema.

Tipični primjeri su skripte pohranjene u WMI repozitorij, zamućeni lanci u ključevi registra ili zakazane zadatke koji pokreću opasne naredbe bez jasne zlonamjerne binarne datoteke. Zlonamjerni softver može instalirati ove unose direktno iz komandne linije ili skripte, a zatim ostati praktično nevidljiv.

Iako tehnički gledano, postoje uključene datoteke (fizička datoteka u kojoj Windows pohranjuje WMI repozitorij ili Registar), iz praktičnih razloga govorimo o aktivnost bez datoteka jer ne postoji očigledan izvršni fajl koji se može jednostavno staviti u karantin.

Tip III: Za funkcionisanje su potrebne datoteke

Treća vrsta uključuje prijetnje koje Koriste datoteke, ali na način koji nije baš koristan za detekciju.Dobro poznati primjer je Kovter, koji registruje nasumične ekstenzije u Registru tako da se, kada se otvori datoteka s tom ekstenzijom, izvršava skripta putem mshta.exe ili slične izvorne binarne datoteke.

Ove lažne datoteke sadrže nebitne podatke i pravi zlonamjerni kod. Dohvaća se iz drugih ključeva registra ili interne repozitorije. Iako na disku postoji "nešto", nije ga lako koristiti kao pouzdan indikator kompromitovanja, a još manje kao direktan mehanizam čišćenja.

Najčešći ulazni vektori i tačke infekcije

Pored klasifikacije otiska, važno je razumjeti kako Tu na scenu stupa zlonamjerni softver bez trajnih datoteka. U svakodnevnom životu, napadači često kombinuju nekoliko vektora u zavisnosti od okruženja i mete.

Eksploati i ranjivosti

Jedan od najdirektnijih puteva je zloupotreba Ranjivosti udaljenog izvršavanja koda (RCE) u preglednicima, dodacima (kao što je Flash nekada bio), web aplikacijama ili mrežnim servisima (SMB, RDP, itd.). Eksploat ubrizgava shellcode koji direktno preuzima ili dekodira zlonamjerni sadržaj u memoriju.

U ovom modelu, početna datoteka može biti na mreži (eksploati tipa WannaCryili u dokumentu koji korisnik otvori, ali Korisni teret se nikada ne zapisuje kao izvršna datoteka na disk.Dešifrira se i izvršava u hodu iz RAM-a.

Zlonamjerni dokumenti i makroi

Još jedna intenzivno iskorištavana avenija je Office dokumenti s makroima ili DDE-omkao i PDF-ove dizajnirane za iskorištavanje ranjivosti čitača. Naizgled bezopasna Word ili Excel datoteka može sadržavati VBA kod koji pokreće PowerShell, WMI ili druge interpretere za preuzimanje koda, izvršavanje naredbi ili ubrizgavanje shellcode-a u pouzdane procese.

Ovdje je datoteka na disku „samo“ kontejner podataka, dok je stvarni vektor interni skriptni mehanizam aplikacijeU stvari, mnoge masovne kampanje neželjene pošte zloupotrebljavale su ovu taktiku za primjenu napada bez datoteka na korporativne mreže.

Legitimne skripte i binarni fajlovi (Život od zemlje)

Napadači vole alate koje Windows već pruža: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, itd. Ove potpisane i pouzdane binarne datoteke mogu izvršavati skripte, DLL-ove ili udaljeni sadržaj bez potrebe za sumnjivim "virus.exe".

Prenošenjem zlonamjernog koda kao parametri komandne linijeUgrađivanje u slike, šifriranje i dekodiranje u memoriji ili pohranjivanje u registar osigurava da antivirus vidi samo aktivnosti legitimnih procesa, što otežava otkrivanje isključivo na osnovu datoteka.

Ugroženi hardver i firmver

Na još nižem nivou, napredni napadači mogu se infiltrirati BIOS firmver, mrežne kartice, tvrdi diskovi ili čak podsistemi za upravljanje CPU-om (kao što su Intel ME ili AMT). Ova vrsta zlonamjernog softvera radi ispod operativnog sistema i može presresti ili modificirati promet bez da operativni sistem toga bude svjestan.

Iako je riječ o ekstremnom scenariju, on ilustruje stepen do kojeg prijetnja bez datoteka može Održavajte postojanost bez dodirivanja datotečnog sistema operativnog sistemai zašto klasični alati za krajnje tačke ne uspijevaju u ovim slučajevima.

Kako funkcioniše napad zlonamjernog softvera bez trajnih datoteka

Na nivou toka, napad bez datoteka je prilično sličan napadu zasnovanom na datotekama, ali sa relevantne razlike u načinu na koji se korisni teret implementira i kako se održava pristup.

1. Početni pristup sistemu

Sve počinje kada napadač stekne prvo uporište: phishing e-poruka sa zlonamjernim linkom ili prilogom, iskorištavanje ranjive aplikacije, ukradeni podaci za RDP ili VPN ili čak neovlašteno mijenjanje USB uređaja.

