Ki sa ki "malveyan san dosye pèsistan" e kijan pou detekte li ak zouti gratis

Aparans nan malveyan san dosye pèsistan Sa a te yon gwo tèt fè mal pou ekip sekirite yo. Nou pa gen pwoblèm ak viris tipik ou "trape" lè w ap efase yon dosye ekzekisyon sou disk la, men ak menas ki rete nan memwa, ki abize zouti sistèm lejitim yo, epi, nan anpil ka, ki pa kite prèske okenn tras forensik itilizab.

Kalite atak sa a vin patikilyèman popilè pami gwoup avanse ak kriminèl sou entènèt k ap chèche... evite lojisyèl antivirus tradisyonèl yo, vòlè done, epi rete kache pou osi lontan ke posib. Konprann kijan yo fonksyone, ki teknik yo itilize, ak kijan pou detekte yo enpòtan pou nenpòt òganizasyon ki vle pran sekirite sibernetik oserye jodi a.

Ki sa ki malveyan san dosye e poukisa li tèlman enkyete?

Lè nou pale sou malveyan san dosye Nou pa di pa gen yon sèl okte ki enplike, men kòd move a Li pa estoke kòm yon fichye ekzekisyon klasik sou disk la. soti nan pwen final la. Okontrè, li fonksyone dirèkteman nan memwa a oswa li òganize nan kontenè ki mwens vizib tankou Rejis la, WMI a, oswa travay pwograme yo.

Nan plizyè senaryo, atakè a apiye sou zouti ki deja prezan nan sistèm nan—PowerShell, WMI, script, binè Windows ki siyen—pou chaje, dechifre, oswa egzekite chaj itil dirèkteman nan RAM lanNan fason sa a, li evite kite fichye ekzekisyon evidan ke yon antivirus ki baze sou siyati ta ka detekte nan yon eskanè nòmal.

Anplis, yon pati nan chèn atak la ka "san fichye" epi yon lòt pati ka itilize sistèm fichye a, kidonk n ap pale de plis pase yon pati. Espèk teknik san dosye sa yo ki nan yon sèl fanmi malveyan. Se poutèt sa pa gen yon sèl definisyon fèmen, men pito plizyè kategori selon degre enpak yo kite sou machin nan.

Karakteristik prensipal malveyan san dosye pèsistan

Yon pwopriyete enpòtan nan menas sa yo se yo ekzekisyon santre sou memwaKòd move a chaje nan RAM epi li egzekite nan pwosesis lejitim, san li pa bezwen yon binè move ki estab sou dis lou a. Nan kèk ka, yo menm enjekte li nan pwosesis sistèm kritik pou pi bon kamouflaj.

Yon lòt karakteristik enpòtan se la pèsistans inkonvansyonèlAnpil kanpay san fichye yo se kanpay ki pa fiks epi ki disparèt apre yon rdemaraj, men gen lòt ki rive reaktive lè l sèvi avèk kle Autorun Rejis, abònman WMI, travay pwograme, oswa BITS, pou atifak "vizib" la minim epi vrè chaj la rete nan memwa chak fwa.

Apwòch sa a diminye efikasite anpil la deteksyon ki baze sou siyatiPiske pa gen yon fichye ekzekisyon fiks pou analize, sa ou souvan wè se yon PowerShell.exe, wscript.exe, oswa mshta.exe ki parfe lejitim, lanse ak paramèt sispèk oswa ap chaje kontni ki twouble.

Finalman, anpil aktè konbine teknik san dosye ak lòt kalite malveyan tankou Trojan, ransomware, oswa adware, sa ki lakòz kanpay ibrid ki melanje pi bon an (ak pi move a) nan tou de mond yo: pèsistans ak diskresyon.

Kalite menas san dosye selon anprint yo sou sistèm nan

Plizyè manifaktirè sekirite Yo klase menas "san fichye" yo dapre tras yo kite sou òdinatè a. Taksonomi sa a ede nou konprann sa n ap wè a ak kijan pou nou mennen ankèt sou li.

