Hvad er "malware uden persistente filer", og hvordan man opdager det med gratis værktøjer

Udseendet af malware uden persistente filer Dette har været en reel hovedpine for sikkerhedsteams. Vi har ikke at gøre med den typiske virus, man "fanger", når man sletter en eksekverbar fil fra disken, men med trusler, der lever i hukommelsen, misbruger legitime systemværktøjer og i mange tilfælde næsten ikke efterlader brugbare retsmedicinske spor.

Denne type angreb er blevet særligt populær blandt avancerede grupper og cyberkriminelle, der søger undgå traditionel antivirussoftware, stjæl data og forbliv skjult så længe som muligt. At forstå, hvordan de fungerer, hvilke teknikker de bruger, og hvordan man opdager dem, er nøglen til enhver organisation, der ønsker at tage cybersikkerhed alvorligt i dag.

Hvad er filløs malware, og hvorfor er det så bekymrende?

Når vi taler om filløs malware Vi siger ikke, at der ikke er en eneste byte involveret, men at den ondsindede kode Den er ikke gemt som en klassisk eksekverbar fil på disken fra slutpunktet. I stedet kører den direkte i hukommelsen eller hostes i mindre synlige containere såsom registreringsdatabasen, WMI eller planlagte opgaver.

I mange scenarier bruger angriberen værktøjer, der allerede findes i systemet – PowerShell, WMI, scripts, signerede Windows-binære filer – til at indlæse, dekryptere eller udføre nyttelast direkte i RAMPå denne måde undgår man at efterlade åbenlyse eksekverbare filer, som et signaturbaseret antivirusprogram kunne opdage i en normal scanning.

Desuden kan en del af angrebskæden være "filløs", og en anden del kan bruge filsystemet, så vi taler om mere end én. spektrum af filløse teknikker den fra en enkelt malwarefamilie. Derfor er der ikke én enkelt, lukket definition, men snarere flere kategorier afhængigt af graden af ​​​​påvirkning, de efterlader på maskinen.

Hovedkarakteristika ved malware uden persistente filer

En central egenskab ved disse trusler er deres hukommelsescentreret udførelseDen skadelige kode indlæses i RAM og udføres i legitime processer uden at det kræver en stabil, skadelig binær fil på harddisken. I nogle tilfælde injiceres den endda i kritiske systemprocesser for bedre camouflage.

En anden vigtig egenskab er ukonventionel vedholdenhedMange filløse kampagner er rent volatile og forsvinder efter en genstart, men andre formår at genaktiveres ved hjælp af registreringsnøgler, WMI-abonnementer, planlagte opgaver eller BITS, så den "synlige" artefakt er minimal, og den reelle nyttelast lever tilbage i hukommelsen hver gang.

Denne fremgangsmåde reducerer effektiviteten betydeligt signaturbaseret detektionDa der ikke findes nogen fast eksekverbar fil at analysere, ser man ofte en helt legitim PowerShell.exe, wscript.exe eller mshta.exe, der er startet med mistænkelige parametre eller indlæser forvrænget indhold.

Endelig kombinerer mange aktører filløse teknikker med andre typer af malware såsom trojanere, ransomware eller adware, hvilket resulterer i hybridkampagner, der blander det bedste (og det værste) fra begge verdener: vedholdenhed og skjulthed.

Typer af filløse trusler i henhold til deres fodaftryk på systemet

Flere sikkerhedsproducenter De klassificerer "filløse" trusler efter det spor, de efterlader på computeren. Denne taksonomi hjælper os med at forstå, hvad vi ser, og hvordan vi undersøger det.

Type I: ingen synlig filaktivitet

I den mest diskrete ende finder vi malware, der Den skriver absolut ingenting til filsystemetKoden ankommer for eksempel via netværkspakker, der udnytter en sårbarhed (såsom EternalBlue), injiceres direkte i hukommelsen og vedligeholdes for eksempel som en bagdør i kernen (DoublePulsar var et symbolsk eksempel).

I andre scenarier befinder infektionen sig i BIOS-firmware, netværkskort, USB-enheder eller endda undersystemer i CPU'enDenne type trussel kan overleve geninstallationer af operativsystemer, diskformatering og endda nogle komplette genstarter.

Problemet er, at de fleste sikkerhedsløsninger De inspicerer ikke firmware eller mikrokodeOg selv hvis de gør det, er afhjælpning kompleks. Heldigvis er disse teknikker normalt forbeholdt meget sofistikerede aktører og er ikke normen i masseangreb.

Type II: Indirekte brug af filer

En anden gruppe er baseret på indeholde den skadelige kode i strukturer gemt på diskenMen ikke som traditionelle eksekverbare filer, men i arkiver, der blander legitime og ondsindede data, hvilket er vanskeligt at rense uden at beskadige systemet.

