Idantifye fichye san fichye: yon gid konplè pou detekte epi kanpe malveyan nan memwa

Atak ki fonksyone san kite tras sou disk la vin tounen yon gwo pwoblèm pou anpil ekip sekirite paske yo egzekite antyèman nan memwa epi yo eksplwate pwosesis sistèm lejitim yo. Se poutèt sa li enpòtan pou konnen... kijan pou idantifye dosye san dosye epi defann tèt yo kont yo.

Pi lwen pase tit ak tandans yo, konprann kijan yo fonksyone, poukisa yo tèlman difisil pou jwenn, ak ki siy ki pèmèt nou detekte yo fè diferans ant kontwole yon ensidan ak regrèt yon vyolasyon. Nan liy ki vin apre yo, nou analize pwoblèm nan epi nou pwopoze. solisyon yo.

Ki sa ki malveyan san dosye e poukisa li enpòtan?

 

Malveyan san fichye yo pa yon fanmi espesifik, men pito yon fason pou opere: Evite ekri fichye ekzekisyon sou disk la Li itilize sèvis ak binè ki deja prezan nan sistèm nan pou egzekite kòd move. Olye pou l kite yon fichye ki fasil pou eskane, atakè a abize sèvis piblik ou fè konfyans yo epi li chaje lojik li dirèkteman nan RAM lan.

Apwòch sa a souvan anglobe nan filozofi 'Viv ak tè a': atakè yo enstrimantalize zouti natif natal tankou PowerShell, WMI, mshta, rundll32 oubyen motè script tankou VBScript ak JScript pou reyalize objektif yo ak yon minimòm bri.

Pami karakteristik ki pi reprezantatif li yo nou jwenn: ekzekisyon nan memwa volatil, ti kras oswa pa gen pèsistans sou disk, itilizasyon konpozan ki siyen pa sistèm nan ak gwo kapasite pou evite motè ki baze sou siyati.

Malgre ke anpil chaj disparèt apre yon rdemaraj, pa kite yo twonpe w: advèsè yo ka etabli pèsistans lè w itilize kle Rejis, abònman WMI, oswa travay pwograme, tout sa san w pa kite binè sispèk sou disk la.

Poukisa nou twouve li tèlman difisil pou idantifye fichye san dosye?

Premye baryè a evidan: Pa gen okenn dosye anomali pou enspektePwogram antivirus tradisyonèl ki baze sou siyati ak analiz fichye pa gen anpil espas pou manèv lè ekzekisyon an rete nan pwosesis valab epi lojik move a rete nan memwa.

Dezyèm lan pi sibtil: atakè yo kamoufle tèt yo dèyè pwosesis sistèm operasyon lejitim yoSi PowerShell oubyen WMI yo itilize chak jou pou administrasyon, kijan ou ka distenge itilizasyon nòmal ak itilizasyon move san kontèks ak telemetri konpòtman?

Anplis, bloke zouti kritik yo avèg pa posib. Dezaktive PowerShell oswa macro Office yo sou tout liy ka kraze operasyon yo epi Li pa anpeche abi nètpaske gen plizyè chemen ekzekisyon altènatif ak teknik pou kontourne blòk senp yo.

Pou fini, deteksyon ki baze sou nwaj la oswa bò sèvè a twò ta pou anpeche pwoblèm. San vizibilite lokal an tan reyèl sou pwoblèm nan... liy kòmand, relasyon pwosesis, ak evènman jounalAjan an pa ka diminye imedyatman yon koule move ki pa kite okenn tras sou disk la.

Kijan yon atak san dosye fonksyone depi nan kòmansman jiska lafen

Aksè inisyal la anjeneral fèt ak menm vektè yo tankou toujou: èskrokri ak dokiman biwo ki mande pou aktive kontni aktif, lyen ki mennen nan sit konpwomèt, eksplwatasyon vilnerabilite nan aplikasyon ki ekspoze, oswa abi kalifikasyon ki koule pou jwenn aksè atravè RDP oswa lòt sèvis.

Yon fwa anndan, advèsè a ap chache egzekite san touche disk la. Pou fè sa, yo chenn fonksyonalite sistèm yo ansanm: makro oubyen DDE nan dokiman yo ki lanse kòmand, eksplwate debòdman pou RCE, oswa envoke binè ou fè konfyans ki pèmèt chaje ak egzekite kòd nan memwa.

Si operasyon an mande kontinwite, pèsistans ka aplike san deplwaye nouvo ekzekisyon: antre demaraj nan Rejis laAbònman WMI ki reyaji a evènman sistèm oswa travay pwograme ki deklanche script anba sèten kondisyon.

Avèk ekzekisyon an etabli, objektif la dikte etap sa yo: deplase lateralman, done èksfiltrasyonSa gen ladan l vòlè enfòmasyon kalifikasyon, deplwaye yon RAT, min kriptomonnen, oubyen aktive chifreman fichye nan ka ransomware. Tout bagay sa yo fèt, lè sa posib, lè yo itilize fonksyonalite ki deja egziste yo.

