Paub cov ntaub ntawv tsis muaj fileless: ib phau ntawv qhia ua tiav los ntes thiab nres malware nyob rau hauv nco

Xeem hloov tshiab: 16/11/2025
Author: Daniel Taus

  • Fileless malware nyob hauv lub cim xeeb thiab ua phem rau cov cuab yeej raug cai (PowerShell, WMI, LoLBins), ua rau nws nyuaj rau kev txheeb xyuas raws li cov ntaub ntawv.
  • Tus yuam sij yog saib xyuas tus cwj pwm: txheej txheem kev sib raug zoo, kab hais kom ua, Registry, WMI thiab network, nrog cov lus teb tam sim ntawm qhov kawg.
  • Ib txheej txheej tiv thaiv ua ke nrog kev txwv tus neeg txhais lus, kev tswj hwm macro, patching, MFA thiab EDR / XDR nrog kev nplua nuj telemetry thiab 24/7 SOC.
txheeb xyuas cov ntaub ntawv tsis muaj ntaub ntawv

Kev tawm tsam uas ua haujlwm yam tsis tau tso ib txoj hauv kev ntawm disk tau dhau los ua mob taub hau rau ntau pab pawg kev ruaj ntseg vim tias lawv ua tiav tag nrho hauv kev nco thiab siv cov txheej txheem raug cai. Li no qhov tseem ceeb ntawm kev paub yuav ua li cas txheeb xyuas cov ntaub ntawv tsis muaj ntaub ntawv thiab tiv thaiv lawv tus kheej tawm tsam lawv.

Tshaj tawm cov xov xwm thiab cov ncauj lus, nkag siab tias lawv ua haujlwm li cas, vim li cas lawv thiaj li tsis yooj yim, thiab cov cim qhia dab tsi tso cai rau peb txheeb xyuas lawv ua qhov sib txawv ntawm qhov muaj xwm txheej thiab khuv xim qhov ua txhaum cai. Hauv kab hauv qab no, peb txheeb xyuas qhov teeb meem thiab tawm tswv yim kev daws teeb meem.

Dab tsi yog fileless malware thiab vim li cas nws tseem ceeb?

 

Fileless malware tsis yog ib tsev neeg tshwj xeeb, tab sis yog txoj hauv kev ua haujlwm: Tsis txhob sau executables rau disk Nws siv cov kev pabcuam thiab binaries uas twb muaj nyob rau hauv lub kaw lus los ua cov lej tsis zoo. Es tsis txhob tso cov ntaub ntawv yooj yim scannable, tus neeg tawm tsam ua phem rau kev ntseeg siab thiab thauj nws cov logic ncaj qha rau hauv RAM.

Txoj hauv kev no feem ntau suav nrog hauv 'Living off the Land' lub tswv yim: cov neeg tawm tsam instrumentalize cov cuab yeej ib txwm muaj xws li PowerShell, WMI, mshta, rundll32 los yog scripting engines zoo li VBScript thiab JScript kom ua tiav lawv cov hom phiaj nrog suab nrov tsawg.

Ntawm nws cov neeg sawv cev tshaj plaws peb pom: execution nyob rau hauv volatile nco, me me los yog tsis muaj kev mob siab rau ntawm disk, siv cov txheej txheem kos npe thiab muaj peev xwm evasion siab tiv thaiv cov cav kos npe.

Txawm hais tias ntau lub payloads ploj tom qab reboot, tsis txhob dag: cov yeeb ncuab tuaj yeem tsim kev mob siab rau los ntawm leveraging Registry keys, WMI subscriptions, los yog teem caij ua hauj lwm, tag nrho yam tsis tau tawm hauv binaries txawv txav ntawm lub disk.

Nyuaj hauv kev tshawb nrhiav fileless malware

Vim li cas peb pom tias nws nyuaj heev los txheeb xyuas cov ntaub ntawv tsis muaj ntaub ntawv?

Thawj qhov teeb meem yog pom tseeb: Tsis muaj cov ntaub ntawv tsis zoo los tshuaj xyuasIb txwm siv tshuaj tiv thaiv kab mob raws li kos npe thiab kev tshuaj xyuas cov ntaub ntawv muaj chav me me rau kev ua haujlwm thaum ua tiav nyob rau hauv cov txheej txheem siv tau thiab cov laj thawj tsis zoo nyob hauv lub cim xeeb.

