Pag-ila sa mga file nga walay file: usa ka kompleto nga giya sa pag-ila ug pagpahunong sa malware sa memorya

Ang mga pag-atake nga naglihok nga wala magbilin usa ka pagsubay sa disk nahimo nga usa ka dakong labad sa ulo sa daghang mga security team tungod kay sila nagpatuman sa hingpit sa panumduman ug nagpahimulos sa mga lehitimong proseso sa sistema. Busa ang kamahinungdanon sa pagkahibalo unsaon pag-ila sa walay file nga mga file ug panalipdan ang ilang kaugalingon batok kanila.

Labaw sa mga ulohan ug uso, ang pagsabut kung giunsa kini nagtrabaho, kung ngano nga idlas kaayo kini, ug kung unsang mga timailhan ang nagtugot kanamo nga mahibal-an kini nga naghimo sa kalainan tali sa paglangkob sa usa ka insidente ug pagbasol sa usa ka paglapas. Sa mosunod nga mga linya, atong analisahon ang problema ug isugyot mga solusyon.

Unsa ang fileless malware ug nganong importante kini?

 

Ang walay file nga malware dili usa ka piho nga pamilya, apan usa ka paagi sa pag-operate: Likayi ang pagsulat sa mga executable sa disk Gigamit niini ang mga serbisyo ug binary nga naa na sa sistema aron ipatuman ang malisyoso nga code. Imbis nga magbilin usa ka dali nga ma-scan nga file, ang tig-atake nag-abuso sa kasaligan nga mga gamit ug direkta nga nagkarga sa lohika niini sa RAM.

Kini nga pamaagi sagad gilangkob sa pilosopiya sa 'Pagkinabuhi sa Yuta': ang mga tig-atake nag-instrumentalize lumad nga mga himan sama sa PowerShell, WMI, mshta, rundll32 o mga makina sa pag-script sama sa VBScript ug JScript aron makab-ot ang ilang mga katuyoan nga adunay gamay nga kasaba.

Lakip sa labing representante nga mga bahin niini atong makita: execution sa volatile memory, gamay o walay pagpadayon sa disk, paggamit sa mga sangkap nga gipirmahan sa sistema ug taas nga kapasidad sa paglikay batok sa mga makina nga nakabase sa pirma.

Bisan kung daghang mga payload ang nawala pagkahuman sa pag-reboot, ayaw palimbong: ang mga kaaway makatukod og pagkamalahutayon pinaagi sa paggamit sa mga yawe sa Registry, WMI nga mga suskrisyon, o naka-iskedyul nga mga buluhaton, tanan nga wala magbilin ug mga kadudahang binary sa disk.

Ngano nga lisud kaayo ang pag-ila sa mga file nga walay file?

Ang unang babag klaro: Walay anomaliya nga mga file nga masusiAng tradisyonal nga antivirus nga mga programa base sa mga pirma ug pag-analisa sa file adunay gamay nga lugar alang sa pagmaniobra kung ang pagpatay anaa sa balido nga mga proseso ug ang malisyosong lohika anaa sa panumduman.

Ang ikaduha mas maliputon: ang mga tig-atake nagtakoban sa ilang kaugalingon sa luyo lehitimong mga proseso sa operating systemKung ang PowerShell o WMI gigamit kada adlaw alang sa administrasyon, unsaon nimo pag-ila sa normal nga paggamit gikan sa malisyoso nga paggamit nga walay konteksto ug pamatasan nga telemetry?

Dugang pa, ang pag-block sa mga kritikal nga himan dili mahimo. Ang pag-disable sa PowerShell o Office macros sa tibuok board mahimong makaguba sa mga operasyon ug Dili kini hingpit nga makapugong sa mga pag-abusotungod kay adunay daghang mga alternatibo nga mga agianan sa pagpatuman ug mga teknik aron malikayan ang yano nga mga bloke.

Sa ibabaw sa tanan, ang cloud-based o server-side detection ulahi na kaayo aron malikayan ang mga problema. Kung walay real-time nga lokal nga visibility sa isyu... mga linya sa mando, mga relasyon sa proseso, ug mga panghitabo sa logAng ahente dili makapakunhod sa langaw sa usa ka malisyosong dagan nga walay pagsubay sa disk.

Giunsa ang usa ka walay file nga pag-atake nga molihok gikan sa sinugdanan hangtod sa katapusan

Ang inisyal nga pag-access kasagaran mahitabo sa parehas nga mga vector sama sa kanunay: phishing nga adunay mga dokumento sa opisina nga naghangyo nga mahimo ang aktibo nga sulud, mga link sa nakompromiso nga mga site, pagpahimulos sa mga kahuyangan sa gibutyag nga mga aplikasyon, o pag-abuso sa mga leaked nga kredensyal aron ma-access pinaagi sa RDP o uban pang mga serbisyo.

