Identificiranje datoteka bez datoteka: otkrivanje ključa i obrana

Zlonamjerni softver bez datoteka nalazi se u memoriji i zloupotrebljava legitimne alate (PowerShell, WMI, LoLBins), što ga otežava otkrivanje na temelju datoteka.
Ključno je pratiti ponašanja: odnose među procesima, naredbene retke, registar, WMI i mrežu, s trenutnim odgovorom na krajnjoj točki.
Slojevita obrana kombinira ograničavanje interpretera, upravljanje makroima, krpanje, MFA i EDR/XDR s bogatom telemetrijom i 24/7 SOC-om.

Napadi koji se izvode bez ostavljanja traga na disku postali su velika glavobolja za mnoge sigurnosne timove jer se u potpunosti izvršavaju u memoriji i iskorištavaju legitimne sistemske procese. Stoga je važno znati kako prepoznati datoteke bez datoteka i braniti se od njih.

Osim naslova i trendova, razumijevanje kako funkcioniraju, zašto su tako neuhvatljivi i koji nam znakovi omogućuju da ih otkrijemo čini razliku između suzbijanja incidenta i žaljenja zbog kršenja. U sljedećim retcima analiziramo problem i predlažemo rješenja.

Što je zlonamjerni softver bez datoteka i zašto je važan?

Zlonamjerni softver bez datoteka nije specifična obitelj, već način rada: Izbjegavajte pisanje izvršnih datoteka na disk Koristi servise i binarne datoteke koje su već prisutne u sustavu za izvršavanje zlonamjernog koda. Umjesto da ostavi lako skeniranu datoteku, napadač zloupotrebljava pouzdane uslužne programe i učitava njihovu logiku izravno u RAM.

Ovaj pristup je često obuhvaćen filozofijom 'Život od zemlje': napadači instrumentaliziraju izvorni alati kao što su PowerShell, WMI, mshta, rundll32 ili skriptne mehanizme poput VBScripta i JScripta kako bi postigli svoje ciljeve uz minimalnu buku.

Među njegovim najreprezentativnijim značajkama nalazimo: izvršavanje u hlapljivoj memoriji, mala ili nikakva perzistencija na disku, korištenje komponenti potpisanih od strane sustava i visoka sposobnost izbjegavanja mehanizama temeljenih na potpisima.

Iako mnogi korisni sadržaji nestaju nakon ponovnog pokretanja, nemojte se zavaravati: protivnici mogu uspostaviti upornost korištenjem ključeva registra, WMI pretplata ili planiranih zadataka, a sve to bez ostavljanja sumnjivih binarnih datoteka na disku.

Poteškoće u otkrivanju zlonamjernog softvera bez datoteka

Zašto nam je tako teško prepoznati datoteke bez datoteka?

Prva prepreka je očita: Nema anomalnih datoteka za pregledTradicionalni antivirusni programi temeljeni na potpisima i analizi datoteka imaju malo prostora za manevriranje kada se izvršavanje nalazi u valjanim procesima, a zlonamjerna logika u memoriji.

Drugi je suptilniji: napadači se kamufliraju iza legitimni procesi operacijskog sustavaAko se PowerShell ili WMI koriste svakodnevno za administraciju, kako možete razlikovati normalnu upotrebu od zlonamjerne upotrebe bez konteksta i telemetrije ponašanja?

Nadalje, slijepo blokiranje kritičnih alata nije izvedivo. Onemogućavanje PowerShella ili Office makroa na svim područjima može prekinuti rad i Ne sprječava u potpunosti zlouporabejer postoji više alternativnih putova izvršavanja i tehnika za zaobilaženje jednostavnih blokova.

Uz sve to, detekcija u oblaku ili na strani poslužitelja prekasno je za sprječavanje problema. Bez lokalne vidljivosti problema u stvarnom vremenu... naredbene linije, odnosi procesa i događaji zapisnikaAgent ne može u hodu ublažiti zlonamjerni tok koji ne ostavlja trag na disku.

Ekskluzivan sadržaj - Kliknite ovdje Kako se mogu prijaviti za Sophos Home?