Retire prèv yo fè pati plan an: lè atakè a pa ekri binè sispèk, li diminye anpil kantite atifak pou analize. melanje aktivite yo ant evènman nòmal yo sistèm nan epi efase tras tanporè yo lè sa posib.

Teknik ak zouti yo abitye itilize

Katalòg la vaste, men li prèske toujou santre sou sèvis piblik natif natal ak wout ou fè konfyans. Sa yo se kèk nan pi komen yo, toujou ak objektif pou maksimize ekzekisyon an memwa epi flou tras la:

• poechèlScripting pwisan, aksè a API Windows yo, ak automatisation. Adaptabilite li fè li yon favori pou tou de administrasyon ak abi ofansif.
• WMI (Enstriman Jesyon Windows)Li pèmèt ou fè rechèch epi reyaji a evènman sistèm yo, epi tou fè aksyon adistans ak lokal; itil pou pèsistans ak òkestrasyon.
• VBScript ak JScript: motè ki prezan nan anpil anviwònman ki fasilite ekzekisyon lojik atravè konpozan sistèm yo.
• mshta, rundll32 ak lòt binè ou fè konfyans: LoLBins byen koni yo ki, lè yo byen lye, kapab egzekite kòd san lage atifak evidan sou disk la.
• Dokiman ki gen kontni aktifMakro oswa DDE nan Office, ansanm ak lektè PDF ak fonksyonalite avanse, ka sèvi kòm yon tranplen pou lanse kòmand nan memwa.
• Windows Rejis: kle oto-demaraj oubyen depo chiffres/kache nan chay itil ki aktive pa konpozan sistèm yo.
• Sezisman ak enjeksyon nan pwosesis yo: modifikasyon espas memwa pwosesis k ap kouri yo pou lojik move lame nan yon dosye ègzèkutabl lejitim.
• Twous operasyon yo: deteksyon vilnerabilite nan sistèm viktim nan ak deplwaman de exploit pèsonalize pou reyalize ekzekisyon san manyen disk la.

Defi a pou konpayi yo (epi poukisa bloke tout bagay pa sifi)

Yon apwòch nayif sijere yon mezi drastik: bloke PowerShell, entèdi macro, anpeche binè tankou rundll32. Reyalite a pi sibtil: Anpil nan zouti sa yo esansyèl. pou operasyon IT chak jou ak pou otomatizasyon administratif.

Anplis de sa, atakè yo ap chèche twou vid ki genyen nan sistèm nan: fè motè script la fonksyone nan lòt fason, sèvi ak kopi altènatifOu ka mete lojik nan imaj oubyen itilize LoLBins ki mwens siveye. Blokaj brital finalman kreye friksyon san li pa bay yon defans konplè.

Analiz sèlman bò sèvè oswa analiz ki baze sou nwaj la pa rezoud pwoblèm nan nonplis. San telemetri pwen final rich ak san repons nan ajan an li menmDesizyon an vini an reta e prevansyon pa posib paske nou oblije tann yon vèdik ekstèn.

Pandansetan, rapò sou mache yo te lontan ap montre yon kwasans trè siyifikatif nan domèn sa a, ak pik kote Tantativ pou abize PowerShell prèske double. nan kout peryòd, sa ki konfime ke se yon taktik rekiran e pwofitab pou advèsè yo.

Deteksyon modèn: soti nan dosye rive nan konpòtman

Kle a se pa ki moun ki egzekite l, men kijan ak poukisa. Siveyans lan konpòtman pwosesis la ak relasyon li yo Li desizif: liy kòmand, eritaj pwosesis, apèl API sansib, koneksyon sortan, modifikasyon Rejis, ak evènman WMI.

Apwòch sa a diminye sifas evazyon an anpil: menm si binè ki enplike yo chanje, la modèl atak yo repete (skript ki telechaje epi egzekite nan memwa, abi LoLBins, envokasyon entèprèt, elatriye). Analize script sa a, pa 'idantite' fichye a, amelyore deteksyon an.

Platfòm EDR/XDR efikas yo korele siyal yo pou rekonstwi tout istwa ensidan an, idantifye kòz rasin Olye pou l mete blame sou pwosesis ki "parèt la", naratif sa a lye atachman, makro, entèprèt, chaj itil, ak pèsistans pou diminye tout koule a, pa sèlman yon moso izole.

Aplikasyon kad tankou MITRE AT&CK Li ede trase yon kat taktik ak teknik obsève yo (TTP) epi gide lachas menas anvè konpòtman ki enteresan: ekzekisyon, pèsistans, evite defans, aksè kalifikasyon, dekouvèt, mouvman lateral ak èsfiltrasyon.

Finalman, òkestrasyon repons pwen final la dwe imedya: izole aparèy la, pwosesis fen yo enplike, anile chanjman nan Rejis la oswa nan planifikatè travay la epi bloke koneksyon sortan sispèk san tann konfimasyon ekstèn.