Sa diha nga sa sulod, ang kaatbang nagtinguha sa pagpatay nga walay paghikap sa disc. Aron mahimo kini, gihugpong nila ang mga gamit sa sistema: macros o DDE sa mga dokumento nga naglunsad og mga sugo, nagpahimulos sa pag-awas alang sa RCE, o nagsangpit sa kasaligang binary nga nagtugot sa pagkarga ug pag-execute sa code sa memorya.

Kung ang operasyon nanginahanglan pagpadayon, ang pagpadayon mahimong ipatuman nga wala mag-deploy og bag-ong mga executable: mga entry sa pagsugod sa RegistryAng mga suskrisyon sa WMI nga nag-reaksyon sa mga panghitabo sa sistema o naka-iskedyul nga mga buluhaton nga nag-aghat sa mga script sa ilawom sa piho nga mga kondisyon.

Sa pag-establisar sa pagpatuman, ang tumong nagdiktar sa mosunod nga mga lakang: paglihok sa ulahi, exfiltrate dataNaglakip kini sa pagpangawat sa mga kredensyal, pag-deploy og RAT, pagmina sa mga cryptocurrencies, o pagpaaktibo sa file encryption sa kaso sa ransomware. Kining tanan nahimo, kung mahimo, pinaagi sa pagpahimulos sa kasamtangan nga mga gamit.

Ang pagtangtang sa ebidensya kabahin sa plano: pinaagi sa dili pagsulat sa mga kadudahang binary, ang tig-atake makapakunhod pag-ayo sa mga artifact nga pagatukion. pagsagol sa ilang kalihokan tali sa normal nga mga panghitabo sa sistema ug pagtangtang sa temporaryo nga mga pagsubay kung mahimo.

Mga teknik ug himan nga kasagaran nilang gigamit

Ang katalogo kay halapad, apan kini halos kanunay nga nagtuyok sa lumad nga mga utilities ug kasaligang mga ruta. Kini ang pipila sa labing kasagaran, kanunay nga adunay katuyoan sa i-maximize ang in-memory execution ug blur ang trace:

• PowerShellKusog nga scripting, pag-access sa mga Windows API, ug automation. Ang versatility niini naghimo niini nga paborito alang sa administrasyon ug opensiba nga pag-abuso.
• WMI (Windows Management Instrumentation)Gitugotan ka niini sa pagpangutana ug pag-reaksyon sa mga panghitabo sa sistema, ingon man paghimo sa hilit ug lokal nga mga aksyon; mapuslanon alang sa pagpadayon ug orkestra.
• VBScript ug JScript: mga makina nga naa sa daghang mga palibot nga nagpadali sa pagpatuman sa lohika pinaagi sa mga sangkap sa sistema.
• mshta, rundll32 ug uban pang kasaligan nga binary: ang ilado nga LoLBins nga, kung husto nga gisumpay, mahimo ipatuman ang code nga dili ihulog ang mga artifact klaro sa disk.
• Mga dokumento nga adunay aktibo nga suludAng mga Macros o DDE sa Opisina, ingon man ang mga magbabasa sa PDF nga adunay mga advanced nga bahin, mahimong magsilbi nga usa ka springboard sa paglansad sa mga mando sa memorya.
• Windows Registry: self-boot keys o encrypted/hidden storage sa mga payloads nga gi-activate sa mga component sa system.
• Pag-atake ug pag-inject sa mga proseso: pagbag-o sa wanang sa panumduman sa mga proseso nga nagdagan alang sa host malisyoso nga lohika sulod sa usa ka lehitimong executable.
• Operating kits: pagkakita sa mga kahuyangan sa sistema sa biktima ug pag-deploy sa gipahaum nga mga pagpahimulos aron makab-ot ang pagpatuman nga walay paghikap sa disk.

Ang hagit alang sa mga kompanya (ug ngano nga ang pag-block sa tanan dili igo)

Ang usa ka walay pulos nga pamaagi nagsugyot og usa ka dako nga lakang: pagbabag sa PowerShell, pagdili sa mga macro, pagpugong sa mga binary sama sa rundll32. Ang kamatuoran mao ang mas nuanced: Daghan niini nga mga himan kinahanglanon. alang sa adlaw-adlaw nga operasyon sa IT ug alang sa administratibong automation.

Dugang pa, ang mga tig-atake nangitag mga lusot: pagpadagan sa scripting engine sa ubang mga paagi, paggamit ug alternatibong mga kopyaMahimo nimong i-package ang logic sa mga imahe o modangop sa dili kaayo nabantayan nga LoLBins. Ang brute blocking sa katapusan nagmugna ug friction nga wala maghatag ug kompletong depensa.