U ovoj fazi se koristi sljedeće: socijalni inženjeringzlonamjerna preusmjeravanja, kampanje zlonamjernog oglašavanja ili zlonamjerni Wi-Fi napadi s ciljem prevare korisnika da klikne tamo gdje ne bi trebao ili da iskoristi usluge dostupne na internetu.

2. Izvršavanje zlonamjernog koda u memoriji

Nakon što se dobije taj prvi unos, aktivira se komponenta bez datoteka: Office makro pokreće PowerShell, exploit ubrizgava shellcode, WMI pretplata pokreće skriptu itd. Cilj je učitavanje zlonamjernog koda direktno u RAMbilo preuzimanjem s interneta ili rekonstrukcijom iz ugrađenih podataka.

Odatle, zlonamjerni softver može eskalirati privilegije, premjestiti se lateralno, ukrasti vjerodajnice, implementirati web ljuske, instalirati RAT-ove ili šifrirati podatkeSve ovo je podržano legitimnim procesima za smanjenje buke.

3. Uspostavljanje upornosti

Među uobičajenim tehnikama su:

• Tipke za automatsko pokretanje u Registru koji izvršavaju naredbe ili skripte prilikom prijave.
• Planirani zadaci koji pokreću skripte, legitimne binarne datoteke s parametrima ili udaljene naredbe.
• WMI pretplate koji pokreću kod kada se dogode određeni sistemski događaji.
• Korištenje BITS-a za periodična preuzimanja korisnih podataka sa komandnih i kontrolnih servera.

U slučajevima, perzistentna komponenta je minimalna i služi samo za ponovo ubrizgajte zlonamjerni softver u memoriju svaki put kada se sistem pokrene ili kada se ispuni određeni uslov.

4. Akcije na ciljevima i evakuacija

Sa osiguranom upornošću, napadač se fokusira na ono što ga zaista zanima: krađa informacija, njihovo šifriranje, manipulisanje sistemima ili špijuniranje mjesecimaIzlaz se može izvršiti putem HTTPS-a, DNS-a, tajnih kanala ili legitimnih servisa. U stvarnim incidentima, poznavanje Šta učiniti u prvih 24 sata nakon hakovanja može napraviti razliku.

Kod APT napada, uobičajeno je da zlonamjerni softver ostane tihi i prikriveni tokom dužih perioda, izgradnjom dodatnih stražnjih vrata kako bi se osigurao pristup čak i ako je dio infrastrukture otkriven i očišćen.

Mogućnosti i vrste zlonamjernog softvera koji mogu biti bez datoteka

Gotovo svaka zlonamjerna funkcija koju klasični zlonamjerni softver može izvršiti može se implementirati slijedeći ovaj pristup. bez datoteke ili polu-bez datotekeOno što se mijenja nije cilj, već način na koji se kod primjenjuje.

Zlonamjerni softver koji se nalazi samo u memoriji

Ova kategorija uključuje korisne terete koji Oni žive isključivo u memoriji procesa ili kernela.Moderni rootkitovi, napredni backdoori ili špijunski softver mogu se učitati u memorijski prostor legitimnog procesa i ostati tamo dok se sistem ne ponovo pokrene.

Ove komponente je posebno teško vidjeti alatima orijentiranim na disk i prisiljavaju upotrebu analiza žive memorije, EDR s inspekcijom u stvarnom vremenu ili naprednim forenzičkim mogućnostima.

Zlonamjerni softver zasnovan na Windows registru

Još jedna ponavljajuća tehnika je skladištenje šifrirani ili prikriveni kod u ključevima registra i koristite legitimnu binarnu datoteku (kao što su PowerShell, MSHTA ili rundll32) za čitanje, dekodiranje i izvršavanje u memoriji.

Početni droper se može samouništiti nakon pisanja u Registar, tako da sve što ostaje je mješavina naizgled bezopasnih podataka koji Aktiviraju prijetnju svaki put kada se sistem pokrene ili svaki put kada se otvori određena datoteka.

Ransomware i trojanci bez datoteka

Pristup bez datoteka nije nekompatibilan s vrlo agresivnim metodama učitavanja kao što je ransomwarePostoje kampanje koje preuzimaju, dešifriraju i izvršavaju cijelu enkripciju u memoriji pomoću PowerShella ili WMI-a, bez ostavljanja izvršne datoteke ransomwarea na disku.

Isto tako trojanci za udaljeni pristup (RAT-ovi)Keyloggeri ili kradljivci podataka mogu funkcionirati na polu-fileless način, učitavajući module na zahtjev i hostirajući glavnu logiku u legitimnim sistemskim procesima.

Kompleti za iskorištavanje i ukradeni akreditivi

Kompleti za web eksploitaciju su još jedan dio slagalice: oni otkrivaju instalirani softver, Oni biraju odgovarajući exploit i ubrizgavaju korisni teret direktno u memoriju., često bez ikakvog spremanja na disk.

S druge strane, upotreba ukradene akreditacije To je vektor koji se vrlo dobro uklapa s tehnikama bez datoteka: napadač se autentificira kao legitimni korisnik i odatle zloupotrebljava izvorne administrativne alate (PowerShell Remoting, WMI, PsExec) za implementaciju skripti i naredbi koje ne ostavljaju klasične tragove zlonamjernog softvera.

