Ka ʻike ʻana i nā faila fileless: he alakaʻi piha i ka ʻike ʻana a me ka hoʻōki ʻana i nā polokalamu ma ka hoʻomanaʻo

ʻO nā hoʻouka kaua ʻana me ka waiho ʻole ʻana i kahi ʻāpana ma ka disk ua lilo i poʻo poʻo nui no nā hui palekana he nui no ka mea hoʻokō lākou i ka hoʻomanaʻo a hoʻohana i nā kaʻina hana pono. No laila ka mea nui o ka ʻike pehea e ʻike ai i nā faila fileless a pale aku ia lakou iho.

Ma waho aʻe o nā poʻomanaʻo a me nā ʻano, ka hoʻomaopopo ʻana i ke ʻano o kā lākou hana, no ke aha lākou e paʻakikī ai, a he aha nā hōʻailona e ʻae iā mākou e ʻike iā lākou e hoʻokaʻawale i waena o ka loaʻa ʻana o kahi hanana a me ka mihi ʻana i kahi haki. Ma nā laina aʻe, ke kālailai mākou i ka pilikia a hāpai nā hoʻonā.

He aha ka fileless malware a no ke aha ia mea?

 

ʻAʻole ʻohana kikoʻī ka malware fileless, akā he ala e hana ai: Hōʻalo i ke kākau ʻana i nā mea hoʻokō i ka disk Hoʻohana ia i nā lawelawe a me nā binaries i loaʻa i ka ʻōnaehana e hoʻokō i nā code malicious. Ma kahi o ka waiho ʻana i kahi faila maʻalahi hiki ke nānā ʻia, hoʻomāinoino ka mea hoʻouka i nā pono hilinaʻi a hoʻouka pololei i kāna loiloi i ka RAM.

Hoʻopili pinepine ʻia kēia ala i ka 'Living off the Land' philosophy: attackers instrumentalize nā mea hana maoli e like me PowerShell, WMI, mshta, rundll32 a i ʻole nā ​​ʻenekini kākau e like me VBScript a me JScript e hoʻokō i kā lākou mau pahuhopu me ka leo liʻiliʻi.

Ma waena o kāna mau hiʻohiʻona e ʻike ai mākou: ka hoʻokō ʻana ma ka hoʻomanaʻo ʻana, liʻiliʻi a ʻaʻole hoʻomau i ka diski, hoʻohana i nā ʻāpana i hoʻopaʻa inoa ʻia e ka ʻōnaehana a me ka hiki ke pale aku i nā ʻenekini hoʻopaʻa inoa.

ʻOiai nalo ka nui o nā ukana ma hope o ka hoʻomaka hou ʻana, mai hoʻopunipuni ʻoe: hiki i nā ʻenemi ke hoʻokumu i ka hoʻomau ma ka hoʻohana ʻana i nā kī Registry, WMI kau inoa, a i ʻole nā ​​​​hana i hoʻonohonoho ʻia, me ka waiho ʻole ʻana i nā binaries kānalua ma ka disk.

No ke aha i paʻakikī loa ai mākou e ʻike i nā faila fileless?

ʻIke ʻia ka pale mua: ʻAʻohe faila anomali e nānāʻO nā polokalamu antivirus kuʻuna e pili ana i nā pūlima a me ka nānā ʻana i nā faila he wahi liʻiliʻi no ka hoʻololi ʻana i ka wā e noho ai ka hoʻokō ʻana i nā kaʻina hana kūpono a noho ʻia nā loiloi hewa i ka hoʻomanaʻo.

ʻOi aku ka maʻalahi o ka lua: hoʻopiʻi ka poʻe hoʻouka iā lākou iho ma hope nā kaʻina hana ʻōnaehana ponoInā hoʻohana ʻia ʻo PowerShell a i ʻole WMI i kēlā me kēia lā no ka hoʻokele ʻana, pehea e hiki ai iā ʻoe ke hoʻokaʻawale i ka hoʻohana maʻamau mai ka hoʻohana ʻino me ka ʻole o ka pōʻaiapili a me ka telemetry.

Eia kekahi, ʻaʻole hiki ke pale makapō i nā mea hana koʻikoʻi. ʻO ka hoʻopau ʻana i ka PowerShell a i ʻole nā ​​Office macros ma luna o ka papa hiki ke wāwahi i nā hana a ʻAʻole ia e pale loa i nā hana ʻinono ka mea, nui nā ala hoʻokō ʻē aʻe a me nā ʻenehana e ʻalo ai i nā poloka maʻalahi.

