شناسایی فایل‌های بدون فایل: راهنمای کامل برای شناسایی و متوقف کردن بدافزار در حافظه

حملاتی که بدون برجای گذاشتن هیچ ردی روی دیسک عمل می‌کنند، به یک دردسر بزرگ برای بسیاری از تیم‌های امنیتی تبدیل شده‌اند، زیرا آنها کاملاً در حافظه اجرا می‌شوند و از فرآیندهای قانونی سیستم سوءاستفاده می‌کنند. از این رو، دانستن این موضوع اهمیت دارد که نحوه شناسایی فایل‌های بدون فایل و از خود در برابر آنها دفاع کنند.

فراتر از تیترها و روندها، درک نحوه‌ی عملکرد آنها، دلیل گریزان بودنشان و اینکه چه نشانه‌هایی به ما امکان تشخیص آنها را می‌دهد، تفاوت بین مهار یک حادثه و پشیمانی از یک نقض امنیتی را مشخص می‌کند. در ادامه، مشکل را تجزیه و تحلیل کرده و پیشنهاد می‌دهیم راه حل ها.

بدافزار بدون فایل چیست و چرا اهمیت دارد؟

 

بدافزار بدون فایل یک خانواده خاص نیست، بلکه روشی برای عملکرد است: از نوشتن فایل‌های اجرایی روی دیسک خودداری کنید این بدافزار از سرویس‌ها و فایل‌های باینری موجود در سیستم برای اجرای کد مخرب استفاده می‌کند. مهاجم به جای اینکه یک فایل قابل اسکن آسان از خود به جا بگذارد، از ابزارهای قابل اعتماد سوءاستفاده کرده و منطق خود را مستقیماً در RAM بارگذاری می‌کند.

این رویکرد اغلب در فلسفه «زندگی از طریق زمین» گنجانده شده است: مهاجمان از [مشکلات/مسائل] استفاده ابزاری می‌کنند. ابزارهای بومی مانند PowerShell، WMI، mshta، rundll32 یا موتورهای اسکریپت‌نویسی مانند VBScript و JScript برای رسیدن به اهدافشان با حداقل نویز.

از جمله بارزترین ویژگی‌های آن می‌توان به موارد زیر اشاره کرد: اجرا در حافظه فرار، ماندگاری کم یا عدم ماندگاری روی دیسک، استفاده از اجزای دارای امضای سیستمی و ظرفیت بالای گریز در برابر موتورهای مبتنی بر امضا.

اگرچه بسیاری از پیلودها پس از راه‌اندازی مجدد ناپدید می‌شوند، اما فریب نخورید: دشمنان می‌توانند پایداری ایجاد کنند با استفاده از کلیدهای رجیستری، اشتراک‌های WMI یا وظایف زمان‌بندی‌شده، همه بدون اینکه فایل‌های باینری مشکوکی روی دیسک باقی بماند.

چرا شناسایی فایل‌های بدون فایل برای ما اینقدر دشوار است؟

مانع اول که واضح است: هیچ فایل غیرعادی برای بررسی وجود نداردبرنامه‌های آنتی‌ویروس سنتی مبتنی بر امضاها و تحلیل فایل‌ها، زمانی که اجرا در فرآیندهای معتبر و منطق مخرب در حافظه قرار دارد، فضای کمی برای مانور دارند.

دومی ظریف‌تر است: مهاجمان خود را پشت [چیزی] پنهان می‌کنند فرآیندهای مشروع سیستم عاملاگر PowerShell یا WMI روزانه برای مدیریت استفاده می‌شوند، چگونه می‌توانید استفاده عادی را از استفاده مخرب بدون زمینه و سنجش رفتاری تشخیص دهید؟

علاوه بر این، مسدود کردن کورکورانه ابزارهای حیاتی امکان‌پذیر نیست. غیرفعال کردن پاورشل یا ماکروهای آفیس به طور کلی می‌تواند عملیات را مختل کند و به طور کامل از تخلفات جلوگیری نمی‌کندزیرا مسیرهای اجرایی و تکنیک‌های جایگزین متعددی برای دور زدن بلوک‌های ساده وجود دارد.