Telemetri itil: sa pou gade ak kijan pou bay priyorite

Pou ogmante pwobabilite deteksyon an san satire sistèm nan, li rekòmande pou bay priyorite a siyal ki gen gwo valè. Gen kèk sous ak kontwòl ki bay kontèks. kritik pou san dosye son:

• Jounal PowerShell detaye ak lòt entèprèt: jounal blòk script, istwa kòmand, modil chaje, ak evènman AMSI, lè yo disponib.
• Repozitwa WMIFè envantè ak alèt konsènan kreyasyon oswa modifikasyon filtè evènman, konsomatè, ak lyen, sitou nan espas non sansib.
• Evènman sekirite ak Sysmon: korelasyon pwosesis, entegrite imaj, chajman memwa, enjeksyon, ak kreyasyon travay pwograme.
• Wouj: koneksyon sortan anomali, baliz, modèl telechajman chaj, ak itilizasyon chanèl sekrè pou èsfiltrasyon.

Otomatizasyon ede separe ble a ak pay la: règ deteksyon ki baze sou konpòtman, lis otorizasyon pou administrasyon lejitim epi anrichisman ak entèlijans menas limite fo pozitif yo epi akselere repons lan.

Prevansyon ak rediksyon sifas

Pa gen yon sèl mezi ki sifi, men yon defans an plizyè kouch diminye risk anpil. Sou bò prevantif la, plizyè liy aksyon remakab pou vektè rekòt epi rann lavi pi difisil pou advèsè a:

• Jesyon makro: enfim pa default epi pèmèt sèlman lè sa absoliman nesesè epi siyen; kontwòl detaye atravè règleman gwoup yo.
• Restriksyon sou entèprèt ak LoLBins yoAplike AppLocker/WDAC oubyen ekivalan, kontwòl script ak modèl ekzekisyon ak anrejistreman konplè.
• Patch ak mitigasyonFèmen vilnerabilite ki ka eksplwate yo epi aktive pwoteksyon memwa ki limite RCE ak enjeksyon yo.
• Otantifikasyon solidPrensip MFA ak zewo konfyans pou limite abi kalifikasyon ak diminye mouvman lateral.
• Konsyantizasyon ak similasyonFòmasyon pratik sou èskrokri (phishing), dokiman ki gen kontni aktif, ak siy ekzekisyon anomali.

Mezi sa yo konplete pa solisyon ki analize trafik ak memwa pou idantifye konpòtman move an tan reyèl, ansanm ak règleman segmentasyon ak privilèj minimòm pou limite enpak la lè yon bagay pase antre.

Sèvis ak apwòch ki ap fonksyone

Nan anviwònman ki gen anpil pwen final ak gwo kritik, sèvis deteksyon ak repons jere ak siveyans 24 sou 24, 7 jou sou 7 Yo pwouve yo ka akselere kontwòl ensidan yo. Konbinezon SOC, EMDR/MDR, ak EDR/XDR bay je ekspè, telemetri rich, ak kapasite repons kowòdone.

Founisè ki pi efikas yo te entènalize chanjman konpòtman an: ajan lejè ki korelasyon aktivite nan nivo nwayo aYo rekonstwi tout istwa atak yo epi aplike mezi otomatik pou diminye risk yo lè yo detekte chenn move, avèk kapasite pou anile chanjman yo.

An paralèl, swit pwoteksyon pwen final yo ak platfòm XDR yo entegre vizibilite santralize ak jesyon menas atravè estasyon travay, sèvè, idantite, imèl, ak nwaj la; objektif la se demonte chèn atak la kèlkeswa si dosye yo enplike oswa non.

Endikatè pratik pou lachas menas

Si ou gen pou priyorize ipotèz rechèch yo, konsantre sou konbine siyal yo: yon pwosesis biwo ki lanse yon entèprèt ak paramèt dwòl, Kreyasyon abònman WMI Apre ou fin louvri yon dokiman, modifikasyon nan kle demaraj yo, epi koneksyon ak domèn ki gen move repitasyon.

Yon lòt apwòch efikas se konte sou referans ki soti nan anviwònman w lan: ki sa ki nòmal sou sèvè ak estasyon travay ou yo? Nenpòt devyasyon (binè ki fèk siyen ki parèt kòm paran entèprèt yo, ogmantasyon toudenkou nan pèfòmans (nan scripts, chenn kòmand ak obfuskasyon) merite envestigasyon.

Finalman, pa bliye memwa: si ou gen zouti ki enspekte rejyon k ap kouri oswa ki pran snapshot, rezilta yo nan RAM Yo kapab prèv definitif aktivite san dosye, sitou lè pa gen okenn atifak nan sistèm dosye a.

Konbinezon taktik, teknik ak kontwòl sa yo pa elimine menas la, men li mete ou nan yon pi bon pozisyon pou detekte li alè. koupe chèn lan epi diminye enpak la.

Lè yo aplike tout bagay sa yo avèk sajès—telemetri rich nan pwen final, korelasyon konpòtman, repons otomatik, ak ranfòsman selektif—taktik san dosye a pèdi anpil nan avantaj li. Epi, byenke l ap kontinye evolye, konsantrasyon sou konpòtman yo Olye de nan dosye, li ofri yon fondasyon solid pou defans ou evolye avèk li.