Ma luna o nā mea a pau, ua lohi loa ka ʻike ʻana i ke ao a i ʻole ka ʻaoʻao kikowaena e pale i nā pilikia. Me ka ʻole o ka ʻike kūloko kūloko i ka pilikia... laina kauoha, kaʻina hana pili, a me ka log hananaʻAʻole hiki i ka luna ke hoʻohaʻahaʻa i ka lele ʻana i kahi kahe ʻino i waiho ʻole ʻia ma ka disk.

Pehea ka hana ʻana o kahi hoʻouka ʻole mai ka hoʻomaka a hiki i ka hopena

Hiki ke komo mua me nā vectors like me nā manawa a pau: phishing me nā palapala keʻena e noi ana e hiki i ka maʻiʻo ikaika, nā loulou i nā pūnaewele i hoʻopaʻapaʻa ʻia, ka hoʻohana ʻana i nā nāwaliwali i nā noi i hōʻike ʻia, a i ʻole ka hōʻino ʻana i nā palapala hōʻoia e hiki ke komo ma o RDP a i ʻole nā ​​lawelawe ʻē aʻe.

Ke komo i loko, ʻimi ka hoa paio e hoʻokō me ka pā ʻole i ka diski. No ka hana ʻana i kēia, hoʻopaʻa pū lākou i nā hana ʻōnaehana: macros a i ʻole DDE i nā palapala e hoʻomaka ana i nā kauoha, e hoʻohana i nā kahe nui no RCE, a i ʻole e kāhea i nā binaries hilinaʻi e hiki ai ke hoʻouka a hoʻokō i nā code i ka hoʻomanaʻo.

Inā makemake ka hana i ka hoʻomau, hiki ke hoʻokō ʻia ka hoʻomau me ka ʻole e kau i nā mea hoʻokō hou: nā hoʻokomo hoʻomaka i ka RegistryNā inoa inoa WMI e pane ana i nā hanana ʻōnaehana a i ʻole nā ​​​​hana i hoʻonohonoho ʻia e hoʻomaka ai i nā palapala ma lalo o kekahi mau kūlana.

Me ka hoʻokō ʻana, kuhikuhi ka pahuhopu i nā ʻanuʻu aʻe: neʻe ma hope, exfiltrate ikepiliHoʻopili kēia i ka ʻaihue ʻana i nā hōʻoia, ka lawe ʻana i kahi RAT, ka mining cryptocurcies, a i ʻole ka hoʻōla ʻana i ka faila encryption i ka hihia o ransomware. Hana ʻia kēia mau mea a pau, inā hiki, ma ka hoʻohana ʻana i nā hana i loaʻa.

ʻO ka wehe ʻana i nā hōʻike he ʻāpana ia o ka hoʻolālā: ma ka kākau ʻole ʻana i nā binaries kānalua, hoʻemi nui ka mea hoʻouka i nā mea hana e nānā ʻia. ka hui ʻana i kā lākou hana ma waena o nā hanana maʻamau o ka ʻōnaehana a me ka holoi ʻana i nā meheu pōkole inā hiki.

Nā ʻenehana a me nā mea hana a lākou e hoʻohana mau ai

He laulā ka papa inoa, akā ʻaneʻane e hoʻohuli ʻia i nā pono pono maoli a me nā ala hilinaʻi. ʻO kēia kekahi o nā mea maʻamau, mau me ka pahuhopu o hoʻonui i ka hoʻokō hoʻomanaʻo a hoʻopololei i ke ala:

• PowerShellʻO ka palapala kākau ikaika, ke komo ʻana i nā API Windows, a me ka automation. ʻO kāna versatility e lilo ia i mea punahele no ka hoʻokele a me ka hoʻomāinoino.
• WMI (mea hana hoʻokele Windows)Hāʻawi ia iā ʻoe e nīnau a pane aku i nā hanana ʻōnaehana, a me ka hana mamao a me nā hana kūloko; pono no ka hoʻomau a me ka hoʻokani pila.
• VBScript a me JScript: nā ʻenekini i loaʻa i loko o nā kaiapuni he nui e hoʻomaʻamaʻa i ka hoʻokō ʻana i ka loiloi ma o nā ʻōnaehana ʻōnaehana.
• mshta, rundll32 a me nā binaries hilinaʻi ʻē aʻe: nā LoLBins kaulana i hiki ke hoʻopili pono ʻia e hoʻokō i ke code me ka waiho ʻole ʻana i nā mea waiwai ʻike ʻia ma ka diski.
• Nā palapala me ka ʻike hanaHiki i nā Macros a i ʻole DDE ma ke Keʻena, a me nā mea heluhelu PDF me nā hiʻohiʻona holomua, hiki ke lilo i kumu puna e hoʻomaka ai i nā kauoha i ka hoʻomanaʻo.
• Pūnaehana Pūnaewele: nā kī kī ponoʻī a i ʻole ka hūnā ʻia/huna ʻia o nā uku uku i hoʻāla ʻia e nā ʻōnaehana ʻōnaehana.
• Hoʻopaʻa ʻia a hoʻopaʻa ʻia i nā kaʻina hana: hoʻololi i ka wahi hoʻomanaʻo o nā kaʻina holo no hoʻokipa manaʻo ʻino i loko o kahi hoʻokō kūpono.
• Nā pahu hana: ka ʻike ʻana i nā nāwaliwali i loko o ka ʻōnaehana o ka mea i pepehi ʻia a me ka hoʻolaha ʻana i nā hana i hana ʻia e hoʻokō ai i ka hoʻokō me ka ʻole o ka pā ʻana i ka disk.

ʻO ka paʻakikī no nā ʻoihana (a no ke aha ʻaʻole lawa ka pale ʻana i nā mea āpau)

Hōʻike ka manaʻo naive i kahi ana nui: kaohi ʻana iā PowerShell, pāpā i nā macros, pale i nā binaries e like me rundll32. ʻOi aku ka nuanced o ka ʻoiaʻiʻo: Pono ka nui o kēia mau mea hana. no nā hana IT i kēlā me kēia lā a no ka automation hoʻokele.

Eia kekahi, ʻimi ka poʻe hoʻouka i nā loopholes: e holo ana i ka mīkini scripting ma nā ʻano ʻē aʻe, hoʻohana i nā kope ʻē aʻeHiki iā ʻoe ke hoʻopaʻa i ka loiloi i nā kiʻi a i ʻole ka huli ʻana i nā LoLBins i nānā ʻole ʻia. Hoʻokumu ʻo Brute blocking i ka friction me ka ʻole e hāʻawi i kahi pale piha.

ʻAʻole hoʻopau ka pilikia ma ka ʻaoʻao kikowaena a i ʻole ke ao. Me ka ʻole o ka telemetry endpoint waiwai a me ka ʻole ka pane ʻana i ka ʻelele ponoʻīUa lohi ka hoʻoholo a ʻaʻole hiki ke pale ʻia no ka mea pono mākou e kali i kahi hoʻoholo waho.

I kēia manawa, ua hōʻike lōʻihi nā hōʻike mākeke i kahi ulu nui loa ma kēia wahi, me nā piko kahi o ka Ua aneane pālua ʻia ka hoʻāʻo ʻana e hōʻino iā PowerShell i nā manawa pōkole, e hōʻoia ana he hana hoʻomau a loaʻa ka waiwai no nā ʻenemi.

ʻIke ʻia o kēia wā: mai ka faila i ka hana

ʻAʻole ka mea nāna e hoʻokō, akā pehea a me ke kumu. Ke kiai ana i ka kaʻina hana a me kona pilina He mea koʻikoʻi ia: laina kauoha, hoʻoilina hoʻoilina, kelepona API koʻikoʻi, pili i waho, hoʻololi Registry, a me nā hanana WMI.

Hoʻemi nui kēia ala i ka ʻili o ka evasion: ʻoiai inā hoʻololi nā binaries, ʻo ka hana hou ʻia nā ʻano hoʻouka kaua (nā palapala e hoʻoiho a hoʻokō i ka hoʻomanaʻo, hoʻomāinoino iā LoLBins, kāhea ʻana i nā unuhi ʻōlelo, etc.). ʻO ka nānā ʻana i kēlā palapala, ʻaʻole ka 'ike' o ka faila, hoʻomaikaʻi i ka ʻike.

