Unsa ang "malware nga walay persistent files" ug unsaon kini pag-ila gamit ang libre nga mga himan

Ang dagway sa malware nga walay permanenteng mga file Usa kini ka dakong labad sa ulo para sa mga security team. Dili nato hisgutan ang tipikal nga virus nga "madakpan" kon magtangtang og executable gikan sa disk, kondili ang mga hulga nga anaa sa memorya, nag-abuso sa lehitimong mga gamit sa sistema, ug, sa daghang mga kaso, halos walay magamit nga forensic trace.

Kini nga matang sa pag-atake nahimong labi ka sikat sa mga abanteng grupo ug mga cybercriminal nga nangita paglikay sa tradisyonal nga antivirus software, pagpangawat og datos, ug pagpabilin nga nagtago kutob sa mahimo. Ang pagsabot kon giunsa kini molihok, unsang mga teknik ang ilang gigamit, ug unsaon kini pag-ila hinungdanon alang sa bisan unsang organisasyon nga gusto nga seryosohon ang cybersecurity karon.

Unsa ang fileless malware ug nganong kini usa ka dakong kabalaka?

Kon maghisgot kita malware nga walay file Dili mi nag-ingon nga walay bisan usa ka byte nga nalambigit, apan nga ang malisyosong code Dili kini gitipigan isip usa ka klasiko nga executable file sa disk gikan sa endpoint. Hinuon, kini direktang modagan sa memorya o gi-host sa dili kaayo makita nga mga sudlanan sama sa Registry, WMI, o naka-iskedyul nga mga buluhaton.

Sa daghang mga senaryo, ang tig-atake nagsalig sa mga himan nga anaa na sa sistema—PowerShell, WMI, mga script, gipirmahan nga mga binary sa Windows—aron pagkarga, pag-decrypt, o pagpatuman sa mga payload direkta ngadto sa RAMNiining paagiha, malikayan niini ang pagbilin og klaro nga mga executable nga makit-an sa usa ka signature-based antivirus sa usa ka normal nga scan.

Dugang pa, ang bahin sa kadena sa pag-atake mahimong "walay file" ug ang laing bahin mahimong mogamit sa sistema sa file, mao nga kita naghisgot bahin sa labaw sa usa. lain-laing mga teknik nga walay file nga iya sa usa ka pamilya sa malware. Mao nga walay usa, sirado nga kahulugan, kondili daghang mga kategorya depende sa lebel sa epekto nga ilang gibilin sa makina.

Pangunang mga kinaiya sa malware nga walay mga persistent file

Usa ka importanteng kinaiya niining mga hulga mao ang ilang pagpatuman nga nakasentro sa memoryaAng malisyosong code gikarga sa RAM ug gipadagan sulod sa lehitimong mga proseso, nga dili kinahanglan og lig-on nga malisyosong binary sa hard drive. Sa pipila ka mga kaso, kini gisulod pa gani sa kritikal nga mga proseso sa sistema alang sa mas maayong pagtakuban.

Ang laing importante nga bahin mao ang dili kasagaran nga pagpadayonDaghang mga kampanya nga walay file ang dali ra mausab ug mawala human sa pag-reboot, apan ang uban makahimo sa pag-reactivate gamit ang Registry Autorun keys, WMI subscriptions, scheduled task, o BITS, aron ang "makita" nga artifact gamay ra ug ang tinuod nga payload mobalik sa memorya matag higayon.

Kini nga pamaagi makapakunhod pag-ayo sa kaepektibo sa pag-ila base sa pirmaTungod kay walay piho nga executable nga analisahon, ang kanunay nimong makita mao ang usa ka hingpit nga lehitimong PowerShell.exe, wscript.exe, o mshta.exe, nga gilunsad nga adunay kadudahan nga mga parameter o nagkarga sa gitago nga sulud.

Sa katapusan, daghang mga aktor ang naghiusa sa mga teknik nga walay file sa uban pang mga pamaagi. mga klase sa malware sama sa Trojans, ransomware, o adware, nga miresulta sa mga hybrid nga kampanya nga nagsagol sa labing maayo (ug labing daotan) sa duha ka kalibutan: paglahutay ug pagkatago.