Kako napad bez datoteka funkcionira od početka do kraja

Početni pristup se obično događa s istim vektorima kao i uvijek: krađa identiteta s Office dokumentima koji traže omogućavanje aktivnog sadržaja, poveznice na kompromitirane stranice, iskorištavanje ranjivosti u izloženim aplikacijama ili zlouporabu procurjelih vjerodajnica za pristup putem RDP-a ili drugih usluga.

Jednom kada je unutra, protivnik nastoji izvesti udarac bez dodirivanja diska. Da bi to učinio, povezuje funkcionalnosti sustava: makroi ili DDE u dokumentima koje pokreću naredbe, iskorištavaju prekoračenja za RCE ili pozivaju pouzdane binarne datoteke koje omogućuju učitavanje i izvršavanje koda u memoriji.

Ako operacija zahtijeva kontinuitet, perzistencija se može implementirati bez implementacije novih izvršnih datoteka: unosi za pokretanje u registruWMI pretplate koje reagiraju na sistemske događaje ili zakazane zadatke koji pokreću skripte pod određenim uvjetima.

Nakon što je izvršenje utvrđeno, cilj diktira sljedeće korake: kretanje bočno, izvući podatkeTo uključuje krađu vjerodajnica, postavljanje RAT-a, rudarenje kriptovaluta ili aktiviranje enkripcije datoteka u slučaju ransomwarea. Sve se to radi, kada je to moguće, iskorištavanjem postojećih funkcionalnosti.

Uklanjanje dokaza dio je plana: time što ne piše sumnjive binarne datoteke, napadač značajno smanjuje broj artefakata koje treba analizirati. miješanje njihove aktivnosti između normalnih događaja sustava i brisanje privremenih tragova kada je to moguće.

identificirati datoteke bez datoteka

Tehnike i alati koje obično koriste

Katalog je opsežan, ali gotovo uvijek se vrti oko izvornih uslužnih programa i pouzdanih ruta. Ovo su neki od najčešćih, uvijek s ciljem maksimiziranje izvršavanja u memoriji i zamagli trag:

PowerShellMoćno skriptiranje, pristup Windows API-jima i automatizacija. Njegova svestranost čini ga omiljenim i za administraciju i za ofenzivnu zloupotrebu.
WMI (Windows Management Instrumentation)Omogućuje vam upite i reagiranje na sistemske događaje, kao i izvođenje udaljenih i lokalnih radnji; korisno za upornost i orkestracija.
VBScript i JScript: mehanizmi prisutni u mnogim okruženjima koji olakšavaju izvršavanje logike putem sistemskih komponenti.
mshta, rundll32 i druge pouzdane binarne datotekedobro poznati LoLBins koji, kada su pravilno povezani, mogu izvršavanje koda bez gubitka artefakata vidljivo na disku.
Dokumenti s aktivnim sadržajemMakroi ili DDE u Officeu, kao i PDF čitači s naprednim značajkama, mogu poslužiti kao odskočna daska za pokretanje naredbi u memoriji.
Windows registar: ključevi za samostalno pokretanje ili šifrirano/skriveno pohranjivanje korisnih podataka koje aktiviraju komponente sustava.
Zapljena i ubrizgavanje u procese: modifikacija memorijskog prostora pokrenutih procesa za zlonamjerna logika domaćina unutar legitimne izvršne datoteke.
Operativni setoviotkrivanje ranjivosti u sustavu žrtve i implementacija prilagođenih iskorištavanja kako bi se postiglo izvršenje bez dodirivanja diska.

Izazov za tvrtke (i zašto jednostavno blokiranje svega nije dovoljno)

Naivan pristup predlaže drastičnu mjeru: blokiranje PowerShella, zabranu makroa, sprječavanje binarnih datoteka poput rundll32. Stvarnost je nijansiranija: Mnogi od ovih alata su neophodni. za svakodnevno IT poslovanje i za administrativnu automatizaciju.

Ekskluzivan sadržaj - Kliknite ovdje Je li ProtonVPN brz?

Osim toga, napadači traže rupe u zakonu: pokretanje skriptnog mehanizma na druge načine, koristiti alternativne kopijeMožete logiku pakirati u slike ili pribjeći manje nadziranim LoLBinsima. Grubo blokiranje u konačnici stvara trenje bez pružanja potpune obrane.