Qhov thib ob yog qhov hloov maj mam: cov neeg tawm tsam camouflage lawv tus kheej tom qab cov txheej txheem ua haujlwm raug caiYog tias PowerShell lossis WMI tau siv txhua hnub rau kev tswj hwm, koj tuaj yeem paub qhov txawv ntawm kev siv ib txwm siv tsis zoo yam tsis muaj cov ntsiab lus thiab kev coj tus cwj pwm telemetry?

Tsis tas li ntawd, blindly thaiv cov cuab yeej tseem ceeb yog tsis ua tau. Disabling PowerShell lossis Office macros hla lub rooj tsavxwm tuaj yeem ua txhaum kev ua haujlwm thiab Nws tsis tag tiv thaiv kev tsim txomvim tias muaj ntau txoj hauv kev ua tiav thiab cov txheej txheem los hla cov blocks yooj yim.

Txhawm rau sab saum toj tag nrho, huab-raws li lossis server-sab nrhiav tau lig dhau los tiv thaiv teeb meem. Yog tsis muaj real-time hauv zos visibility rau hauv qhov teeb meem ... kab hais kom ua, txheej txheem kev sib raug zoo, thiab cov txheej xwm teev tsegTus neeg sawv cev tsis tuaj yeem txo cov yoov ntawm qhov tsis zoo uas tsis muaj kab nyob hauv disk.

Cov ntsiab lus tshwj xeeb - Nyem qhov no  Txheeb xyuas kev ruaj ntseg ntawm koj tus neeg rau zaub mov Debian nrog Debsecan

Yuav ua li cas ib tug fileless nres ua hauj lwm los ntawm pib mus rau tag

Kev nkag tau pib feem ntau tshwm sim nrog cov vectors ib txwm muaj: phishing nrog cov ntaub ntawv chaw ua haujlwm uas thov kom ua kom muaj cov ntsiab lus nquag, txuas mus rau qhov chaw cuam tshuam, kev ua haujlwm ntawm qhov tsis zoo hauv cov ntawv thov raug pom, lossis kev tsim txom ntawm cov ntaub ntawv pov thawj nkag los ntawm RDP lossis lwm yam kev pabcuam.

Ib zaug sab hauv, tus neeg sib tw nrhiav kev tua yam tsis tau kov lub disc. Txhawm rau ua qhov no, lawv txuas ua ke cov haujlwm ua haujlwm: macros lossis DDE hauv cov ntaub ntawv uas tso tawm cov lus txib, siv ntau dhau rau RCE, lossis hais kom ntseeg siab binaries uas tso cai rau kev thauj khoom thiab ua tiav cov lej hauv lub cim xeeb.

Yog tias qhov kev ua haujlwm xav tau kev txuas ntxiv, kev pheej hmoo tuaj yeem ua tiav yam tsis siv cov kev ua haujlwm tshiab: startup nkag hauv RegistryWMI subscriptions uas cuam tshuam rau cov txheej xwm txheej xwm lossis cov haujlwm tau teem tseg uas ua rau cov ntawv sau nyob rau hauv qee yam xwm txheej.

Nrog rau kev ua tiav, lub hom phiaj dictates cov kauj ruam hauv qab no: txav mus tom qab, exfiltrate cov ntaub ntawvQhov no suav nrog kev nyiag daim ntawv pov thawj, xa RAT, mining cryptocurrencies, lossis ua kom cov ntaub ntawv encryption nyob rau hauv rooj plaub ntawm ransomware. Tag nrho cov no yog ua tiav, thaum ua tau, los ntawm kev siv cov haujlwm uas twb muaj lawm.

Tshem tawm cov pov thawj yog ib feem ntawm txoj kev npaj: los ntawm kev tsis sau cov lus tsis txaus ntseeg binaries, tus neeg tawm tsam txo qis cov khoom cuav los txheeb xyuas. sib xyaw lawv cov haujlwm ntawm cov xwm txheej ib txwm muaj ntawm lub kaw lus thiab tshem tawm cov cim ib ntus thaum ua tau.

txheeb xyuas cov ntaub ntawv tsis muaj ntaub ntawv

Cov txheej txheem thiab cov cuab yeej uas lawv feem ntau siv

Cov catalog yog qhov dav, tab sis nws yuav luag ib txwm tig mus ncig cov khoom siv hluav taws xob thiab cov kev ntseeg siab. Cov no yog ib co ntawm cov feem ntau, ib txwm nrog lub hom phiaj ntawm maximize nyob rau hauv-nco execution thiab plam qhov taug:

  • PowerShellCov ntawv sau muaj zog, nkag mus rau Windows APIs, thiab automation. Nws versatility ua rau nws nyiam rau kev tswj hwm thiab kev tsim txom.
  • WMI (Windows Management Instrumentation)Nws tso cai rau koj los nug thiab teb rau cov xwm txheej hauv lub cev, nrog rau kev ua tej thaj chaw deb thiab hauv zos; pab tau rau persistence thiab orchestration.
  • VBScript thiab JScript: cov cav muaj nyob rau hauv ntau qhov chaw uas pab txhawb kev ua tiav ntawm cov logic los ntawm cov khoom siv.
  • mshta, rundll32 thiab lwm yam kev ntseeg siab binaries: LoLBins paub zoo uas, thaum txuas kom raug, tuaj yeem ua code yam tsis tau tso tseg artifacts pom tseeb ntawm disk.
  • Cov ntaub ntawv nrog cov ntsiab lus nquagMacros lossis DDE hauv Chaw Ua Haujlwm, nrog rau cov nyeem PDF nrog cov yam ntxwv siab heev, tuaj yeem ua lub caij nplooj ntoo hlav los tso cov lus txib hauv nco.
  • Windows Registry: tus kheej-boot yuam sij lossis encrypted / zais cia ntawm payloads uas tau qhib los ntawm cov khoom siv.
  • Kev qaug dab peg thiab txhaj tshuaj rau hauv cov txheej txheem: kev hloov kho ntawm qhov chaw nco ntawm cov txheej txheem khiav rau host malicious logic nyob rau hauv ib tug raug cai executable.
  • Cov khoom siv ua haujlwm: nrhiav kom tau qhov tsis zoo nyob rau hauv tus neeg raug tsim txom lub cev thiab kev xa tawm ntawm kev siv cov khoom siv kom ua tiav yam tsis tau kov lub disk.

Kev sib tw rau cov tuam txhab (thiab vim li cas tsuas thaiv txhua yam tsis txaus)

Ib txoj hauv kev tsis zoo qhia txog kev ntsuas hnyav: thaiv PowerShell, txwv tsis pub macros, tiv thaiv binaries zoo li rundll32. Qhov tseeb yog ntau nuanced: Feem ntau ntawm cov cuab yeej no yog qhov tseem ceeb. rau kev ua haujlwm IT niaj hnub thiab rau kev tswj hwm automation.

Cov ntsiab lus tshwj xeeb - Nyem qhov no  Hauv cov ntsiab lus twg tuaj yeem siv Hands Off?

Tsis tas li ntawd, cov neeg tawm tsam nrhiav qhov tsis txaus ntseeg: khiav lub cav sau ntawv hauv lwm txoj hauv kev, siv lwm cov ntawv luamKoj tuaj yeem ntim cov logic hauv cov duab lossis chaw ua haujlwm rau kev saib xyuas tsawg dua LoLBins. Brute thaiv thaum kawg tsim kev sib txhuam yam tsis muaj kev tiv thaiv tiav.

Purely server-sab lossis huab-raws kev tsom xam tsis daws qhov teeb meem ib yam. Tsis muaj kev nplua nuj endpoint telemetry thiab tsis muaj responsiveness nyob rau hauv tus neeg sawv cev nws tus kheejQhov kev txiav txim siab tuaj lig thiab kev tiv thaiv tsis tuaj yeem ua tau vim peb yuav tsum tau tos qhov kev txiav txim sab nraud.

Lub caij no, cov ntawv tshaj tawm kev lag luam tau ntev taw qhia txog kev loj hlob tseem ceeb hauv cheeb tsam no, nrog rau qhov siab tshaj qhov twg Kev sim tsim txom PowerShell ze li ob npaug nyob rau hauv lub sij hawm luv luv, uas tau lees tias nws yog ib qho kev rov tshwm sim thiab muaj txiaj ntsig zoo rau cov yeeb ncuab.

Miter nres

Kev tshawb nrhiav niaj hnub: los ntawm cov ntaub ntawv mus rau tus cwj pwm

Qhov tseem ceeb tsis yog leej twg ua, tab sis yuav ua li cas thiab vim li cas. Saib xyuas cov txheej txheem kev coj cwj pwm thiab nws cov kev sib raug zoo Nws yog qhov txiav txim siab: kab hais kom ua, cov txheej txheem qub txeeg qub teg, rhiab API hu, kev sib txuas sab nraud, Kev hloov pauv npe, thiab WMI cov xwm txheej.

Txoj hauv kev no ua rau txo qis qhov evasion nto: txawm tias binaries koom nrog kev hloov pauv, qhov cov qauv kev tawm tsam rov ua dua (cov ntawv uas rub tawm thiab ua tiav hauv kev nco, kev tsim txom ntawm LoLBins, thov cov neeg txhais lus, thiab lwm yam). Kev txheeb xyuas cov ntawv ntawd, tsis yog 'tus kheej' ntawm cov ntaub ntawv, txhim kho kev tshawb pom.