Mga klase sa mga hulga nga walay file sumala sa ilang presensya sa sistema

Daghang mga tiggama og seguridad Giklasipikar nila ang mga hulga nga "walay file" sumala sa timailhan nga ilang gibilin sa kompyuter. Kini nga taxonomy makatabang kanato nga masabtan kung unsa ang atong nakita ug kung giunsa kini pag-imbestiga.

Tipo I: walay makita nga kalihokan sa file

Sa pinakatago nga bahin, atong makit-an ang malware nga Wala gyud kini gisulat sa file systemAng code moabot, pananglitan, pinaagi sa mga network packet nga mopahimulos sa usa ka kahuyangan (sama sa EternalBlue), direkta nga gi-inject sa memorya, ug gimentinar, pananglitan, isip backdoor sa kernel (ang DoublePulsar usa ka simbolo nga kaso).

Sa ubang mga sitwasyon, ang impeksyon anaa sa BIOS firmware, network card, USB device, o bisan mga subsystem sulod sa CPUKini nga matang sa hulga makasugakod sa mga pag-reinstall sa operating system, pag-format sa disk, ug bisan sa pipila ka kompleto nga pag-reboot.

Ang problema kay kadaghanan sa mga solusyon sa seguridad Wala nila gisusi ang firmware o microcodeUg bisan kon buhaton man, ang remediation komplikado. Maayo na lang, kini nga mga teknik kasagaran gireserba alang sa mga sopistikado kaayo nga mga aktor ug dili kini ang naandan sa mga pag-atake sa daghang tawo.

Tipo II: Dili direkta nga paggamit sa mga file

Ang ikaduhang grupo gibase sa naglangkob sa malisyosong code sa mga istruktura nga gitipigan sa diskApan dili sama sa tradisyonal nga mga executable, apan sa mga repository nga nagsagol sa lehitimo ug malisyosong datos, lisod limpyohan nga dili makadaot sa sistema.

Ang kasagarang mga ehemplo mao ang mga script nga gitipigan sa Repositoryo sa WMI, gitago nga mga kadena sa Mga yawe sa rehistro o mga naka-eskedyul nga buluhaton nga naglunsad og delikado nga mga sugo nga walay klaro nga malisyosong binary. Mahimong i-install sa malware kini nga mga entry direkta gikan sa command line o usa ka script ug dayon magpabilin nga halos dili makita.

Bisan tuod teknikal nga adunay mga file nga nalambigit (ang pisikal nga file diin gitipigan sa Windows ang WMI repository o ang Registry hive), alang sa praktikal nga katuyoan atong gihisgutan ang kalihokan nga walay file kay walay klarong executable nga pwede ra i-quarantine.

Tipo III: Nagkinahanglan og mga file aron molihok

Ang ikatulong klase naglakip sa mga hulga nga Mogamit silag mga file, apan sa paagi nga dili kaayo mapuslanon para sa pag-detect.Usa ka iladong ehemplo mao ang Kovter, nga nagrehistro sa mga random nga extension sa Registry aron, kung ang usa ka file nga adunay kana nga extension maablihan, ang usa ka script ipatuman pinaagi sa mshta.exe o usa ka susamang native binary.

Kining mga decoy file adunay mga dili importanteng datos, ug ang tinuod nga malisyosong code Gikuha kini gikan sa ubang mga yawe sa Registry o internal nga mga repositoryo. Bisan tuod adunay "usa ka butang" sa disk, dili kini sayon ​​gamiton isip usa ka kasaligang timailhan sa pagkadaot, labi na isip usa ka direktang mekanismo sa paglimpyo.

Kasagarang mga hinungdan sa impeksyon ug mga hinungdan sa impeksyon

Gawas sa klasipikasyon sa tunob sa tiil, importante nga masabtan kung giunsa Dinhi na mosulod ang malware nga walay persistent files. Sa adlaw-adlaw nga kinabuhi, ang mga tig-atake kasagarang naghiusa sa daghang mga vector depende sa palibot ug sa target.

