Adnabod ffeiliau di-ffeil: canllaw cyflawn i ganfod a stopio meddalwedd faleisus yn y cof

Mae ymosodiadau sy'n gweithredu heb adael ôl ar ddisg wedi dod yn gur pen mawr i lawer o dimau diogelwch oherwydd eu bod yn gweithredu'n gyfan gwbl yn y cof ac yn manteisio ar brosesau system cyfreithlon. Dyna pam mae gwybod mor bwysig yw hynny. sut i adnabod ffeiliau di-ffeil ac amddiffyn eu hunain yn eu herbyn.

Y tu hwnt i benawdau a thueddiadau, mae deall sut maen nhw'n gweithio, pam maen nhw mor anodd eu dal, a pha arwyddion sy'n ein galluogi i'w canfod yn gwneud y gwahaniaeth rhwng rheoli digwyddiad ac edifarhau am doriad. Yn y llinellau canlynol, rydym yn dadansoddi'r broblem ac yn cynnig atebion.

Beth yw meddalwedd faleisus di-ffeil a pham mae'n bwysig?

 

Nid yw meddalwedd faleisus di-ffeil yn deulu penodol, ond yn hytrach yn ffordd o weithredu: Osgowch ysgrifennu ffeiliau gweithredadwy i ddisg Mae'n defnyddio gwasanaethau a ffeiliau deuaidd sydd eisoes yn bresennol yn y system i weithredu cod maleisus. Yn lle gadael ffeil y gellir ei sganio'n hawdd, mae'r ymosodwr yn camddefnyddio cyfleustodau dibynadwy ac yn llwytho ei resymeg yn uniongyrchol i RAM.

Mae'r dull hwn yn aml yn cael ei gynnwys yn athroniaeth 'Byw oddi ar y Tir': mae ymosodwyr yn offeryniaethu offer brodorol fel PowerShell, WMI, mshta, rundll32 neu beiriannau sgriptio fel VBScript a JScript i gyflawni eu hamcanion gyda'r sŵn lleiaf posibl.

Ymhlith ei nodweddion mwyaf cynrychioliadol gwelwn: gweithredu mewn cof anwadal, ychydig neu ddim parhad ar ddisg, defnyddio cydrannau wedi'u llofnodi gan y system a chapasiti osgoi uchel yn erbyn peiriannau sy'n seiliedig ar lofnodion.

Er bod llawer o lwythi tâl yn diflannu ar ôl ailgychwyn, peidiwch â chael eich twyllo: gall gwrthwynebwyr sefydlu dyfalbarhad trwy fanteisio ar allweddi'r Gofrestrfa, tanysgrifiadau WMI, neu dasgau wedi'u hamserlennu, i gyd heb adael ffeiliau deuaidd amheus ar y ddisg.

Pam rydyn ni'n ei chael hi mor anodd adnabod ffeiliau heb ffeiliau?

Mae'r rhwystr cyntaf yn amlwg: Nid oes unrhyw ffeiliau anarferol i'w harchwilioNid oes gan raglenni gwrthfeirws traddodiadol sy'n seiliedig ar lofnodion a dadansoddi ffeiliau lawer o le i symud pan fydd gweithredu'n gorwedd mewn prosesau dilys a rhesymeg faleisus yn y cof.

Mae'r ail yn fwy cynnil: mae'r ymosodwyr yn cuddio eu hunain y tu ôl i prosesau system weithredu cyfreithlonOs defnyddir PowerShell neu WMI yn ddyddiol ar gyfer gweinyddu, sut allwch chi wahaniaethu rhwng defnydd arferol a defnydd maleisus heb gyd-destun a thelemetreg ymddygiadol?

Ar ben hynny, nid yw'n ymarferol blocio offer hanfodol yn ddall. Gall analluogi macros PowerShell neu Office ar draws y bwrdd dorri gweithrediadau a Nid yw'n atal camdriniaethau'n llwyroherwydd bod yna nifer o lwybrau gweithredu a thechnegau amgen i osgoi blociau syml.

I goroni’r cyfan, mae canfod yn y cwmwl neu ar ochr y gweinydd yn rhy hwyr i atal problemau. Heb welededd lleol amser real i’r broblem... llinellau gorchymyn, perthnasoedd prosesau, a digwyddiadau logioNi all yr asiant liniaru llif maleisus ar unwaith nad yw'n gadael unrhyw ôl ar y ddisg.

Sut mae ymosodiad di-ffeil yn gweithio o'r dechrau i'r diwedd

Fel arfer, mae mynediad cychwynnol yn digwydd gyda'r un fectorau ag bob amser: gwe-rwydo gyda dogfennau swyddfa sy'n gofyn i alluogi cynnwys gweithredol, dolenni i safleoedd sydd wedi'u peryglu, manteisio ar wendidau mewn cymwysiadau sydd wedi'u datgelu, neu gamddefnyddio manylion mewngofnodi sydd wedi'u gollwng i gael mynediad trwy RDP neu wasanaethau eraill.