Typiske eksempler er scripts gemt i WMI-arkiv, forvirrede kæder i Registreringsnøgler eller planlagte opgaver, der starter farlige kommandoer uden en tydelig, skadelig binær fil. Malware kan installere disse poster direkte fra kommandolinjen eller et script og derefter forblive stort set usynlig.

Selvom der teknisk set er involveret filer (den fysiske fil, hvor Windows gemmer WMI-arkivet eller registreringsdatabasen), taler vi i praksis om filløs aktivitet fordi der ikke findes nogen åbenlys eksekverbar fil, der blot kan sættes i karantæne.

Type III: Kræver filer for at fungere

Den tredje type omfatter trusler, der De bruger filer, men på en måde, der ikke er særlig nyttig til detektion.Et velkendt eksempel er Kovter, som registrerer tilfældige filtypenavne i registreringsdatabasen, så når en fil med den filtypenavn åbnes, udføres et script via mshta.exe eller en lignende native binær fil.

Disse lokkefuglefiler indeholder irrelevante data og den virkelige skadelige kode Den hentes fra andre registreringsnøgler eller interne arkiver. Selvom der er "noget" på disken, er det ikke let at bruge det som en pålidelig indikator for kompromitteret data, og slet ikke som en direkte oprydningsmekanisme.

De mest almindelige indgangsvektorer og smittepunkter

Ud over klassificering af fodaftryk er det vigtigt at forstå, hvordan Det er her, malware uden persistente filer kommer i spil. I hverdagen kombinerer angribere ofte flere vektorer afhængigt af miljøet og målet.

Udnyttelser og sårbarheder

En af de mest direkte veje er misbrug af Sårbarheder i forbindelse med fjernudførelse af kode (RCE) i browsere, plugins (som Flash dengang), webapplikationer eller netværkstjenester (SMB, RDP osv.). Angrebet indsprøjter shellcode, der direkte downloader eller afkoder den skadelige nyttelast i hukommelsen.

I denne model kan den oprindelige fil være på netværket (exploits-typen Vil du græde?eller i et dokument, som brugeren åbner, men Nyttelasten skrives aldrig som en eksekverbar fil til disken: den dekrypteres og udføres øjeblikkeligt fra RAM.

Ondsindede dokumenter og makroer

En anden stærkt udnyttet vej er Office-dokumenter med makroer eller DDEsåvel som PDF-filer designet til at udnytte læsersårbarheder. En tilsyneladende harmløs Word- eller Excel-fil kan indeholde VBA-kode, der starter PowerShell, WMI eller andre fortolkere for at downloade kode, udføre kommandoer eller injicere shellcode i betroede processer.

Her er filen på disken “kun” en datacontainer, mens den faktiske vektor er applikationens interne scripting-motorFaktisk har mange massespamkampagner misbrugt denne taktik til at implementere filløse angreb på virksomhedsnetværk.

Legitime scripts og binære filer (At leve af landet)

Angribere elsker de værktøjer, som Windows allerede tilbyder: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS osv. Disse signerede og betroede binære filer kan udføre scripts, DLL'er eller fjernindhold uden behov for en mistænkelig "virus.exe".

Ved at sende ondsindet kode som kommandolinjeparametreVed at integrere det i billeder, kryptere og afkode det i hukommelsen eller gemme det i registreringsdatabasen sikrer du, at antivirusprogrammet kun ser aktivitet fra legitime processer, hvilket gør detektion udelukkende baseret på filer meget vanskeligere.

Kompromitteret hardware og firmware

På et endnu lavere niveau kan avancerede angribere infiltrere BIOS-firmware, netværkskort, harddiske eller endda CPU-styringssystemer (såsom Intel ME eller AMT). Denne type malware kører under operativsystemet og kan opfange eller ændre trafik uden at operativsystemet er klar over det.

Selvom det er et ekstremt scenarie, illustrerer det i hvilken grad en filløs trussel kan Bevar vedholdenhed uden at røre ved OS-filsystemetog hvorfor klassiske endpoint-værktøjer ikke lever op til forventningerne i disse tilfælde.

Sådan fungerer et malwareangreb uden persistente filer

På flowniveau er et filløst angreb ret lig et filbaseret angreb, men med relevante forskelle i hvordan nyttelasten implementeres, og hvordan adgangen opretholdes.

1. Første adgang til systemet

Det hele begynder, når angriberen får fodfæste for første gang: phishing-e-mail med ondsindet link eller vedhæftet fil, en udnyttelse mod en sårbar applikation, stjålne legitimationsoplysninger til RDP eller VPN eller endda en manipuleret USB-enhed.