Mga pagpahimulos ug mga kahuyangan

Usa sa labing direkta nga mga dalan mao ang pag-abuso sa mga kahuyangan sa remote code execution (RCE) sa mga browser, plugin (sama sa Flash kaniadto), mga web application, o mga serbisyo sa network (SMB, RDP, ug uban pa). Ang exploit mo-inject og shellcode nga direktang mo-download o mo-decode sa malisyosong payload ngadto sa memorya.

Niini nga modelo, ang inisyal nga file mahimong naa sa network (exploits type WannaCryo sa usa ka dokumento nga giablihan sa tiggamit, apan Ang payload dili gyud isulat isip executable sa disk: kini gi-decrypt ug gipatuman dayon gikan sa RAM.

Mga makadaot nga dokumento ug macro

Laing pamaagi nga grabeng gipahimuslan mao ang Mga dokumento sa opisina nga adunay macros o DDEingon man mga PDF nga gidisenyo aron pahimuslan ang mga kahuyangan sa magbabasa. Ang usa ka daw dili makadaot nga Word o Excel file mahimong adunay VBA code nga maglunsad sa PowerShell, WMI, o uban pang mga interpreter aron mag-download sa code, mopatuman sa mga sugo, o mag-inject sa shellcode ngadto sa kasaligang mga proseso.

Dinhi ang file sa disk usa ka "data container" lamang, samtang ang aktuwal nga vector mao ang internal nga scripting engine sa aplikasyonSa tinuod lang, daghang mga kampanya sa mass spam ang nag-abuso niini nga taktika aron i-deploy ang mga fileless nga pag-atake sa mga corporate network.

Lehitimong mga script ug binary (Pagpuyo nga layo sa Yuta)

Ganahan ang mga tig-atake sa mga himan nga gihatag na sa Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, ug uban pa. Kining gipirmahan ug gisaligan nga mga binary makapatuman og mga script, DLL, o remote content nga dili kinahanglan og kadudahang "virus.exe".

Pinaagi sa pagpasa sa malisyosong code isip mga parametro sa linya sa sugoAng pag-embed niini sa mga imahe, pag-encrypt ug pag-decode niini sa memorya, o pagtipig niini sa Registry, nagsiguro nga ang antivirus makakita lamang sa kalihokan gikan sa lehitimong mga proseso, nga naghimo sa pag-detect nga gibase lamang sa mga file nga mas lisud.

Nakompromiso nga hardware ug firmware

Sa mas ubos nga lebel, ang mga abanteng tig-atake makasulod BIOS firmware, network card, hard drive, o bisan CPU management subsystems (sama sa Intel ME o AMT). Kini nga klase sa malware modagan sa ubos sa operating system ug maka-intercept o maka-modify sa trapiko nga wala kini nahibal-an sa OS.

Bisan tuod kini usa ka grabeng senaryo, kini nagpakita sa gilapdon diin ang usa ka fileless threat mahimo Hupti ang kalig-on nga dili maapektuhan ang OS file systemug nganong ang mga klasiko nga himan sa endpoint napakyas niini nga mga kaso.

Giunsa molihok ang usa ka pag-atake sa malware nga wala’y persistent files

Sa lebel sa pag-agos, ang usa ka fileless attack halos parehas sa usa ka file-based, apan adunay may kalabutan nga mga kalainan sa kung giunsa pagpatuman ang payload ug kung giunsa pagmentinar ang access.

1. Inisyal nga pag-access sa sistema

Magsugod ang tanan kung ang tig-atake makakuha og unang kalig-on: usa ka phishing email nga adunay malisyosong link o attachment, usa ka pagpahimulos batok sa usa ka mahuyang nga aplikasyon, gikawat nga mga kredensyal para sa RDP o VPN, o bisan usa ka gi-tamper nga USB device.