Unwaith y tu mewn, mae'r gwrthwynebydd yn ceisio gweithredu heb gyffwrdd â'r ddisg. I wneud hyn, maen nhw'n cadwyno swyddogaethau'r system at ei gilydd: macros neu DDE mewn dogfennau sy'n lansio gorchmynion, yn manteisio ar orlifiadau ar gyfer RCE, neu'n galw ffeiliau deuaidd dibynadwy sy'n caniatáu llwytho a gweithredu cod yn y cof.

Os oes angen parhad ar y llawdriniaeth, gellir gweithredu dyfalbarhad heb ddefnyddio ffeiliau gweithredadwy newydd: cofnodion cychwyn yn y GofrestrfaTanysgrifiadau WMI sy'n ymateb i ddigwyddiadau system neu dasgau wedi'u hamserlennu sy'n sbarduno sgriptiau o dan rai amodau.

Gyda'r gweithrediad wedi'i sefydlu, mae'r amcan yn pennu'r camau canlynol: symud yn ochrol, data all-hidloMae hyn yn cynnwys dwyn manylion mewngofnodi, defnyddio RAT, cloddio cryptocurrencies, neu actifadu amgryptio ffeiliau yn achos ransomware. Gwneir hyn i gyd, pan fo'n bosibl, trwy fanteisio ar swyddogaethau presennol.

Mae cael gwared ar dystiolaeth yn rhan o'r cynllun: drwy beidio ag ysgrifennu ffeiliau deuaidd amheus, mae'r ymosodwr yn lleihau'r arteffactau i'w dadansoddi yn sylweddol. cymysgu eu gweithgaredd rhwng digwyddiadau arferol y system a dileu olion dros dro pan fo modd.

Technegau ac offer maen nhw fel arfer yn eu defnyddio

Mae'r catalog yn helaeth, ond mae bron bob amser yn troi o amgylch cyfleustodau brodorol a llwybrau dibynadwy. Dyma rai o'r rhai mwyaf cyffredin, bob amser gyda'r nod o gwneud y mwyaf o weithredu yn y cof a chymylu'r ôl:

• PowerShellSgriptio pwerus, mynediad i APIs Windows, ac awtomeiddio. Mae ei hyblygrwydd yn ei wneud yn ffefryn ar gyfer gweinyddu a cham-drin sarhaus.
• WMI (Offeryniaeth Rheoli Windows)Mae'n caniatáu ichi holi ac ymateb i ddigwyddiadau system, yn ogystal â chyflawni gweithredoedd o bell a lleol; yn ddefnyddiol ar gyfer dyfalbarhad a threfniadaeth.
• VBScript a JScript: peiriannau sy'n bresennol mewn llawer o amgylcheddau sy'n hwyluso gweithredu rhesymeg trwy gydrannau system.
• mshta, rundll32 a ffeiliau deuaidd dibynadwy eraill: y LoLBins adnabyddus a all, pan gânt eu cysylltu'n iawn, gweithredu cod heb ollwng arteffactau yn amlwg ar y ddisg.
• Dogfennau gyda chynnwys gweithredolGall macros neu DDE yn Office, yn ogystal â darllenwyr PDF gyda nodweddion uwch, fod yn fan cychwyn i lansio gorchmynion yn y cof.
• Cofrestrfa Windows: allweddi hunan-gychwyn neu storfa wedi'i hamgryptio/guddio o lwythi tâl sy'n cael eu actifadu gan gydrannau system.
• Atafaelu a chwistrellu i brosesau: addasu gofod cof prosesau rhedeg ar gyfer rhesymeg faleisus y gwesteiwr o fewn ffeil weithredadwy gyfreithlon.
• Pecynnau gweithredu: canfod gwendidau yn system y dioddefwr a defnyddio manteision wedi'u teilwra i gyflawni gweithrediad heb gyffwrdd â'r ddisg.

Yr her i gwmnïau (a pham nad yw rhwystro popeth yn unig yn ddigon)

Mae dull naïf yn awgrymu mesur llym: blocio PowerShell, gwahardd macros, atal ffeiliau deuaidd fel rundll32. Mae'r realiti yn fwy cymhleth: Mae llawer o'r offer hyn yn hanfodol. ar gyfer gweithrediadau TG dyddiol ac ar gyfer awtomeiddio gweinyddol.

Yn ogystal, mae ymosodwyr yn chwilio am fylchau: rhedeg yr injan sgriptio mewn ffyrdd eraill, defnyddio copïau amgenGallwch chi becynnu rhesymeg mewn delweddau neu droi at LoLBins sy'n cael eu monitro llai. Mae blocio brwt yn y pen draw yn creu ffrithiant heb ddarparu amddiffyniad cyflawn.