Kalite I: pa gen okenn aktivite vizib nan dosye a

Nan bout ki pi an kachèt la, nou jwenn malveyan ki Li pa ekri anyen ditou nan sistèm dosye aKòd la rive, pa egzanp, atravè pake rezo ki eksplwate yon vilnerabilite (tankou EternalBlue), yo enjekte l dirèkteman nan memwa a, epi yo konsève l, pa egzanp, kòm yon pòt dèyè nan nwayo a (DoublePulsar te yon ka anblèmatik).

Nan lòt senaryo, enfeksyon an rete nan Firmwèr BIOS, kat rezo, aparèy USB, oswa menm sou-sistèm nan CPU aKalite menas sa a ka siviv re-enstalasyon sistèm operasyon an, fòmataj disk la, e menm kèk rdemaraj konplè.

Pwoblèm nan se ke pifò solisyon sekirite yo Yo pa enspekte firmwèr oswa mikrokòdE menm si yo fè sa, remèd la konplèks. Erezman, teknik sa yo anjeneral rezève pou aktè ki trè sofistike epi yo pa nòmal nan atak an mas.

Kalite II: Itilizasyon dosye endirèk

Yon dezyèm gwoup baze sou genyen kòd move a nan estrikti ki estoke sou disk laMen, pa tankou ekzekisyon tradisyonèl yo, men nan depo ki melanje done lejitim ak move, difisil pou netwaye san domaje sistèm nan.

Egzanp tipik yo se script ki estoke nan la Repozitwa WMI, chenn bouche nan Kle Rejis yo oubyen travay pwograme ki lanse kòmand danjere san yon binè move klè. Lojisyèl malveyan ka enstale antre sa yo dirèkteman nan liy kòmand lan oubyen nan yon script epi rete prèske envizib.

Malgre ke teknikman gen fichye ki enplike (fichye fizik kote Windows estoke depo WMI a oswa ruch Rejis la), pou rezon pratik n ap pale de aktivite san dosye paske pa gen okenn dosye egzekisyon evidan ki ka tou senpleman mete an karantèn.

Kalite III: Mande dosye pou fonksyone

Twazyèm kalite a gen ladan l menas ki Yo itilize dosye, men nan yon fason ki pa twò itil pou deteksyon.Yon egzanp byen koni se Kovter, ki anrejistre ekstansyon o aza nan Rejis la pou, lè yo louvri yon fichye ak ekstansyon sa a, yo egzekite yon script atravè mshta.exe oubyen yon binè natif natal menm jan an.

Fichye pyèj sa yo gen done ki pa enpòtan, epi vrè kòd move a Li rekipere nan lòt kle Rejis yo oubyen depo entèn yo. Malgre ke gen "yon bagay" sou disk la, li pa fasil pou itilize li kòm yon endikatè serye pou konpwomèt done, alewè pou li kòm yon mekanis netwayaj dirèk.

Vektè antre ak pwen enfeksyon ki pi komen yo

Anplis klasifikasyon anprint, li enpòtan pou konprann kijan Se la malveyan san dosye pèsistan antre an jwèt. Nan lavi chak jou, atakè yo souvan konbine plizyè vektè selon anviwònman an ak sib la.

Eksplwate ak vilnerabilite

Youn nan chemen ki pi dirèk yo se abiz vilnerabilite ekzekisyon kòd a distans (RCE) nan navigatè, plugins (tankou Flash nan tan lontan), aplikasyon entènèt, oswa sèvis rezo (SMB, RDP, elatriye). Eksplwate a enjekte kòd shell ki telechaje oswa dekode chaj move a dirèkteman nan memwa.

Nan modèl sa a, fichye inisyal la ka sou rezo a (tip eksplwate WannaCryoubyen nan yon dokiman ke itilizatè a ouvri, men Chaj la pa janm ekri kòm yon ègzekutabl sou disk la: li dechifre epi egzekite sou plas nan RAM.

Dokiman ak makro move

Yon lòt avni ki trè eksplwate se la Dokiman biwo ak makro oswa DDEansanm ak PDF ki fèt pou eksplwate vilnerabilite lektè yo. Yon fichye Word oswa Excel ki sanble inosan ka gen kòd VBA ki lanse PowerShell, WMI, oswa lòt entèprèt pou telechaje kòd, egzekite kòmand, oswa enjekte kòd shell nan pwosesis ou fè konfyans.