Kev siv tau zoo EDR/XDR platforms sib cuam tshuam cov teeb liab kom rov tsim kho qhov xwm txheej tiav, txheeb xyuas qhov hauv paus Tsis txhob liam rau cov txheej txheem uas 'tso tawm', cov lus piav qhia no txuas nrog cov ntawv txuas, macro, cov neeg txhais lus, kev them nyiaj, thiab kev mob siab rau kom txo tau tag nrho cov dej ntws, tsis yog ib qho kev sib cais xwb.

Kev siv lub moj khaum xws li MITER AT&CK Nws pab daim ntawv qhia kev soj ntsuam tactics thiab cov tswv yim (TTPs) thiab qhia kev hem kev yos hav zoov rau kev coj tus cwj pwm ntawm kev txaus siab: kev tua, kev nyob ruaj khov, tiv thaiv kev khiav tawm, kev nkag mus rau daim ntawv pov thawj, kev tshawb pom, kev txav mus los thiab exfiltration.

Thaum kawg, qhov xaus lus teb orchestration yuav tsum tam sim: cais lub cuab yeej, cov txheej txheem kawg koom nrog, thim rov qab cov kev hloov pauv hauv Registry lossis lub sijhawm ua haujlwm thiab thaiv kev sib txuas uas tsis txaus ntseeg yam tsis tau tos rau kev pom zoo sab nraud.

Muaj txiaj ntsig telemetry: saib dab tsi thiab yuav ua li cas ua ntej

Txhawm rau nce qhov tshwm sim ntawm kev tshawb pom yam tsis muaj qhov ua rau lub cev muaj zog, nws yog ib qho tsim nyog yuav tsum ua qhov tseem ceeb rau cov teeb meem muaj txiaj ntsig zoo. Qee qhov chaw thiab kev tswj hwm uas muab cov ntsiab lus. tseem ceeb rau fileless Yog:

  • Paub meej PowerShell Log thiab lwm tus neeg txhais lus: tsab ntawv thaiv lub cav, cov lus txib keeb kwm, cov khoom thauj khoom, thiab cov xwm txheej AMSI, thaum muaj.
  • WMI RepositoryCov lus nug thiab ceeb toom txog kev tsim lossis hloov kho cov xwm txheej lim dej, cov neeg siv khoom, thiab kev sib txuas, tshwj xeeb tshaj yog nyob rau hauv cov npe rhiab heev.
  • Kev ruaj ntseg xwm txheej thiab Sysmon: kev sib raug zoo ntawm cov duab, kev ncaj ncees ntawm cov duab, lub cim xeeb thauj khoom, kev txhaj tshuaj, thiab tsim cov haujlwm uas tau teem tseg.
  • Liab: anomalous outbound kev sib txuas, beaconing, payload download qauv, thiab siv cov lus zais rau exfiltration.

Automation pab cais cov nplej los ntawm chaff: kev coj tus cwj pwm raws li txoj cai, cov npe pub rau kev tswj hwm raug cai thiab enrichment nrog kev hem thawj kev txawj ntse txwv tsis tseeb qhov zoo thiab ua kom cov lus teb sai.

Kev tiv thaiv thiab txo qhov saum npoo

Tsis muaj ib qho kev ntsuas txaus, tab sis cov txheej txheem tiv thaiv zoo heev txo kev pheej hmoo. Ntawm kev tiv thaiv sab, ob peb kab ntawm kev ua sawv tawm rau qoob loo vectors thiab ua kom lub neej nyuaj rau tus yeeb ncuab:

  • Kev tswj hwm macro: lov tes taw los ntawm lub neej ntawd thiab tso cai tsuas yog thaum tsim nyog thiab kos npe; granular tswj ntawm pab pawg txoj cai.
  • Kev txwv cov neeg txhais lus thiab LoLBins: Thov AppLocker / WDAC lossis sib npaug, tswj cov ntawv sau thiab ua tiav cov qauv nrog kev nkag nkag.
  • Patching thiab mitigations: kaw qhov kev siv tsis tau zoo thiab qhib kev tiv thaiv kev nco uas txwv RCE thiab txhaj tshuaj.
  • Kev lees paub zooMFA thiab xoom kev ntseeg cov ntsiab cai los txwv tsis pub muaj kev tsim txom thiab txo lateral txav.
  • Kev paub thiab simulationsKev cob qhia tswv yim ntawm phishing, cov ntaub ntawv nrog cov ntsiab lus nquag, thiab cov cim ntawm kev ua tsis zoo.
Cov ntsiab lus tshwj xeeb - Nyem qhov no  Yuav ua li cas encrypt ib thaub qab nrog AOMEI Backupper?