Nid yw dadansoddi ar ochr y gweinydd neu sy'n seiliedig ar y cwmwl yn unig yn datrys y broblem chwaith. Heb delemetreg pwynt terfynol cyfoethog a heb ymatebolrwydd yn yr asiant ei hunDaw'r penderfyniad yn hwyr ac nid yw atal yn ymarferol oherwydd bod yn rhaid i ni aros am farn allanol.

Yn y cyfamser, mae adroddiadau marchnad wedi bod yn tynnu sylw at dwf sylweddol iawn yn y maes hwn ers tro byd, gyda chopaon lle mae'r Bron â dyblu’r ymdrechion i gamddefnyddio PowerShell mewn cyfnodau byr, sy'n cadarnhau ei fod yn dacteg gylchol a phroffidiol i wrthwynebwyr.

Canfod modern: o ffeil i ymddygiad

Nid pwy sy'n gweithredu yw'r allwedd, ond sut a pham. Monitro'r ymddygiad proses a'i berthnasoedd Mae'n bendant: llinell orchymyn, etifeddiaeth prosesau, galwadau API sensitif, cysylltiadau allanol, addasiadau i'r Gofrestrfa, a digwyddiadau WMI.

Mae'r dull hwn yn lleihau'r arwyneb osgoi yn sylweddol: hyd yn oed os yw'r ffeiliau deuaidd dan sylw yn newid, y mae patrymau ymosod yn cael eu hailadrodd (sgriptiau sy'n lawrlwytho ac yn gweithredu yn y cof, camddefnyddio LoLBins, galw dehonglwyr, ac ati). Mae dadansoddi'r sgript honno, nid 'hunaniaeth' y ffeil, yn gwella canfod.

Mae llwyfannau EDR/XDR effeithiol yn cydberthyn signalau i ail-greu hanes digwyddiadau cyflawn, gan nodi'r achos gwraidd Yn hytrach na beio'r broses a 'ymddangosodd', mae'r naratif hwn yn cysylltu atodiadau, macros, dehonglwyr, llwythi tâl, a dyfalbarhad i liniaru'r llif cyfan, nid dim ond darn ynysig.

Cymhwyso fframweithiau fel MITER ATT&CK Mae'n helpu i fapio tactegau a thechnegau a arsylwyd (TTPs) ac arwain hela bygythiadau tuag at ymddygiadau o ddiddordeb: gweithredu, dyfalbarhad, osgoi amddiffyn, mynediad at gredydau, darganfod, symudiad ochrol ac all-hidlo.

Yn olaf, rhaid i drefniant ymateb y pwynt terfynol fod ar unwaith: ynysu'r ddyfais, prosesau terfynol dan sylw, gwrthdroi newidiadau yn y Gofrestrfa neu'r amserlennydd tasgau a rhwystro cysylltiadau allgymorth amheus heb aros am gadarnhadau allanol.

Telemetreg ddefnyddiol: beth i edrych arno a sut i flaenoriaethu

Er mwyn cynyddu'r tebygolrwydd o ganfod heb orlenwi'r system, mae'n ddoeth blaenoriaethu signalau gwerth uchel. Rhai ffynonellau a rheolyddion sy'n darparu cyd-destun. hanfodol ar gyfer di-ffeil sain:

• Log PowerShell Manwl a dehonglwyr eraill: log bloc sgript, hanes gorchmynion, modiwlau wedi'u llwytho, a digwyddiadau AMSI, pan fyddant ar gael.
• Storfa WMIRhestr a rhybudd ynghylch creu neu addasu hidlwyr digwyddiadau, defnyddwyr a dolenni, yn enwedig mewn gofodau enwau sensitif.
• Digwyddiadau diogelwch a Sysmon: cydberthynas prosesau, uniondeb delweddau, llwytho cof, chwistrelliad, a chreu tasgau wedi'u hamserlennu.
• Coch: cysylltiadau allanol anarferol, beaconing, patrymau lawrlwytho llwyth tâl, a defnyddio sianeli cudd ar gyfer allhidlo.

Mae awtomeiddio yn helpu i wahanu'r gwenith oddi wrth yr us: rheolau canfod yn seiliedig ar ymddygiad, rhestrau caniatáu ar gyfer gweinyddiaeth gyfreithlon ac mae cyfoethogi â gwybodaeth am fygythiadau yn cyfyngu ar ganlyniadau positif ffug ac yn cyflymu'r ymateb.