Zašto je tako teško otkriti zlonamjerni softver bez datoteka?

Osnovni razlog je taj što je ova vrsta prijetnje posebno dizajnirana da zaobilaze tradicionalne slojeve odbranena osnovu potpisa, bijelih lista i periodičnih skeniranja datoteka.

Ako se zlonamjerni kod nikada ne sačuva kao izvršna datoteka na disku ili ako se skriva u miješanim kontejnerima poput WMI-ja, registra ili firmvera, tradicionalni antivirusni softver ima vrlo malo toga za analizirati. Umjesto "sumnjive datoteke", ono što imate su legitimni procesi koji se ponašaju anomalno.

Nadalje, radikalno blokira alate poput PowerShella, Office makroa ili WMI-a. Nije održivo u mnogim organizacijamaZato što su neophodni za administraciju, automatizaciju i svakodnevno poslovanje. To prisiljava zagovornike da budu vrlo oprezni.

Neki dobavljači su pokušali kompenzirati brzim rješenjima (generičko blokiranje PowerShella, potpuno onemogućavanje makroa, detekcija samo u oblaku itd.), ali te mjere su obično nedovoljno ili pretjerano ometajuće za posao.

Moderne strategije za otkrivanje i zaustavljanje zlonamjernog softvera bez datoteka

Da bi se suočili s ovim prijetnjama, potrebno je ići dalje od pukog skeniranja datoteka i usvojiti fokusiran pristup. ponašanje, telemetrija u stvarnom vremenu i duboka vidljivost posljednje tačke.

Praćenje ponašanja i pamćenja

Efikasan pristup uključuje posmatranje onoga što procesi zapravo rade: koje naredbe izvršavaju, kojim resursima pristupaju, koje veze uspostavljajukako se međusobno odnose itd. Iako postoje hiljade varijanti zlonamjernog softvera, obrasci zlonamjernog ponašanja su mnogo ograničeniji. Ovo se također može dopuniti sa Napredna detekcija sa YARA-om.

Moderna rješenja kombiniraju ovu telemetriju s analitikom u memoriji, naprednom heuristikom i automatsko učenje identificirati lance napada, čak i kada je kod jako zamagljen ili nikada prije nije viđen.

Korištenje sistemskih interfejsa kao što su AMSI i ETW

Windows nudi tehnologije kao što su Interfejs za skeniranje protiv malvera (AMSI) y Praćenje događaja za Windows (ETW) Ovi izvori omogućavaju inspekciju sistemskih skripti i događaja na vrlo niskom nivou. Integracija ovih izvora u sigurnosna rješenja olakšava detekciju. zlonamjerni kod neposredno prije ili tokom njegovog izvršavanja.

Osim toga, analiza kritičnih područja - planiranih zadataka, WMI pretplata, ključeva registra za pokretanje itd. - pomaže u identifikaciji prikrivena perzistencija bez datoteka što bi moglo proći nezapaženo jednostavnim skeniranjem datoteka.

Lov na prijetnje i indikatori napada (IoA)

Budući da klasični indikatori (hashevi, putanje datoteka) nisu dovoljni, preporučljivo je osloniti se na indikatori napada (IoA), koji opisuju sumnjiva ponašanja i nizove radnji koje se uklapaju u poznate taktike.

Timovi za lov na prijetnje – interni ili putem upravljanih usluga – mogu proaktivno pretraživati lateralni obrasci kretanja, zloupotreba izvornih alata, anomalije u korištenju PowerShella ili neovlašteni pristup osjetljivim podacima, otkrivajući prijetnje bez datoteka prije nego što izazovu katastrofu.

EDR, XDR i SOC 24/7

Moderne platforme od EDR i XDR (Detekcija krajnjih tačaka i odgovor na proširenom nivou) pružaju vidljivost i korelaciju potrebnu za rekonstrukciju kompletne istorije incidenta, od prvog phishing e-maila do konačnog otkrivanja.

U kombinaciji sa SOC operativan 24/7Oni omogućavaju ne samo detekciju, već i automatski sadrže i ispravljaju zlonamjerne aktivnosti: izolujte računare, blokirajte procese, vratite promjene u registru ili poništite šifriranje kada je to moguće.

Tehnike zlonamjernog softvera bez datoteka promijenile su pravila igre: samo pokretanje antivirusnog skeniranja i brisanje sumnjivog izvršnog fajla više nije dovoljno. Danas, odbrana uključuje razumijevanje kako napadači iskorištavaju ranjivosti skrivanjem koda u memoriji, registru, WMI-ju ili firmveru, te primjenom kombinacije praćenja ponašanja, analize u memoriji, EDR/XDR-a, lova na prijetnje i najboljih praksi. Realno smanjite uticaj Napadi koji, po svojoj prirodi, pokušavaju da ne ostave trag tamo gdje tradicionalnija rješenja izgledaju zahtijevaju holističku i kontinuiranu strategiju. U slučaju kompromisa, poznavanje Popravak Windowsa nakon ozbiljne virusne infekcije je od suštinske važnosti.