Čisto serverska ili cloud analiza također ne rješava problem. Bez bogate telemetrije krajnjih točaka i bez odzivnost samog agentaOdluka dolazi kasno i prevencija nije izvediva jer moramo čekati vanjski sud.

U međuvremenu, tržišna izvješća već dugo ukazuju na vrlo značajan rast u ovom području, s vrhuncima gdje je Pokušaji zlouporabe PowerShella gotovo su se udvostručili u kratkim razdobljima, što potvrđuje da je to ponavljajuća i profitabilna taktika za protivnike.

Moderna detekcija: od datoteke do ponašanja

Ključ nije tko izvršava, već kako i zašto. Praćenje ponašanje procesa i njegovi odnosi Odlučujuće je: naredbeni redak, nasljeđivanje procesa, osjetljivi API pozivi, odlazne veze, izmjene registra i WMI događaji.

Ovaj pristup drastično smanjuje površinu izbjegavanja: čak i ako se promijene uključene binarne datoteke, obrasci napada se ponavljaju (skripte koje se preuzimaju i izvršavaju u memoriji, zloupotreba LoLBins-ova, pozivanje interpretera itd.). Analiziranje te skripte, a ne 'identiteta' datoteke, poboljšava detekciju.

Učinkovite EDR/XDR platforme koreliraju signale kako bi rekonstruirale potpunu povijest incidenata, identificirajući temeljni uzrok Umjesto okrivljavanja procesa koji se 'pojavio', ova narativna analiza povezuje priloge, makroe, interpretere, korisne terete i perzistenciju kako bi ublažila cijeli tijek, a ne samo izolirani dio.

Primjena okvira kao što su MITRE ATT&CK Pomaže u mapiranju uočenih taktika i tehnika (TTP) i usmjeravanju lova na prijetnje prema ponašanjima od interesa: izvršenje, upornost, izbjegavanje obrane, pristup vjerodajnicama, otkrivanje, lateralno kretanje i izvlačenje.

Konačno, orkestracija odgovora krajnje točke mora biti trenutna: izolirati uređaj, završni procesi uključeni, poništiti promjene u registru ili planeru zadataka i blokirati sumnjive odlazne veze bez čekanja vanjskih potvrda.

Korisna telemetrija: na što treba paziti i kako odrediti prioritete

Kako bi se povećala vjerojatnost otkrivanja bez zasićenja sustava, preporučljivo je dati prioritet signalima visoke vrijednosti. Neki izvori i kontrole koji pružaju kontekst. kritično za bezdavanje datoteka zvuk:

Detaljan PowerShell zapisnik i ostali interpreteri: zapisnik blokova skripti, povijest naredbi, učitani moduli i AMSI događaji, kada su dostupni.
WMI repozitorijInventar i upozorenja u vezi sa stvaranjem ili izmjenom filtera događaja, potrošača i veza, posebno u osjetljivim imenskim prostorima.
Sigurnosni događaji i Sysmonkorelacija procesa, integritet slike, učitavanje memorije, ubrizgavanje i stvaranje planiranih zadataka.
crvenaanomalne odlazne veze, beacoing, obrasci preuzimanja korisnog tereta i korištenje tajnih kanala za eksfiltraciju.

Automatizacija pomaže odvojiti žito od kukolja: pravila detekcije temeljena na ponašanju, popisi dopuštenih za legitimna uprava a obogaćivanje obavještajnim podacima o prijetnjama ograničava lažno pozitivne rezultate i ubrzava odgovor.

Sprječavanje i smanjenje površine

Niti jedna mjera nije dovoljna, ali slojevita obrana uvelike smanjuje rizik. S preventivne strane, ističe se nekoliko linija djelovanja vektori usjeva i otežati život protivniku:

Upravljanje makroima: onemogućeno prema zadanim postavkama i dopušteno samo kada je apsolutno potrebno i potpisano; detaljne kontrole putem grupnih pravila.
Ograničenje interpretatora i LoLBinsaPrimjena AppLockera/WDAC-a ili ekvivalenta, kontrola skripti i predložaka izvršavanja s opsežnim evidentiranjem.
Zakrpe i ublažavanja: zatvoriti ranjivosti koje se mogu iskoristiti i aktivirati zaštite memorije koje ograničavaju RCE i injekcije.
Snažna autentifikacijaMFA i principi nultog povjerenja za suzbijanje zlouporabe vjerodajnica i smanjiti lateralno kretanje.
Svijest i simulacijePraktična obuka o phishingu, dokumentima s aktivnim sadržajem i znakovima anomalnog izvršenja.