Cov kev ntsuas no tau ua tiav los ntawm cov kev daws teeb meem uas txheeb xyuas kev khiav tsheb thiab kev nco kom txheeb xyuas tus cwj pwm phem hauv lub sijhawm, nrog rau segmentation txoj cai thiab cov cai tsawg kawg nkaus kom muaj kev cuam tshuam thaum qee yam hla dhau.

Cov kev pabcuam thiab cov kev pabcuam uas ua haujlwm

Nyob rau hauv ib puag ncig nrog ntau qhov kawg thiab kev thuam siab, tswj xyuas kom pom thiab cov kev pabcuam teb nrog 24/7 saib xyuas Lawv tau ua pov thawj kom ceev qhov xwm txheej ceev. Kev sib xyaw ua ke ntawm SOC, EMDR / MDR, thiab EDR / XDR muab cov kws tshaj lij qhov muag, nplua nuj telemetry, thiab kev sib koom tes teb muaj peev xwm.

Cov kws kho mob tau txais txiaj ntsig zoo tshaj plaws tau ua haujlwm hauv kev hloov pauv mus rau tus cwj pwm: cov neeg ua haujlwm hnyav uas sib cuam tshuam kev ua haujlwm ntawm qib kernelLawv rov tsim kho cov keeb kwm kev tawm tsam kom tiav thiab siv cov kev txo qis tsis siv neeg thaum lawv pom cov chains tsis zoo, nrog lub peev xwm rov qab los hloov pauv.

Nyob rau tib lub sijhawm, qhov kawg tiv thaiv suites thiab XDR platforms sib koom ua ke hauv nruab nrab ntawm kev pom thiab kev tswj hwm kev hem thawj thoob plaws chaw ua haujlwm, servers, tus kheej, email, thiab huab; lub hom phiaj yog rhuav tshem txoj hlua ntawm kev tawm tsam txawm tias cov ntaub ntawv los yog tsis koom nrog.

Tswv yim qhia rau kev hem yos hav zoov

Yog tias koj yuav tsum ua qhov tseem ceeb ntawm kev tshawb nrhiav kev xav, tsom mus rau kev sib txuas cov teeb liab: cov txheej txheem chaw ua haujlwm uas nthuav tawm tus neeg txhais lus nrog qhov tsis txawv txav, WMI subscription creation Tom qab qhib ib daim ntawv, kev hloov kho rau cov yuam sij pib ua raws li kev sib txuas rau cov npe uas tsis zoo.

Lwm txoj hauv kev ua tau zoo yog kev vam khom los ntawm koj ib puag ncig: dab tsi yog qhov qub ntawm koj cov servers thiab chaw ua haujlwm? Ib qho kev sib txawv (kev kos npe tshiab binaries tshwm sim ua niam txiv ntawm cov neeg txhais lus, sudden spikes hauv kev ua haujlwm (ntawm scripts, hais kom ua hlua nrog obfuscation) tsim nyog tshawb nrhiav.

Thaum kawg, tsis txhob hnov ​​​​qab nco: yog tias koj muaj cov cuab yeej tshawb xyuas cov cheeb tsam khiav lossis ntes snapshots, cov kev tshawb pom hauv RAM Lawv tuaj yeem yog cov pov thawj tseeb ntawm cov haujlwm tsis muaj ntaub ntawv, tshwj xeeb tshaj yog thaum tsis muaj cov khoom cuav hauv cov ntaub ntawv.

Kev sib xyaw ua ke ntawm cov tswv yim, cov tswv yim, thiab kev tswj hwm tsis tshem tawm qhov kev hem thawj, tab sis nws ua rau koj nyob hauv txoj haujlwm zoo dua los tshawb xyuas nws hauv lub sijhawm. txiav txoj saw thiab txo qhov cuam tshuam.

Thaum tag nrho cov no yog siv judiciously - endpoint-nplua nuj telemetry, kev coj tus cwj pwm correlation, automated teb, thiab xaiv hardening - lub fileless tactic poob ntau ntawm nws cov txiaj ntsig. Thiab, txawm hais tias nws yuav txuas ntxiv mus, tsom rua kev coj cwj pwm Ntau dua li hauv cov ntaub ntawv, nws muaj lub hauv paus ruaj khov rau koj qhov kev tiv thaiv kom hloov pauv nrog nws.