از همه مهم‌تر، تشخیص مبتنی بر ابر یا سمت سرور برای جلوگیری از مشکلات خیلی دیر است. بدون دید محلی در لحظه به مشکل... خطوط فرمان، روابط فرآیندها و ثبت رویدادهااین عامل نمی‌تواند جریان مخربی را که هیچ اثری روی دیسک باقی نمی‌گذارد، درجا کاهش دهد.

نحوه عملکرد یک حمله بدون فایل از ابتدا تا انتها

دسترسی اولیه معمولاً با همان بردارهای همیشگی رخ می‌دهد: فیشینگ با اسناد آفیس که درخواست فعال کردن محتوای فعال، لینک به سایت‌های آسیب‌پذیر، سوءاستفاده از آسیب‌پذیری‌های برنامه‌های کاربردی افشا شده یا سوءاستفاده از اعتبارنامه‌های فاش‌شده برای دسترسی از طریق RDP یا سایر سرویس‌ها را دارند.

وقتی وارد شد، حریف سعی می‌کند بدون لمس دیسک، آن را اجرا کند. برای انجام این کار، آنها عملکردهای سیستم را به هم متصل می‌کنند: ماکروها یا DDE در اسناد که دستورات را اجرا می‌کنند، از سرریزها برای RCE سوءاستفاده می‌کنند، یا فایل‌های باینری قابل اعتمادی را فراخوانی می‌کنند که امکان بارگذاری و اجرای کد در حافظه را فراهم می‌کنند.

اگر عملیات نیاز به تداوم داشته باشد، می‌توان بدون پیاده‌سازی فایل‌های اجرایی جدید، پایداری را پیاده‌سازی کرد: ورودی‌های راه‌اندازی در رجیستریاشتراک‌های WMI که به رویدادهای سیستم یا وظایف زمان‌بندی‌شده‌ای که اسکریپت‌ها را تحت شرایط خاص اجرا می‌کنند، واکنش نشان می‌دهند.

با مشخص شدن اجرا، هدف مراحل زیر را دیکته می‌کند: حرکت به پهلو، داده‌های استخراج‌شدهاین شامل سرقت اطلاعات احراز هویت، استقرار یک RAT، استخراج ارزهای دیجیتال یا فعال کردن رمزگذاری فایل در مورد باج‌افزار می‌شود. همه این کارها، در صورت امکان، با استفاده از قابلیت‌های موجود انجام می‌شود.

حذف شواهد بخشی از برنامه است: با ننوشتن فایل‌های باینری مشکوک، مهاجم به طور قابل توجهی مصنوعات مورد تجزیه و تحلیل را کاهش می‌دهد. فعالیت خود را بین رویدادهای عادی مخلوط می‌کنند سیستم و حذف آثار موقت در صورت امکان.

تکنیک‌ها و ابزارهایی که معمولاً استفاده می‌کنند

این فهرست گسترده است، اما تقریباً همیشه حول ابزارهای بومی و مسیرهای قابل اعتماد می‌چرخد. اینها برخی از رایج‌ترین آنها هستند، همیشه با هدف حداکثر کردن سرعت اجرا در حافظه و ردپا را محو کنید:

• PowerShell رااسکریپت‌نویسی قدرتمند، دسترسی به APIهای ویندوز و اتوماسیون. تطبیق‌پذیری آن، آن را به گزینه‌ای محبوب برای مدیریت و سوءاستفاده‌های تهاجمی تبدیل کرده است.
• WMI (ابزار مدیریت ویندوز)این به شما امکان می‌دهد تا رویدادهای سیستم را پرس‌وجو کرده و به آنها واکنش نشان دهید، و همچنین اقدامات از راه دور و محلی را انجام دهید؛ مفید برای پشتکار و هماهنگی.
• وی‌بی‌سیکریپت و جی‌اسکریپتموتورهای موجود در بسیاری از محیط‌ها که اجرای منطق را از طریق اجزای سیستم تسهیل می‌کنند.
• mshta، rundll32 و سایر فایل‌های باینری قابل اعتماد: LoLBin های معروف که وقتی به درستی لینک شوند، می‌توانند اجرای کد بدون حذف مصنوعات روی دیسک مشخص است.
• اسناد با محتوای فعالماکروها یا DDE در آفیس، و همچنین برنامه‌های خواندن PDF با ویژگی‌های پیشرفته، می‌توانند به عنوان سکوی پرشی برای اجرای دستورات در حافظه عمل کنند.
• رجیستری ویندوزکلیدهای خود-بوت یا ذخیره‌سازی رمزگذاری‌شده/مخفیِ بارهای داده‌ای که توسط اجزای سیستم فعال می‌شوند.
• توقیف و تزریق به فرآیندها: اصلاح فضای حافظه فرآیندهای در حال اجرا برای میزبان منطق مخرب در یک فایل اجرایی قانونی.
• کیت‌های عملیاتیتشخیص آسیب‌پذیری‌ها در سیستم قربانی و پیاده‌سازی اکسپلویت‌های سفارشی برای اجرا بدون نیاز به لمس دیسک.

چالش شرکت‌ها (و اینکه چرا صرفاً مسدود کردن همه چیز کافی نیست)

یک رویکرد ساده‌لوحانه، یک اقدام اساسی را پیشنهاد می‌کند: مسدود کردن PowerShell، ممنوعیت ماکروها، جلوگیری از فایل‌های باینری مانند rundll32. واقعیت ظریف‌تر است: بسیاری از این ابزارها ضروری هستند. برای عملیات روزانه فناوری اطلاعات و اتوماسیون اداری.

علاوه بر این، مهاجمان به دنبال روزنه‌های امنیتی می‌گردند: اجرای موتور اسکریپت‌نویسی به روش‌های دیگر، از نسخه‌های جایگزین استفاده کنیدشما می‌توانید منطق را در تصاویر بسته‌بندی کنید یا به LoLBin های کمتر تحت نظارت متوسل شوید. مسدود کردن حملات Brute در نهایت بدون ارائه یک دفاع کامل، باعث ایجاد اصطکاک می‌شود.

تحلیل صرفاً سمت سرور یا مبتنی بر ابر نیز مشکل را حل نمی‌کند. بدون تله‌متری غنی نقاط پایانی و بدون پاسخگویی در خود عاملتصمیم دیر گرفته می‌شود و پیشگیری امکان‌پذیر نیست زیرا باید منتظر حکم خارجی باشیم.

در همین حال، گزارش‌های بازار مدت‌هاست که به رشد بسیار قابل توجه در این حوزه اشاره دارند، به طوری که اوج آن در ... تلاش‌ها برای سوءاستفاده از PowerShell تقریباً دو برابر شده است در دوره‌های کوتاه، که تأیید می‌کند این یک تاکتیک تکرارشونده و سودآور برای دشمنان است.

تشخیص مدرن: از فایل تا رفتار

نکته کلیدی این نیست که چه کسی اجرا می‌کند، بلکه این است که چگونه و چرا. نظارت بر رفتار فرآیند و روابط آن این موارد تعیین‌کننده هستند: خط فرمان، وراثت فرآیند، فراخوانی‌های حساس API، اتصالات خروجی، تغییرات رجیستری و رویدادهای WMI.

این رویکرد به طور چشمگیری سطح فرار را کاهش می‌دهد: حتی اگر داده‌های دوتاییِ درگیر تغییر کنند، الگوهای حمله تکرار می‌شوند (اسکریپت‌هایی که دانلود و در حافظه اجرا می‌شوند، سوءاستفاده از LoLBinها، فراخوانی مفسرها و غیره). تجزیه و تحلیل آن اسکریپت، نه «هویت» فایل، تشخیص را بهبود می‌بخشد.