Hoʻopili nā paepae EDR/XDR kūpono i nā hōʻailona e kūkulu hou i ka mōʻaukala hanana piha, e ʻike ana i ka kumu kumu Ma kahi o ka hoʻopiʻi ʻana i ke kaʻina hana i 'hōʻike ʻia', pili kēia moʻolelo i nā mea pili, macros, unuhi ʻōlelo, uku uku, a me ka hoʻomau ʻana e hoʻēmi i ke kahe holoʻokoʻa, ʻaʻole i kahi ʻāpana kaʻawale.

ʻO ka hoʻohana ʻana i nā papa hana e like me MITRE AT&CK Kōkua ia i ka palapala ʻana i nā ʻano loea a me nā ʻenehana (TTPs) a alakaʻi i ka ʻimi hoʻoweliweli i nā ʻano hoihoi: hoʻokō, hoʻomau, pale pale, ʻike ʻike, ʻike, neʻe ʻaoʻao a me ka exfiltration.

ʻO ka mea hope loa, pono e hoʻokaʻawale koke ʻia ka hoʻoponopono ʻana i ka hopena: hoʻokaʻawale i ka mea hana, hoʻopau i nā kaʻina hana pili, hoʻihoʻi i nā hoʻololi i ka Registry a i ʻole ka mea hoʻonohonoho hana a hoʻopaʻa i nā pilina puka kānalua me ka kali ʻole i nā hōʻoia waho.

Telemetry pono: he aha ka mea e nānā ai a pehea e hana mua ai

No ka hoʻonui ʻana i ka hiki ke ʻike me ka ʻole o ka hoʻopiha ʻana i ka ʻōnaehana, pono e hoʻokumu i nā hōʻailona waiwai nui. ʻO kekahi mau kumu a me nā mana e hāʻawi i ka pōʻaiapili. koʻikoʻi no ka waihona ʻole Ka mea, e:

• ʻIkepili PowerShell Log a me nā unuhi ʻē aʻe: log block block, command history, hoʻouka ʻia nā modules, a me nā hanana AMSI, ke loaʻa.
• WMI waihonaInventory a me ka makaʻala e pili ana i ka hana ʻana a i ʻole ka hoʻololi ʻana i nā kānana hanana, nā mea kūʻai aku, a me nā loulou, ʻoi aku hoʻi i nā inoa inoa koʻikoʻi.
• Nā hanana palekana a me Sysmon: ka hoʻoponopono ʻana i ke kaʻina hana, ka pono o ke kiʻi, ka hoʻouka ʻana i ka hoʻomanaʻo, ka hoʻouka ʻana, a me ka hana ʻana i nā hana i hoʻonohonoho ʻia.
• ʻulaʻula: nā pilina puka ʻole, beaconing, nā kumu hoʻoiho uku, a me ka hoʻohana ʻana i nā ala huna no ka exfiltration.

Kōkua ʻo Automation i ka hoʻokaʻawale ʻana i ka palaoa mai ka ʻōpala: nā lula ʻike pili i ke ʻano, nā papa inoa ʻae no hooponopono pono a ʻo ka hoʻonui ʻana me ka naʻauao hoʻoweliweli e kaupalena i nā hopena maikaʻi ʻole a hoʻolalelale i ka pane.

Kāohi a hōʻemi i ka ʻili

ʻAʻole lawa ka ana hoʻokahi, akā ʻo ka pale pale e hoʻemi nui i ka pilikia. Ma ka ʻaoʻao pale, kū kekahi mau laina o ka hana ʻokiʻoki vector a e hoʻoikaika i ke ola no ka ʻenemi.

• Hooponopono macro: hoʻopau ma ka paʻamau a ʻae wale i ka wā e pono ai a kau inoa ʻia; nā mana granular ma o nā kulekele hui.
• Kaohi ʻana o nā unuhi ʻōlelo a me nā LoLBins: E noi iā AppLocker/WDAC a i ʻole like, ka mana o nā palapala a me nā hoʻokō hoʻokō me ka hoʻopaʻa inoa piha.
• Hoʻopili a me nā hoʻohaʻahaʻa: Hoʻopili i nā mea palupalu a hoʻōla i nā pale hoʻomanaʻo e kaupalena ʻia ana RCE a me nā injections.
• ʻO ka hōʻoia paʻaMFA a me nā kumu hilinaʻi ʻole e pale i ka hōʻino ʻana i ka hōʻoia a e hoemi i ka nee ana ma ka aoao.
• ʻO ka ʻike a me nā hoʻohālikelikeHoʻomaʻamaʻa hoʻomaʻamaʻa ma ka phishing, nā palapala me ka ʻike ikaika, a me nā hōʻailona o ka hoʻokō anomali.