Niini nga yugto, ang mosunod gigamit: social engineeringmga malisyosong pag-redirect, mga kampanya sa pag-malvertise, o mga malisyosong pag-atake sa Wi-Fi aron limbongan ang tiggamit sa pag-klik kung diin dili nila angay o aron pahimuslan ang mga serbisyo nga nabuyagyag sa Internet.

2. Pagpatuman sa malisyosong kodigo sa memorya

Kung makuha na ang unang entry, ang fileless component ma-trigger: ang Office macro molunsad sa PowerShell, ang exploit mo-inject og shellcode, ang WMI subscription mo-trigger og script, ug uban pa. Ang tumong mao pagkarga sa malisyosong code direkta sa RAMpinaagi sa pag-download niini gikan sa Internet o pinaagi sa pagtukod pag-usab niini gikan sa naka-embed nga datos.

Gikan didto, ang malware mahimo pagpataas sa mga pribilehiyo, paglihok sa kilid, pagkawat sa mga kredensyal, pag-deploy sa mga webshell, pag-install sa mga RAT, o pag-encrypt sa datoskining tanan gisuportahan sa lehitimong mga proseso aron makunhuran ang kasaba.

3. Pagtukod og pagkamakanunayon

Lakip sa naandan nga mga teknik mao ang:

• Mga Yawe sa Awtomatikong Pagdagan sa Registry nga mopatuman sa mga sugo o script kon mag-log in.
• Gi-iskedyul nga mga buluhaton nga naglunsad og mga script, lehitimong binary nga adunay mga parameter, o mga remote command.
• Mga Suskrisyon sa WMI nga mo-trigger code kon mahitabo ang pipila ka mga panghitabo sa sistema.
• Paggamit sa BITS para sa pana-panahong pag-download sa mga payload gikan sa mga command ug control server.

Sa mga kaso, ang nagapadayon nga sangkap gamay ra ug nagsilbi lamang sa i-inject pag-usab ang malware sa memorya matag higayon nga mo-start ang sistema o matuman ang usa ka piho nga kondisyon.

4. Mga aksyon sa mga target ug exfiltration

Uban sa kasigurohan sa pagpadayon, ang tig-atake nagpunting sa kung unsa gyud ang iyang gikainteresan: pagpangawat og impormasyon, pag-encrypt niini, pagmaniobra sa mga sistema, o pagpaniid sulod sa mga bulanAng exfiltration mahimo pinaagi sa HTTPS, DNS, mga tago nga channel, o lehitimong serbisyo. Sa tinuod nga mga insidente, ang pagkahibalo Unsay buhaton sa unang 24 oras human sa usa ka hack makahimo og kalainan.

Sa mga pag-atake sa APT, kasagaran nga magpabilin ang malware hilom ug tago sulod sa taas nga panahon, pagtukod og dugang nga mga pultahan sa likod aron masiguro ang pag-access bisan kung ang bahin sa imprastraktura makit-an ug malimpyohan.

Mga kapabilidad ug mga klase sa malware nga mahimong walay file

Halos bisan unsang malisyosong gimbuhaton nga mahimo sa klasiko nga malware mahimong ipatuman pinaagi sa pagsunod niini nga pamaagi. walay file o semi-walay fileAng mga pagbag-o dili ang tumong, apan ang paagi sa pag-deploy sa code.

Malware nga nagpuyo lamang sa memorya

Apil niini nga kategorya ang mga kargamento nga Sila nagpuyo lamang sa panumduman sa proseso o sa kernel.Ang mga modernong rootkit, advanced backdoors, o spyware mahimong mokarga sa memory space sa usa ka lehitimong proseso ug magpabilin didto hangtod nga ma-restart ang sistema.

Kini nga mga sangkap labi ka lisud makita gamit ang mga himan nga naka-orient sa disk, ug nagpugos sa paggamit sa pag-analisar sa buhing memorya, EDR nga adunay real-time nga inspeksyon o abante nga mga kapabilidad sa forensic.

Malware nga nakabase sa Windows Registry

Laing balik-balik nga teknik mao ang pagtipig naka-encrypt o natago nga code sa mga yawe sa Registry ug mogamit ug lehitimong binary (sama sa PowerShell, MSHTA, o rundll32) aron basahon, i-decode, ug ipatuman kini sa memorya.