I denne fase anvendes følgende: social manipulationondsindede omdirigeringer, malware-reklamekampagner eller ondsindede Wi-Fi-angreb for at narre brugeren til at klikke, hvor de ikke skal, eller for at udnytte tjenester, der er eksponeret på internettet.

2. Udførelse af ondsindet kode i hukommelsen

Når den første indgang er opnået, udløses den filløse komponent: en Office-makro starter PowerShell, en exploit indsprøjter shellcode, et WMI-abonnement udløser et script osv. Målet er indlæs skadelig kode direkte i RAMenten ved at downloade det fra internettet eller ved at rekonstruere det fra indlejrede data.

Derfra kan malwaren eskalere privilegier, flytte lateralt, stjæle legitimationsoplysninger, implementere webshells, installere RAT'er eller kryptere dataAlt dette understøttes af legitime processer til at reducere støj.

3. Etablering af vedholdenhed

Blandt de sædvanlige teknikker De findes:

• Autorun-nøgler i registreringsdatabasen, der udfører kommandoer eller scripts, når man logger ind.
• Planlagte opgaver der starter scripts, legitime binære filer med parametre eller fjernkommandoer.
• WMI-abonnementer der udløser kode, når bestemte systemhændelser opstår.
• Brug af BITS til periodiske downloads af nyttelast fra kommando- og kontrolservere.

I tilfælde er den persistente komponent minimal og tjener kun til geninjicér malwaren i hukommelsen hver gang systemet starter, eller en specifik betingelse er opfyldt.

4. Handlinger mod mål og eksfiltrering

Med sikker vedholdenhed fokuserer angriberen på det, der virkelig interesserer ham: stjæle information, kryptere den, manipulere systemer eller spionere i månedsvisEksfiltrering kan udføres via HTTPS, DNS, skjulte kanaler eller legitime tjenester. I virkelige hændelser er det vigtigt at vide, at Hvad skal man gøre i de første 24 timer efter et hacking kan gøre en forskel.

I APT-angreb er det almindeligt, at malwaren forbliver lydløs og diskret i lange perioder, og bygger yderligere bagdøre for at sikre adgang, selv hvis en del af infrastrukturen opdages og ryddes.

Funktioner og typer af malware, der kan være filfri

Stort set enhver ondsindet funktion, som klassisk malware kan udføre, kan implementeres ved at følge denne fremgangsmåde. filløs eller semi-filløsDet er ikke målet, der ændrer sig, men måden, koden implementeres på.

Malware, der kun findes i hukommelsen

Denne kategori omfatter nyttelast, der De lever udelukkende i processens eller kernens hukommelse.Moderne rootkits, avancerede bagdøre eller spyware kan indlæses i hukommelsespladsen i en legitim proces og forblive der, indtil systemet genstartes.

Disse komponenter er særligt vanskelige at se med diskorienterede værktøjer og tvinger brugen af analyse af levende hukommelse, EDR med realtidsinspektion eller avancerede retsmedicinske funktioner.

Malware baseret på Windows-registreringsdatabasen

En anden tilbagevendende teknik er at opbevare krypteret eller forvirret kode i registreringsdatabasenøgler og brug en legitim binær fil (såsom PowerShell, MSHTA eller rundll32) til at læse, afkode og udføre den i hukommelsen.

Den oprindelige dropper kan selvdestruere efter at have skrevet til registreringsdatabasen, så alt, der er tilbage, er en blanding af tilsyneladende harmløse data, der De aktiverer truslen hver gang systemet starter eller hver gang en bestemt fil åbnes.

Ransomware og filløse trojanere

Den filløse tilgang er ikke uforenelig med meget aggressive indlæsningsmetoder som f.eks. ransomwareDer findes kampagner, der downloader, dekrypterer og udfører hele krypteringen i hukommelsen ved hjælp af PowerShell eller WMI, uden at efterlade den eksekverbare ransomware-fil på disken.

På samme måde, fjernadgangstrojanere (RAT'er)Keyloggere eller legitimationstyve kan operere på en delvist filløs måde, indlæse moduler efter behov og være vært for den primære logik i legitime systemprocesser.

Udnyttelsessæt og stjålne legitimationsoplysninger

Web exploit kits er endnu en brik i puslespillet: de registrerer installeret software, De vælger den passende udnyttelse og injicerer nyttelasten direkte i hukommelsen., ofte uden at gemme noget som helst på disken.

På den anden side er brugen af stjålne legitimationsoplysninger Det er en vektor, der passer rigtig godt til filløse teknikker: angriberen autentificerer sig som en legitim bruger og misbruger derfra native administrative værktøjer (PowerShell Remoting, WMI, PsExec) til at implementere scripts og kommandoer, der ikke efterlader klassiske spor af malware.