Isit la, fichye ki sou disk la se "sèlman" yon veso done, alòske vektè aktyèl la se motè script entèn aplikasyon anAnfèt, anpil kanpay spam an mas te abize taktik sa a pou deplwaye atak san dosye sou rezo antrepriz yo.

Ekriti ak binè lejitim (Viv ak lajan tè a)

Moun ki atake yo renmen zouti Windows deja bay yo: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Enstriman Jesyon Windows, BITS, elatriye. Binè sa yo ki siyen epi ki fyab ka egzekite script, DLL, oswa kontni aleka san yo pa bezwen yon "virus.exe" sispèk.

Lè w pase kòd move kòm paramèt liy kòmandLè ou mete l nan imaj, ou chifre l epi dekode l nan memwa, oubyen ou estoke l nan Rejis la, sa asire ke antivirus la sèlman wè aktivite ki soti nan pwosesis lejitim yo, sa ki fè deteksyon ki baze sèlman sou dosye yo pi difisil.

Materyèl ak firmwèr ki konpwomèt

Nan yon nivo ki pi ba toujou, atakan avanse yo ka enfiltre Firmwèr BIOS, kat rezo, disk di, oswa menm sou-sistèm jesyon CPU (tankou Intel ME oubyen AMT). Kalite malveyan sa a fonksyone anba sistèm operasyon an epi li ka entèsepte oubyen modifye trafik san sistèm operasyon an pa okouran de sa.

Malgre ke se yon senaryo ekstrèm, li montre jis nan ki pwen yon menas san dosye kapab... Kenbe pèsistans san manyen sistèm fichye OS lae poukisa zouti klasik pou pwen final yo pa bon nan ka sa yo.

Kijan yon atak malveyan san dosye pèsistan fonksyone

Nan nivo koule a, yon atak san fichye sanble anpil ak yon atak ki baze sou fichye, men avèk diferans ki enpòtan yo nan fason yo aplike chaj itil la ak fason yo kenbe aksè.

1. Aksè inisyal nan sistèm nan

Tout bagay kòmanse lè atakè a pran yon premye pye: yon imèl èskrokri ak yon lyen oswa yon atachman move, yon eksplwate kont yon aplikasyon vilnerab, kalifikasyon yo vòlè pou RDP oswa VPN, oswa menm yon aparèy USB manipilasyon.

Nan faz sa a, yo itilize bagay sa yo: jeni sosyalredireksyon move, kanpay piblisite malveyan, oswa atak Wi-Fi move pou twonpe itilizatè a pou l klike kote li pa ta dwe oswa pou eksplwate sèvis ki ekspoze sou Entènèt la.

2. Ekzekisyon kòd move nan memwa

Yon fwa yo jwenn premye antre sa a, konpozan san fichye a deklanche: yon macro Office lanse PowerShell, yon exploit enjekte kòd shell, yon abònman WMI deklanche yon script, elatriye. Objektif la se chaje kòd move dirèkteman nan RAM lanswa lè w telechaje li sou Entènèt la oswa lè w rekonstwi li apati done entegre yo.

Apati de la, malveyan an kapab ogmante privilèj, deplase lateralman, vòlè kalifikasyon, deplwaye webshell, enstale RAT, oswa chifre donetout bagay sa yo sipòte pa pwosesis lejitim pou diminye bri.

3. Etabli pèsistans

Pami teknik abityèl yo yo se:

• Kle Oto-lansman nan Rejis la ki egzekite kòmand oswa script lè w ap konekte.
• Travay pwograme yo ki lanse script, binè lejitim ak paramèt, oswa kòmand a distans.
• Abònman WMI yo ki deklanche kòd lè sèten evènman sistèm rive.
• Itilizasyon BITS yo pou telechajman peryodik chay itil ki soti nan sèvè kòmand ak kontwòl yo.

Nan ka sa yo, eleman pèsistan an minim epi li sèvi sèlman pou reenjekte malveyan an nan memwa a chak fwa sistèm nan demarre oubyen yon kondisyon espesifik satisfè.