Ang lunsay nga server-side o cloud-based nga pagtuki dili usab makasulbad sa problema. Kung walay dato nga endpoint telemetry ug wala pagtubag sa ahente mismoAng desisyon ulahi na ug ang pagpugong dili mahimo tungod kay kinahanglan naton maghulat alang sa usa ka eksternal nga hukom.

Samtang, ang mga taho sa merkado dugay na nga nagpunting sa usa ka hinungdanon nga pag-uswag sa kini nga lugar, nga adunay mga taluktok kung diin ang Ang mga pagsulay sa pag-abuso sa PowerShell hapit nadoble sa mubo nga mga panahon, nga nagpamatuod nga kini usa ka balik-balik ug mapuslanon nga taktika alang sa mga kontra.

Modernong detection: gikan sa file ngadto sa kinaiya

Ang yawe dili kung kinsa ang nagpatuman, apan kung giunsa ug ngano. Pagmonitor sa proseso nga pamatasan ug ang mga relasyon niini Mahukmanon kini: command line, proseso nga kabilin, sensitibo nga API nga tawag, outbound nga koneksyon, Registry modifications, ug WMI nga mga panghitabo.

Kini nga pamaagi makapakunhod pag-ayo sa evasion surface: bisan kung ang mga binary nga nalambigit mausab, ang Ang mga pattern sa pag-atake gisubli (mga script nga nag-download ug nagpatuman sa memorya, pag-abuso sa LoLBins, pag-ampo sa mga tighubad, ug uban pa). Ang pag-analisar niana nga script, dili ang 'identity' sa file, makapauswag sa detection.

Ang epektibong EDR/XDR nga mga plataporma nag-correlate sa mga signal aron matukod pag-usab ang kompleto nga kasaysayan sa insidente, nga nag-ila sa gamut hinungdan Imbis nga basulon ang proseso nga 'nagpakita', kini nga asoy nagsumpay sa mga attachment, macros, interpreter, payloads, ug pagpadayon aron maminusan ang tibuuk nga dagan, dili lamang usa ka nahilit nga piraso.

Ang paggamit sa mga gambalay sama sa MITER ATT&CK Nakatabang kini sa pagmapa sa mga naobserbahang taktika ug mga teknik (TTPs) ug paggiya sa pagpangayam sa hulga ngadto sa mga kinaiya sa interes: pagpatay, pagpadayon, paglikay sa depensa, pag-access sa kredensyal, pagkadiskobre, paglihok sa kilid ug pag-eksfiltrate.

Sa katapusan, ang endpoint response orkestra kinahanglan nga diha-diha dayon: ihimulag ang device, pagtapos sa mga proseso apil, ibalik ang mga pagbag-o sa Registry o task scheduler ug i-block ang mga kadudahang outgoing connection nga wala maghulat sa external confirmations.

Mapuslanon nga telemetry: unsa ang tan-awon ug kung unsaon pag-una

Aron madugangan ang posibilidad nga makit-an nga wala’y saturation ang sistema, gisugyot nga unahon ang mga signal nga adunay taas nga kantidad. Pipila ka tinubdan ug kontrol nga naghatag og konteksto. kritikal alang sa walay file Sila mao:

• Detalyadong PowerShell Log ug uban pang mga tighubad: script block log, command history, loaded modules, ug AMSI nga mga panghitabo, kung anaa.
• WMI RepositoryImbentaryo ug alerto bahin sa paghimo o pagbag-o sa mga filter sa panghitabo, mga konsumedor, ug mga link, labi na sa mga sensitibo nga namespaces.
• Mga panghitabo sa seguridad ug Sysmon: proseso sa correlation, integridad sa imahe, pagkarga sa memorya, pag-injection, ug paghimo sa mga naka-iskedyul nga buluhaton.
• sa mga Pulang: anomalous nga outbound connections, beaconing, payload download patterns, ug paggamit sa tago nga channels para sa exfiltration.

Ang pag-automate makatabang sa pagbulag sa trigo gikan sa tahop: mga lagda sa pag-ila nga gibase sa pamatasan, mga lista sa gitugotan lehitimong administrasyon ug ang pagpalambo sa hulga sa paniktik naglimite sa sayop nga mga positibo ug nagpadali sa tubag.