Ekskluzivan sadržaj - Kliknite ovdje Je li Sophos Anti-Virus za Mac sigurniji od Windows Defendera?

Ove mjere nadopunjuju rješenja koja analiziraju promet i memoriju kako bi identificirala zlonamjerno ponašanje u stvarnom vremenu, kao i pravila segmentacije i minimalne privilegije za ograničavanje utjecaja kada nešto promakne.

Usluge i pristupi koji funkcioniraju

U okruženjima s mnogo krajnjih točaka i visokom kritičnošću, upravljane usluge detekcije i odgovora s 24/7 praćenje Dokazano je da ubrzavaju suzbijanje incidenata. Kombinacija SOC-a, EMDR/MDR-a i EDR/XDR-a pruža stručno oko, bogatu telemetriju i koordinirane mogućnosti odgovora.

Najučinkovitiji pružatelji usluga internalizirali su prelazak na ponašanje: lagani agenti koji korelirati aktivnost na razini jezgreRekonstruiraju kompletnu povijest napada i primjenjuju automatska ublažavanja kada otkriju zlonamjerne lance, s mogućnošću vraćanja promjena unazad.

Paralelno s tim, paketi za zaštitu krajnjih točaka i XDR platforme integriraju centraliziranu vidljivost i upravljanje prijetnjama na radnim stanicama, poslužiteljima, identitetima, e-pošti i oblaku; cilj je demontirati lanac napada bez obzira na to jesu li datoteke uključene ili ne.

Praktični pokazatelji za lov na prijetnje

Ako morate odrediti prioritete hipoteza pretraživanja, usredotočite se na kombiniranje signala: uredski proces koji pokreće interpreter s neobičnim parametrima, Izrada WMI pretplate Nakon otvaranja dokumenta, izmjene ključeva za pokretanje nakon čega slijede veze s domenama s lošom reputacijom.

Drugi učinkovit pristup je oslanjanje na osnovne vrijednosti iz vašeg okruženja: što je normalno na vašim poslužiteljima i radnim stanicama? Bilo kakvo odstupanje (novo potpisane binarne datoteke koje se pojavljuju kao roditelji interpretera, nagli skokovi u performansama (skripti, naredbenih nizova s obfuskacijom) zaslužuje istraživanje.

Konačno, ne zaboravite memoriju: ako imate alate koji pregledavaju područja rada ili snimaju snimke, nalazi u RAM-u Oni mogu biti definitivan dokaz aktivnosti bez datoteka, posebno kada u datotečnom sustavu nema artefakata.

Kombinacija ovih taktika, tehnika i kontrola ne eliminira prijetnju, ali vas stavlja u bolji položaj da je otkrijete na vrijeme. prerezati lanac i smanjiti utjecaj.

Kada se sve ovo primijeni promišljeno - telemetrija bogata krajnjim točkama, korelacija ponašanja, automatizirani odgovor i selektivno ojačanje - taktika bez datoteka gubi mnogo svoje prednosti. I, iako će se nastaviti razvijati, fokus na ponašanjima Umjesto u datotekama, nudi čvrstu osnovu za razvoj vaše obrane.

Daniel Terrasa

Urednik specijaliziran za pitanja tehnologije i interneta s više od deset godina iskustva u različitim digitalnim medijima. Radio sam kao urednik i kreator sadržaja za tvrtke koje se bave e-trgovinom, komunikacijom, internetskim marketingom i oglašavanjem. Pisao sam i na web stranicama o ekonomiji, financijama i drugim sektorima. Moj posao je također moja strast. Sada, kroz moje članke u Tecnobits, nastojim istražiti sve novosti i nove mogućnosti koje nam svijet tehnologije svakodnevno nudi za poboljšanje života.