Hoʻopili ʻia kēia mau ana e nā ʻoluʻolu e nānā i ka hele a me ka hoʻomanaʻo e ʻike i ka hana ʻino i ka manawa maoli, a me nā kulekele hoʻokaʻawale a me nā pono liʻiliʻi e hoʻopaʻa i ka hopena ke hele mai kekahi mea.

Nā lawelawe a me nā ala e hana nei

I loko o nā kaiapuni me nā helu hope he nui a me ke koʻikoʻi kiʻekiʻe, mālama ʻia ka ʻike a me nā lawelawe pane me 24/7 kiaʻi Ua hōʻoia lākou i ka hoʻokō ʻana i nā hanana. ʻO ka hui pū ʻana o SOC, EMDR/MDR, a me EDR/XDR e hāʻawi i nā maka loea, telemetry waiwai, a me nā mana pane i hoʻonohonoho ʻia.

Ua hoʻokomo nā mea hoʻolako maikaʻi loa i ka neʻe ʻana i ka ʻano: nā mea māmā hoʻopili i ka hana ma ka pae kernelHoʻokumu hou lākou i nā moʻolelo hoʻouka kaua piha a hoʻohana i nā mitigations maʻalahi ke ʻike lākou i nā kaulahao ʻino, me ka hiki ke hoʻohuli i nā loli.

Ma ka like, hoʻohui nā suites pale endpoint a me nā paepae XDR i ka ʻike kikowaena a me ka hoʻokele hoʻoweliweli ma waena o nā hale hana, nā kikowaena, nā ʻike, ka leka uila, a me ke ao; ʻO ka pahuhopu ka wehe ʻana ke kaulahao hoouka me ka nānā ʻole inā pili nā faila a i ʻole.

Nā hōʻailona maʻamau no ka ʻimi hoʻoweliweli

Inā pono ʻoe e hoʻokahua i nā kuhiakau huli, e nānā i ka hoʻohui ʻana i nā hōʻailona: kahi kaʻina hana keʻena e hoʻomaka i kahi unuhi ʻōlelo me nā ʻāpana ʻokoʻa, Ka hana ʻana i ke kau inoa WMI Ma hope o ka wehe ʻana i kahi palapala, hoʻololi i nā kī hoʻomaka a ukali ʻia e nā pilina i nā kāʻei kapu me ka inoa maikaʻi ʻole.

ʻO kahi ala ʻē aʻe ʻo ka hilinaʻi ʻana i nā baselines mai kou kaiapuni: he aha ka mea maʻamau i kāu mau kikowaena a me nā keʻena hana? ʻO kēlā me kēia deviation (nā papa inoa hou i ʻike ʻia ma ke ʻano he mau mākua o ka unuhi ʻōlelo, nā mākia hikiwawe i ka hana (ʻo nā palapala, nā kaula kauoha me ka obfuscation) pono ke noiʻi.

ʻO ka hope, mai poina i ka hoʻomanaʻo: inā loaʻa iā ʻoe nā mea hana e nānā i nā wahi holo a i ʻole e hopu i nā kiʻi paʻi, nā ʻike ma ka RAM Hiki iā lākou ke hōʻoiaʻiʻo i ka hana fileless, ʻoiai inā ʻaʻohe mea kiʻi i loko o ka ʻōnaehana faila.

ʻO ka hui pū ʻana o kēia mau loea, ʻenehana, a me nā kaohi ʻaʻole e hoʻopau i ka hoʻoweliweli, akā hoʻokomo iā ʻoe i kahi kūlana maikaʻi aʻe e ʻike ai i ka manawa. e oki i ke kaulahao a hoemi i ka hopena.

Ke hoʻohana pono ʻia kēia mau mea a pau-ʻo ka telemetry waiwai nui o ka endpoint, ka hoʻoponopono ʻana i ka ʻano, ka pane ʻokoʻa, a me ka paʻakikī paʻakikī - e nalowale ka nui o ka pono o ka hana fileless. A, ʻoiai e hoʻomau mau ana ka ulu ʻana, ka nānā ʻana i nā ʻano Ma mua o nā faila, hāʻawi ia i kahi kumu paʻa no kāu pale e ulu pū me ia.