Paglikay ug pagkunhod sa nawong

Walay bisan usa ka sukod nga igo, apan ang usa ka layered nga depensa makapakunhod pag-ayo sa risgo. Sa bahin sa pagpugong, daghang mga linya sa aksyon ang gipunting mga vector sa tanom ug himoong mas lisud ang kinabuhi alang sa kaaway:

• Pagdumala sa macro: pag-disable pinaagi sa default ug tugoti lamang kung gikinahanglan ug gipirmahan; granular nga mga kontrol pinaagi sa mga polisiya sa grupo.
• Pagdili sa mga tighubad ug LoLBins: Pag-apply sa AppLocker/WDAC o katumbas, pagkontrol sa mga script ug mga template sa pagpatuman nga adunay komprehensibo nga pag-log.
• Patching ug mitigations: isara ang mapahimuslanon nga mga kahuyangan ug i-aktibo ang mga panalipod sa panumduman nga naglimite sa RCE ug mga injection.
• Lig-on nga panghimatuudMFA ug zero pagsalig nga mga prinsipyo aron mapugngan ang pag-abuso sa kredensyal ug pagpakunhod sa lateral nga paglihok.
• Awareness ug simulationPraktikal nga pagbansay sa phishing, mga dokumento nga adunay aktibo nga sulud, ug mga timailhan sa anomaliya nga pagpatay.

Kini nga mga lakang gisuportahan sa mga solusyon nga nag-analisar sa trapiko ug memorya aron mahibal-an ang makadaot nga pamatasan sa tinuud nga oras, ingon man mga palisiya sa pagbahinbahin ug dyutay nga mga pribilehiyo nga makapugong sa epekto kung adunay usa ka butang nga molusot.

Mga serbisyo ug pamaagi nga nagtrabaho

Sa mga palibot nga adunay daghang mga endpoint ug taas nga kritikal, pagdumala sa mga serbisyo sa pag-ila ug pagtubag nga adunay 24/7 nga pagmonitor Napamatud-an nila nga mapadali ang pagpugong sa insidente. Ang kombinasyon sa SOC, EMDR/MDR, ug EDR/XDR naghatag ug ekspertong mga mata, dato nga telemetry, ug koordinado nga mga kapabilidad sa pagtubag.

Ang labing epektibo nga mga tighatag nag-internalize sa pagbalhin sa pamatasan: mga lightweight nga ahente nga pag-correlate sa kalihokan sa lebel sa kernelGitukod nila pag-usab ang kompleto nga mga kasaysayan sa pag-atake ug gipadapat ang mga awtomatik nga pagpagaan kung nakamatikod sila og mga malisyosong kadena, nga adunay kapabilidad sa pag-rollback sa pag-undo sa mga pagbag-o.

Sa susama, ang endpoint protection suites ug XDR platforms naghiusa sa sentralisadong visibility ug pagdumala sa hulga sa mga workstation, server, identidad, email, ug cloud; ang tumong mao ang pagbungkag ang kadena sa pag-atake bisan pa kung naapil o wala ang mga file.

Praktikal nga mga timailhan alang sa pagpangayam sa hulga

Kung kinahanglan nimo nga unahon ang mga pangagpas sa pagpangita, ipunting ang paghiusa sa mga signal: usa ka proseso sa opisina nga naglansad usa ka tighubad nga adunay dili kasagaran nga mga parameter, Ang paghimo sa suskrisyon sa WMI Pagkahuman sa pag-abli sa usa ka dokumento, ang mga pagbag-o sa mga yawe sa pagsugod gisundan sa mga koneksyon sa mga domain nga adunay dili maayo nga reputasyon.

Laing epektibo nga pamaagi mao ang pagsalig sa mga baseline gikan sa imong palibot: unsa ang normal sa imong mga server ug workstation? Bisan unsa nga pagtipas (bag-ong gipirmahan nga binary nga nagpakita isip mga ginikanan sa mga tighubad, kalit nga mga spike sa performance (sa mga script, command string nga adunay obfuscation) angay nga imbestigahan.

Sa katapusan, ayaw kalimti ang panumduman: kung ikaw adunay mga himan nga nag-inspeksyon sa mga nagdagan nga mga rehiyon o nakakuha mga snapshot, ang mga nahibal-an sa RAM Mahimo kini nga tino nga pruweba sa fileless nga kalihokan, labi na kung wala’y mga artifact sa file system.

Ang kombinasyon niining mga taktika, mga teknik, ug mga kontrol dili makawagtang sa hulga, apan kini nagbutang kanimo sa usa ka mas maayong posisyon nga makamatikod niini sa tukmang panahon. putla ang kadena ug pagpakunhod sa epekto.

Kung kining tanan gigamit nga mabinantayon - telemetry nga puno sa endpoint, correlation sa pamatasan, awtomatiko nga tubag, ug mapili nga pagpatig-a - ang taktika nga walay file mawad-an sa kadaghanan sa kaayohan niini. Ug, bisan kung kini magpadayon sa pag-uswag, ang focus sa mga kinaiya Imbis sa mga file, nagtanyag kini usa ka lig-on nga pundasyon alang sa imong depensa nga molambo uban niini.