پلتفرم‌های مؤثر EDR/XDR سیگنال‌ها را برای بازسازی کامل تاریخچه حادثه مرتبط می‌کنند و موارد زیر را شناسایی می‌کنند: علت اصلی این روایت به جای سرزنش فرآیندی که «ظاهر شده»، پیوست‌ها، ماکروها، مفسرها، پیلودها و پایداری را به هم مرتبط می‌کند تا کل جریان، و نه فقط یک بخش جداگانه، را کاهش دهد.

کاربرد چارچوب‌هایی مانند میتر ATT و CK این به ترسیم تاکتیک‌ها و تکنیک‌های مشاهده‌شده (TTP) کمک می‌کند و شکار تهدید را به سمت رفتارهای مورد نظر هدایت می‌کند: اجرا، پایداری، گریز از دفاع، دسترسی به اعتبارنامه، کشف، حرکت جانبی و خروج.

در نهایت، هماهنگ‌سازی پاسخ نقطه پایانی باید فوری باشد: دستگاه را ایزوله کنید، فرآیندهای پایان درگیر، تغییرات در رجیستری یا برنامه‌ریز وظایف را به حالت اولیه برگردانید و اتصالات خروجی مشکوک را بدون انتظار برای تأییدیه‌های خارجی مسدود کنید.

تله‌متری مفید: به چه چیزهایی توجه کنیم و چگونه اولویت‌بندی کنیم

برای افزایش احتمال تشخیص بدون اشباع سیستم، توصیه می‌شود سیگنال‌های با ارزش بالا را در اولویت قرار دهید. برخی منابع و کنترل‌ها زمینه را فراهم می‌کنند. برای موارد بدون فایل حیاتی است صدا:

• گزارش دقیق PowerShell و سایر مفسرها: گزارش بلوک اسکریپت، تاریخچه دستورات، ماژول‌های بارگذاری شده و رویدادهای AMSI، در صورت وجود.
• مخزن WMIفهرست‌بندی و هشدار در مورد ایجاد یا اصلاح فیلترهای رویداد، مصرف‌کنندگان و پیوندها، به ویژه در فضاهای نام حساس.
• رویدادهای امنیتی و Sysmonهمبستگی فرآیند، یکپارچگی تصویر، بارگذاری حافظه، تزریق و ایجاد وظایف زمان‌بندی‌شده.
• قرمزارتباطات خروجی غیرعادی، سیگنال‌های رادیویی، الگوهای دانلود پیلود و استفاده از کانال‌های مخفی برای استخراج داده‌ها.

اتوماسیون به جداسازی گندم از کاه کمک می‌کند: قوانین تشخیص مبتنی بر رفتار، لیست‌های مجاز برای اداره مشروع و غنی‌سازی با هوش تهدید، موارد مثبت کاذب را محدود کرده و پاسخ را تسریع می‌کند.

پیشگیری و کاهش آلودگی سطحی

هیچ اقدام واحدی کافی نیست، اما یک دفاع لایه‌ای خطر را تا حد زیادی کاهش می‌دهد. در جنبه پیشگیرانه، چندین خط اقدام برجسته هستند برش برداری و زندگی را برای دشمن دشوارتر می‌کنند:

• مدیریت ماکرو: به طور پیش‌فرض غیرفعال است و فقط در صورت لزوم و امضا اجازه داده می‌شود؛ کنترل‌های جزئی از طریق سیاست‌های گروهی.
• محدودیت مفسران و LoLBinها: اعمال AppLocker/WDAC یا معادل آن، کنترل اسکریپت‌ها و الگوهای اجرا با ثبت جامع وقایع.
• وصله‌گذاری و کاهش آسیب‌پذیری‌ها: آسیب‌پذیری‌های قابل سوءاستفاده را ببندید و محافظت از حافظه را فعال کنید که RCE و تزریق‌ها را محدود می‌کند.
• احراز هویت قویاصول MFA و اعتماد صفر برای جلوگیری از سوءاستفاده از اعتبارنامه‌ها و کاهش حرکت جانبی.
• آگاهی و شبیه‌سازیآموزش عملی در مورد فیشینگ، اسناد با محتوای فعال و نشانه‌های اجرای غیرعادی.