Hvorfor er filløs malware så vanskelig at opdage?

Den underliggende årsag er, at denne type trussel er specifikt designet til at omgå traditionelle forsvarslagbaseret på signaturer, hvidlister og periodiske filscanninger.

Hvis den skadelige kode aldrig gemmes som en eksekverbar fil på disken, eller hvis den gemmer sig i blandede containere som WMI, registreringsdatabasen eller firmware, har traditionel antivirussoftware meget lidt at analysere. I stedet for en "mistænkelig fil" har du, legitime processer, der opfører sig unormalt.

Derudover blokerer det radikalt værktøjer som PowerShell, Office-makroer eller WMI. Det er ikke brugbart i mange organisationerFordi de er afgørende for administration, automatisering og den daglige drift. Dette tvinger fortalere til at træde meget forsigtigt.

Nogle leverandører har forsøgt at kompensere med hurtige løsninger (generisk PowerShell-blokering, total makrodeaktivering, kun-cloud-detektion osv.), men disse foranstaltninger er normalt utilstrækkelig eller overdrevent forstyrrende til forretning.

Moderne strategier til at opdage og stoppe filløs malware

For at imødegå disse trusler er det nødvendigt at gå ud over blot at scanne filer og anvende en fokuseret tilgang. adfærd, telemetri i realtid og dyb synlighed af det sidste punkt.

Adfærds- og hukommelsesovervågning

En effektiv tilgang involverer at observere, hvad processerne rent faktisk gør: hvilke kommandoer de udfører, hvilke ressourcer de tilgår, hvilke forbindelser de etablererhvordan de relaterer sig til hinanden osv. Selvom der findes tusindvis af malware-varianter, er ondsindede adfærdsmønstre meget mere begrænsede. Dette kan også suppleres med Avanceret detektion med YARA.

Moderne løsninger kombinerer denne telemetri med analyser i hukommelsen, avanceret heuristik og maskinlæring at identificere angrebskæder, selv når koden er stærkt tilsløret eller aldrig er set før.

Brug af systemgrænseflader som AMSI og ETW

Windows tilbyder teknologier som f.eks. Antimalware-scanningsgrænseflade (AMSI) y Hændelsessporing til Windows (ETW) Disse kilder muliggør inspektion af systemscripts og hændelser på et meget lavt niveau. Integration af disse kilder i sikkerhedsløsninger letter detektion. ondsindet kode lige før eller under dens udførelse.

Derudover hjælper analyse af kritiske områder – planlagte opgaver, WMI-abonnementer, startregistreringsnøgler osv. – med at identificere skjult filløs vedholdenhed der kunne gå ubemærket hen med en simpel filscanning.

Trusselsjagt og angrebsindikatorer (IoA)

Da klassiske indikatorer (hashes, filstier) ikke er tilstrækkelige, er det tilrådeligt at stole på indikatorer for angreb (IoA), som beskriver mistænkelig adfærd og handlingssekvenser, der passer med kendte taktikker.

Trusselsjagthold – interne eller via administrerede tjenester – kan proaktivt søge laterale bevægelsesmønstre, misbrug af native værktøjer, anomalier i brugen af ​​PowerShell eller uautoriseret adgang til følsomme data, der opdager filløse trusler, før de udløser en katastrofe.

EDR, XDR og SOC 24/7

Moderne platforme af EDR og XDR (Endpoint detection and response på et udvidet niveau) giver den synlighed og korrelation, der er nødvendig for at rekonstruere den komplette historik for en hændelse, fra den første phishing-e-mail til den endelige exfiltration.

Kombineret med en Døgnåbent operationelt SOCDe muliggør ikke kun detektion, men også inddæmme og afhjælpe automatisk ondsindet aktivitet: isoler computere, bloker processer, fortryd ændringer i registreringsdatabasen eller fortryd kryptering, når det er muligt.

Filløse malwareteknikker har ændret spillet: det er ikke længere nok blot at køre en antivirusscanning og slette en mistænkelig eksekverbar fil. I dag involverer forsvar at forstå, hvordan angribere udnytter sårbarheder ved at skjule kode i hukommelsen, registreringsdatabasen, WMI eller firmware, og implementere en kombination af adfærdsovervågning, analyse i hukommelsen, EDR/XDR, trusselsjagt og bedste praksis. Realistisk reducere virkningen Angreb, der med vilje forsøger at undgå spor, hvor mere traditionelle løsninger ser ud, kræver en holistisk og løbende strategi. I tilfælde af kompromis er det vigtigt at vide, Reparer Windows efter en alvorlig virus Det er essentielt.