Ang inisyal nga dropper mahimong malaglag sa iyang kaugalingon human sa pagsulat niini sa Registry, busa ang nahabilin na lang kay usa ka sagol nga daw dili makadaot nga datos nga Ilang gi-activate ang hulga matag higayon nga magsugod ang sistema o matag higayon nga ang usa ka piho nga file giablihan.

Ransomware ug mga Trojan nga walay file

Ang pamaagi nga walay file dili supak sa agresibo kaayo nga mga pamaagi sa pagkarga sama sa ransomwareAdunay mga kampanya nga nag-download, nag-decrypt, ug nagpatuman sa tibuok nga encryption sa memorya gamit ang PowerShell o WMI, nga dili ibilin ang ransomware executable sa disk.

Ingon usab, mga remote access trojan (RAT)Ang mga keylogger o mga kawatan sa kredensyal mahimong mo-operate sa usa ka semi-fileless nga paagi, nga nagkarga sa mga module kung gikinahanglan ug nag-host sa pangunang lohika sa lehitimong mga proseso sa sistema.

Mga exploitation kit ug gikawat nga mga kredensyal

Ang mga web exploit kit laing bahin sa puzzle: makamatikod kini sa naka-install nga software, Gipili nila ang angay nga exploit ug gi-inject ang payload direkta sa memorya., kasagaran nga walay gi-save nga bisan unsa sa disk.

Sa laing bahin, ang paggamit sa gikawat nga mga kredensyal Kini usa ka vector nga mohaom kaayo sa mga teknik nga walay file: ang tig-atake mo-authenticate isip usa ka lehitimong tiggamit ug, gikan didto, moabuso sa lumad nga mga administratibong himan (PowerShell Remoting, WMI, PsExec) aron mag-deploy og mga script ug mga sugo nga walay gibilin nga klasiko nga mga timailhan sa malware.

Ngano nga lisod kaayo nga mamatikdan ang fileless malware?

Ang nagpahiping hinungdan mao nga kini nga matang sa hulga espesipikong gidisenyo aron laktawan ang tradisyonal nga mga lut-od sa depensabase sa mga pirma, mga whitelist, ug mga periodic nga pag-scan sa file.

Kon ang malisyosong code dili gyud ma-save isip executable sa disk, o kon kini gitago sa sinagol nga mga sudlanan sama sa WMI, ang Registry, o firmware, ang tradisyonal nga antivirus software gamay ra kaayog angay analisahon. Imbis nga usa ka "kadudahang file," ang naa nimo mao ang lehitimong mga proseso nga naglihok nga dili normal.

Dugang pa, kini radikal nga nagbabag sa mga himan sama sa PowerShell, Office macros, o WMI. Dili kini magamit sa daghang mga organisasyonTungod kay kini importante alang sa administrasyon, automation, ug adlaw-adlaw nga operasyon. Kini nagpugos sa mga tigpasiugda nga mag-amping pag-ayo.

Ang ubang mga vendor misulay sa pag-compensate gamit ang dali nga mga solusyon (generic PowerShell blocking, total macro disabled, cloud-only detection, ug uban pa), apan kini nga mga lakang kasagaran dili igo o sobra nga makabalda alang sa negosyo.

Mga modernong estratehiya para sa pag-ila ug paghunong sa fileless malware

Aron maatubang kini nga mga hulga, kinahanglan nga molapas pa sa pag-scan lang sa mga file ug mogamit ug usa ka naka-pokus nga pamaagi. pamatasan, real-time telemetry, ug lawom nga panan-aw sa katapusang punto.

Pagmonitor sa pamatasan ug memorya

Ang usa ka epektibo nga pamaagi naglakip sa pag-obserbar kung unsa gyud ang gibuhat sa mga proseso: unsang mga sugo ang ilang gipatuman, unsang mga kapanguhaan ang ilang gi-access, unsang mga koneksyon ang ilang gitukodunsaon nila pag-uban sa usag usa, ug uban pa. Bisan pa man og liboan ka mga variant sa malware ang anaa, ang mga malisyoso nga pamatasan mas limitado. Mahimo usab kini nga dugangan sa Abansado nga pag-ila gamit ang YARA.