4. Aksyon sou sib ak èsfiltrasyon

Avèk pèsistans asire, atakè a konsantre sou sa ki vrèman enterese l: vòlè enfòmasyon, chifre li, manipile sistèm, oswa espyonaj pandan plizyè mwaÈksfiltrasyon an ka fèt atravè HTTPS, DNS, chanèl sekrè, oswa sèvis lejitim. Nan ensidan reyèl, konnen Ki sa pou fè nan premye 24 èdtan yo apre yon piratage ka fè yon diferans.

Nan atak APT yo, li komen pou malveyan an rete la. an silans ak an kachèt pandan yon bon bout tan, bati lòt pòt dèyè pou asire aksè menm si yo detekte epi netwaye yon pati nan enfrastrikti a.

Kapasite ak kalite malveyan ki ka san dosye

Pratikman nenpòt fonksyon move ke yon malveyan klasik ka fè ka aplike lè w suiv apwòch sa a. san dosye oswa semi-san dosyeSe pa objektif la sa ki chanje, men fason yo deplwaye kòd la.

Malveyan ki rete sèlman nan memwa

Kategori sa a gen ladan l chaj itil ki Yo viv sèlman nan memwa pwosesis la oswa nwayo a.Rootkit modèn yo, backdoor avanse yo, oswa lojisyèl espyon yo ka chaje nan espas memwa yon pwosesis lejitim epi rete la jiskaske sistèm nan rekòmanse.

Konpozan sa yo patikilyèman difisil pou wè ak zouti oryante sou disk, epi yo fòse itilizasyon analiz memwa vivan, EDR ak enspeksyon an tan reyèl oswa kapasite forensik avanse.

Malveyan ki baze sou Rejis Windows

Yon lòt teknik ki repete souvan se estoke kòd chiffres oswa obfuske nan kle Rejis yo epi sèvi ak yon binè lejitim (tankou PowerShell, MSHTA, oubyen rundll32) pou li, dekode, epi egzekite li nan memwa.

Premye goutè a ka otodetwi apre li fin ekri nan Rejis la, kidonk tout sa ki rete se yon melanj done ki sanble inofansif ki Yo aktive menas la chak fwa sistèm nan demarre. oubyen chak fwa yo louvri yon dosye espesifik.

Ransomware ak Trojan san dosye

Apwòch san fichye a pa enkonpatib ak metòd chajman trè agresif tankou ransomwareGen kanpay ki telechaje, dechifre, epi egzekite tout chifreman an nan memwa lè l sèvi avèk PowerShell oswa WMI, san yo pa kite ègzekutabl ransomware la sou disk la.

Menm jan an tou, Trojan aksè a distans (RAT)Keyloggers oswa vòlè kalifikasyon yo ka opere nan yon fason semi-san dosye, chaje modil sou demann epi òganize lojik prensipal la nan pwosesis sistèm lejitim.

Twous eksplwatasyon ak kalifikasyon vòlè

Twous eksplwatasyon entènèt yo se yon lòt moso nan devinèt la: yo detekte lojisyèl enstale, Yo chwazi eksplwate ki apwopriye a epi enjekte chaj la dirèkteman nan memwa a., souvan san sove anyen ditou sou disk la.

Nan lòt men an, itilize nan kalifikasyon yo vòlè Li se yon vektè ki anfòm trè byen ak teknik san fichye: atakè a otantifye kòm yon itilizatè lejitim epi, apati de la, abize zouti administratif natif natal yo (PowerShell Remoting, WMI, PsExec) pou deplwaye script ak kòmand ki pa kite okenn tras klasik malveyan.

Poukisa malveyan san dosye yo tèlman difisil pou detekte?

Rezon fondamantal la se ke kalite menas sa a fèt espesyalman pou kontoune kouch defans tradisyonèl yoki baze sou siyati, lis blan, ak analiz dosye peryodik.

Si kòd move a pa janm sove kòm yon fichye ekzekisyon sou disk la, oubyen si li kache nan plizyè kontenè tankou WMI, Rejis la, oubyen firmwèr, lojisyèl antivirus tradisyonèl la pa gen anpil bagay pou analize. Olye de yon "dosye sispèk," sa ou genyen se pwosesis lejitim ki konpòte yo yon fason anomali.