Atal a lleihau arwyneb

Nid oes un mesur yn ddigonol, ond mae amddiffyniad haenog yn lleihau risg yn fawr. Ar yr ochr ataliol, mae sawl llinell weithredu yn sefyll allan fectorau cnydau a gwneud bywyd yn anoddach i'r gwrthwynebydd:

• Rheoli macro: analluogi yn ddiofyn a chaniatáu dim ond pan fo'n gwbl angenrheidiol ac wedi'i lofnodi; rheolaethau manwl trwy bolisïau grŵp.
• Cyfyngu ar gyfieithwyr a LoLBinsCymhwyso AppLocker/WDAC neu gyfwerth, rheoli sgriptiau a thempledi gweithredu gyda chofnodi cynhwysfawr.
• Clytio a lliniaru: cau gwendidau y gellir eu hecsbloetio ac actifadu amddiffyniadau cof sy'n cyfyngu ar RCE a chwistrelliadau.
• Dilysu cadarnEgwyddorion MFA a dim ymddiriedaeth i atal camdriniaeth credydau a lleihau symudiad ochrol.
• Ymwybyddiaeth ac efelychiadauHyfforddiant ymarferol ar we-rwydo, dogfennau â chynnwys gweithredol, ac arwyddion o weithredu annormal.

Mae'r mesurau hyn yn cael eu hategu gan atebion sy'n dadansoddi traffig a chof i nodi ymddygiad maleisus mewn amser real, yn ogystal â polisïau segmentu a breintiau lleiaf i gynnwys yr effaith pan fydd rhywbeth yn llithro drwodd.

Gwasanaethau a dulliau sy'n gweithio

Mewn amgylcheddau gyda llawer o bwyntiau terfyn a chritigolrwydd uchel, gwasanaethau canfod ac ymateb rheoledig gyda Monitro 24/7 Maent wedi profi eu bod yn cyflymu'r broses o gynnwys digwyddiadau. Mae'r cyfuniad o SOC, EMDR/MDR, ac EDR/XDR yn darparu llygaid arbenigol, telemetreg gyfoethog, a galluoedd ymateb cydlynol.

Mae'r darparwyr mwyaf effeithiol wedi mewnosod y newid i ymddygiad: asiantau ysgafn sydd cydberthynas gweithgaredd ar lefel y cnewyllynMaent yn ail-greu hanesion ymosodiadau cyflawn ac yn cymhwyso lliniariadau awtomatig pan fyddant yn canfod cadwyni maleisus, gyda'r gallu i rolio'n ôl i ddadwneud newidiadau.

Ochr yn ochr â hynny, mae cyfresi amddiffyn pwynt terfyn a llwyfannau XDR yn integreiddio gwelededd canolog a rheoli bygythiadau ar draws gorsafoedd gwaith, gweinyddion, hunaniaethau, e-bost, a'r cwmwl; y nod yw datgymalu cadwyn yr ymosodiad waeth a yw ffeiliau'n gysylltiedig ai peidio.

Dangosyddion ymarferol ar gyfer hela bygythiadau

Os oes rhaid i chi flaenoriaethu rhagdybiaethau chwilio, canolbwyntiwch ar gyfuno signalau: proses swyddfa sy'n lansio dehonglydd â pharamedrau anarferol, Creu tanysgrifiad WMI Ar ôl agor dogfen, addasiadau i allweddi cychwyn ac yna cysylltiadau â pharthau sydd ag enw gwael.

Dull effeithiol arall yw dibynnu ar linellau sylfaen o'ch amgylchedd: beth sy'n normal ar eich gweinyddion a'ch gorsafoedd gwaith? Unrhyw wyriad (deuaidd newydd ei lofnodi yn ymddangos fel rhieni dehonglwyr, pigau sydyn mewn perfformiad (o sgriptiau, llinynnau gorchymyn gyda drysu) yn haeddu ymchwiliad.

Yn olaf, peidiwch ag anghofio cof: os oes gennych chi offer sy'n archwilio rhanbarthau rhedeg neu'n cipio cipluniau, y canfyddiadau yn RAM Gallant fod yn brawf pendant o weithgarwch di-ffeil, yn enwedig pan nad oes unrhyw arteffactau yn y system ffeiliau.

Nid yw cyfuniad y tactegau, y technegau a'r rheolaethau hyn yn dileu'r bygythiad, ond mae'n eich rhoi mewn gwell sefyllfa i'w ganfod mewn pryd. torri'r gadwyn a lleihau'r effaith.

Pan gaiff hyn i gyd ei gymhwyso'n ddoeth—telemetreg sy'n gyfoethog o ran pwynt terfyn, cydberthynas ymddygiadol, ymateb awtomataidd, a chaledu dethol—mae'r dacteg ddi-ffeil yn colli llawer o'i fantais. Ac, er y bydd yn parhau i esblygu, y ffocws ar ymddygiadau Yn hytrach nag mewn ffeiliau, mae'n cynnig sylfaen gadarn i'ch amddiffyniad esblygu gydag ef.