Ang mga modernong solusyon naghiusa niining telemetrya uban sa in-memory analytics, advanced heuristics, ug pagkat-on sa makina aron mailhan ang mga kadena sa pag-atake, bisan kung ang code gitago pag-ayo o wala pa gyud makita kaniadto.

Paggamit sa mga interface sa sistema sama sa AMSI ug ETW

Ang Windows nagtanyag og mga teknolohiya sama sa Antimalware Scan Interface (AMSI) y Pagsubay sa Hitabo alang sa Windows (ETW) Kini nga mga tinubdan nagtugot sa pag-inspeksyon sa mga script sa sistema ug mga panghitabo sa ubos kaayo nga lebel. Ang pag-integrate niini nga mga tinubdan ngadto sa mga solusyon sa seguridad makapasayon ​​sa pag-ila. malisyosong code sa wala pa o atol sa pagpatuman niini.

Dugang pa, ang pag-analisar sa mga kritikal nga lugar—mga naka-iskedyul nga buluhaton, mga suskrisyon sa WMI, mga yawe sa boot registry, ug uban pa—makatabang sa pag-ila tago nga walay file nga pagpadayon nga mahimong dili mamatikdan sa usa ka simpleng pag-scan sa file.

Pagpangita og hulga ug mga timailhan sa pag-atake (IoA)

Tungod kay ang mga klasiko nga indikasyon (hashes, file paths) dili igo, mas maayo nga mosalig sa mga timailhan sa pag-atake (IoA), nga naghulagway sa mga kadudahang pamatasan ug sunod-sunod nga mga aksyon nga mohaum sa nahibal-an nga mga taktika.

Ang mga grupo sa pagpangita og hulga—internal o pinaagi sa mga gidumala nga serbisyo—mahimong proaktibo nga mangita mga sumbanan sa paglihok sa kilid, pag-abuso sa lumad nga mga himan, mga anomalya sa paggamit sa PowerShell o wala gitugutan nga pag-access sa sensitibo nga datos, nga nakamatikod sa mga hulga nga walay file sa dili pa kini hinungdan sa usa ka katalagman.

EDR, XDR ug SOC 24/7

Modernong mga plataporma EDR ug XDR (Ang pag-ila ug pagtubag sa endpoint sa mas taas nga lebel) naghatag sa visibility ug correlation nga gikinahanglan aron matukod pag-usab ang kompletong kasaysayan sa usa ka insidente, gikan sa unang phishing email hangtod sa katapusang exfiltration.

Gihiusa uban sa usa ka 24/7 nga operasyonal nga SOCDili lang nila gitugotan ang pag-detect, apan lakip usab ang awtomatikong makontrol ug masulbad makadaot nga kalihokan: ibulag ang mga kompyuter, babagan ang mga proseso, ibalik ang mga pagbag-o sa Registry, o i-undo ang encryption kung mahimo.

Ang mga teknik sa fileless malware nakapausab sa dula: ang pagpadagan lang og antivirus scan ug pagtangtang sa kadudahang executable dili na igo. Karon, ang depensa naglakip sa pagsabot kon giunsa pagpahimulos sa mga tig-atake ang mga kahuyangan pinaagi sa pagtago sa code sa memorya, Registry, WMI, o firmware, ug pag-deploy sa kombinasyon sa behavioral monitoring, in-memory analysis, EDR/XDR, threat hunting, ug mga best practices. Realistiko nga pakunhuran ang epekto Ang mga pag-atake nga, pinaagi sa disenyo, naningkamot nga walay mabilin nga agi diin ang mas tradisyonal nga mga solusyon daw nagkinahanglan og usa ka holistikong ug padayon nga estratehiya. Kon adunay kompromiso, ang pagkahibalo Pag-ayo sa Windows pagkahuman sa usa ka seryoso nga virus hinungdanon.