Anplis de sa, li bloke radikalman zouti tankou PowerShell, macro Office, oswa WMI. Li pa solid nan anpil òganizasyonPaske yo esansyèl pou administrasyon, automatisation, ak operasyon chak jou yo. Sa fòse defansè yo mache avèk anpil prekosyon.

Gen kèk vandè ki te eseye konpanse ak solisyon rapid (blokaj PowerShell jenerik, dezaktivasyon total makro, deteksyon nan nwaj la sèlman, elatriye), men mezi sa yo anjeneral... ensifizan oswa twò deranjan pou biznis la.

Estrateji modèn pou detekte epi bloke malveyan san dosye

Pou konfwonte menas sa yo, li nesesè pou ale pi lwen pase jis eskane dosye epi adopte yon apwòch konsantre. konpòtman, telemetri an tan reyèl, ak vizibilite pwofon nan pwen final la.

Siveyans konpòtman ak memwa

Yon apwòch efikas enplike obsève sa pwosesis yo reyèlman fè: ki kòmandman yo egzekite, ki resous yo jwenn aksè, ki koneksyon yo etablikijan yo gen rapò youn ak lòt, elatriye. Malgre ke plizyè milye varyant malveyan egziste, modèl konpòtman move yo pi limite. Sa a kapab tou konplete ak Deteksyon avanse ak YARA.

Solisyon modèn yo konbine telemetri sa a ak analiz an memwa, euristik avanse, ak aprantisaj machin pou idantifye chenn atak, menm lè kòd la twò bouche oswa yo pa janm wè li anvan.

Itilizasyon koòdone sistèm tankou AMSI ak ETW

Windows ofri teknoloji tankou Antimalware Scan Interface (AMSI) y Trase evènman pou Windows (ETW) Sous sa yo pèmèt enspeksyon script ak evènman sistèm nan yon nivo ki ba anpil. Entegrasyon sous sa yo nan solisyon sekirite fasilite deteksyon an. kòd move jis anvan oswa pandan ekzekisyon li.

Anplis de sa, analize zòn kritik yo—travay pwograme, abònman WMI, kle rejis demaraj, elatriye—ede idantifye pèsistans san fichye kache ki ta ka pase inapèsi ak yon senp eskanè dosye.

Lachas menas ak endikatè atak (IoA)

Piske endikatè klasik yo (hach, chemen fichye) pa bon, li rekòmande pou konte sou endikatè atak (IoA), ki dekri konpòtman sispèk ak sekans aksyon ki koresponn ak taktik li te ye deja.

Ekip lachas menas yo—entèn oswa atravè sèvis jere yo—ka fè rechèch proactivement modèl mouvman lateral, abi zouti natif natal, anomali nan itilizasyon PowerShell oswa aksè san otorizasyon a done sansib, detekte menas san dosye anvan yo deklanche yon dezas.

EDR, XDR ak SOC 24/7

Platfòm modèn yo EDR ak XDR (Deteksyon ak repons pwen final nan yon nivo pwolonje) bay vizibilite ak korelasyon ki nesesè pou rekonstwi istwa konplè yon ensidan, depi premye imèl èskrokri a rive nan dènye èsfiltrasyon an.

Konbine avèk yon SOC operasyonèl 24 sou 24, 7 jou sou 7Yo pèmèt non sèlman deteksyon, men tou kontwole epi remedye otomatikman aktivite move: izole òdinatè yo, bloke pwosesis yo, anile chanjman nan Rejis la, oubyen defè chifreman an lè sa posib.

Teknik malveyan san fichye yo chanje jwèt la: jis fè yon eskanè antivirus epi efase yon ekzekisyon sispèk pa sifi ankò. Jodi a, defans enplike konprann kijan atakè yo eksplwate vilnerabilite yo lè yo kache kòd nan memwa, Rejis la, WMI, oswa firmwèr, epi deplwaye yon konbinezon siveyans konpòtman, analiz nan memwa, EDR/XDR, lachas menas, ak pi bon pratik yo. Redui enpak la yon fason reyalistik Atak ki, fèt pou yo pa kite okenn tras kote solisyon tradisyonèl yo ye a, mande yon estrateji holistic ak kontinyèl. Nan ka konpwomi, konnen Repare Windows apre yon viris grav esansyèl.