این اقدامات با راهکارهایی تکمیل می‌شوند که ترافیک و حافظه را برای شناسایی رفتارهای مخرب در لحظه تجزیه و تحلیل می‌کنند، و همچنین سیاست‌های تقسیم‌بندی و حداقل امتیازات برای مهار تأثیر در صورت لو رفتن چیزی.

خدمات و رویکردهایی که در حال کار هستند

در محیط‌هایی با نقاط پایانی زیاد و حساسیت بالا، سرویس‌های تشخیص و پاسخ مدیریت‌شده با نظارت 24 ساعته آنها ثابت کرده‌اند که مهار حوادث را تسریع می‌کنند. ترکیب SOC، EMDR/MDR و EDR/XDR، چشمان متخصص، تله‌متری غنی و قابلیت‌های پاسخگویی هماهنگ را فراهم می‌کند.

مؤثرترین ارائه‌دهندگان، تغییر به سمت رفتار را درونی کرده‌اند: عوامل سبک‌وزن که فعالیت را در سطح هسته مرتبط کنیدآنها تاریخچه کامل حملات را بازسازی می‌کنند و هنگام شناسایی زنجیره‌های مخرب، اقدامات کاهش خودکار را اعمال می‌کنند و قابلیت بازگشت به عقب برای لغو تغییرات را نیز دارند.

به طور موازی، مجموعه‌های محافظت از نقاط پایانی و پلتفرم‌های XDR، قابلیت مشاهده متمرکز و مدیریت تهدید را در سراسر ایستگاه‌های کاری، سرورها، هویت‌ها، ایمیل و فضای ابری ادغام می‌کنند؛ هدف، از بین بردن ... زنجیره حمله صرف نظر از اینکه فایل‌ها درگیر باشند یا نباشند.

شاخص‌های کاربردی برای شکار تهدید

اگر مجبورید فرضیه‌های جستجو را اولویت‌بندی کنید، روی ترکیب سیگنال‌ها تمرکز کنید: یک فرآیند اداری که یک مفسر را با پارامترهای غیرمعمول راه‌اندازی می‌کند، ایجاد اشتراک WMI پس از باز کردن یک سند، تغییراتی در کلیدهای راه‌اندازی ایجاد می‌شود و به دنبال آن اتصال به دامنه‌هایی با اعتبار ضعیف رخ می‌دهد.

یک رویکرد مؤثر دیگر، تکیه بر خطوط پایه از محیط شماست: چه چیزی در سرورها و ایستگاه‌های کاری شما عادی است؟ هرگونه انحراف (باینری‌های تازه امضا شده که به عنوان والد مفسرها ظاهر می‌شوند، افزایش ناگهانی عملکرد (از اسکریپت‌ها، رشته‌های فرمان با ابهام‌سازی) شایسته بررسی است.

در نهایت، حافظه را فراموش نکنید: اگر ابزارهایی دارید که نواحی در حال اجرا را بررسی می‌کنند یا اسنپ‌شات می‌گیرند، یافته‌ها در RAM آنها می‌توانند اثبات قطعی فعالیت بدون فایل باشند، به خصوص زمانی که هیچ مصنوعاتی در سیستم فایل وجود ندارد.

ترکیب این تاکتیک‌ها، تکنیک‌ها و کنترل‌ها، تهدید را از بین نمی‌برد، اما شما را در موقعیت بهتری برای تشخیص به موقع آن قرار می‌دهد. زنجیر را برید و تاثیر آن را کاهش دهید.

وقتی همه این موارد به طور عاقلانه اعمال شوند - تله‌متری غنی از نقطه پایانی، همبستگی رفتاری، پاسخ خودکار و مقاوم‌سازی انتخابی - تاکتیک بدون فایل بخش زیادی از مزیت خود را از دست می‌دهد. و اگرچه به تکامل خود ادامه خواهد داد، تمرکز بر رفتارها به جای اینکه در فایل‌ها باشد، پایه محکمی برای دفاع شما ارائه می‌دهد تا با آن تکامل یابد.