Apa itu “malware tanpa file persisten” dan bagaimana cara mendeteksinya dengan alat gratis?

Munculnya malware tanpa file persisten Ini telah menjadi masalah besar bagi tim keamanan. Kita tidak berurusan dengan virus biasa yang "terkena" saat menghapus file eksekusi dari disk, tetapi dengan ancaman yang hidup di memori, menyalahgunakan alat sistem yang sah, dan, dalam banyak kasus, hampir tidak meninggalkan jejak forensik yang dapat digunakan.

Jenis serangan ini menjadi sangat populer di kalangan kelompok-kelompok canggih dan penjahat siber yang mencari menghindari perangkat lunak antivirus tradisional, mencuri data, dan tetap tersembunyi. selama mungkin. Memahami cara kerjanya, teknik apa yang mereka gunakan, dan bagaimana mendeteksinya adalah kunci bagi setiap organisasi yang ingin menangani keamanan siber dengan serius saat ini.

Apa itu malware tanpa file dan mengapa hal itu menjadi perhatian?

Saat kita bicarakan malware tanpa file Kami tidak mengatakan bahwa tidak ada satu byte pun yang terlibat, tetapi bahwa kode berbahaya tersebut File tersebut tidak disimpan sebagai file eksekusi klasik di disk. dari titik akhir. Sebaliknya, ia berjalan langsung di memori atau dihosting dalam kontainer yang kurang terlihat seperti Registry, WMI, atau tugas terjadwal.

Dalam banyak skenario, penyerang mengandalkan alat yang sudah ada di sistem—PowerShell, WMI, skrip, biner Windows yang ditandatangani—untuk memuat, mendekripsi, atau mengeksekusi muatan langsung ke dalam RAM.Dengan cara ini, hal tersebut menghindari meninggalkan file eksekusi yang jelas yang dapat dideteksi oleh antivirus berbasis tanda tangan dalam pemindaian normal.

Selain itu, sebagian dari rantai serangan dapat bersifat "tanpa file" dan bagian lainnya dapat menggunakan sistem file, jadi kita berbicara tentang lebih dari satu jenis serangan. spektrum teknik tanpa file yaitu dari satu keluarga malware tunggal. Itulah mengapa tidak ada definisi tunggal dan tertutup, melainkan beberapa kategori tergantung pada tingkat dampak yang ditimbulkannya pada mesin.

Karakteristik utama malware tanpa file persisten

Salah satu ciri utama dari ancaman-ancaman ini adalah sifat-sifatnya. eksekusi berpusat pada memoriKode berbahaya dimuat ke dalam RAM dan dieksekusi di dalam proses yang sah, tanpa memerlukan biner berbahaya yang stabil di hard drive. Dalam beberapa kasus, kode tersebut bahkan disuntikkan ke dalam proses sistem yang penting untuk penyamaran yang lebih baik.

Fitur penting lainnya adalah ketekunan yang tidak konvensionalBanyak kampanye tanpa file bersifat sementara dan hilang setelah sistem dihidupkan ulang, tetapi yang lain berhasil diaktifkan kembali menggunakan kunci Autorun Registry, langganan WMI, tugas terjadwal, atau BITS, sehingga artefak yang "terlihat" minimal dan muatan sebenarnya tersimpan kembali di memori setiap kali dijalankan.

Pendekatan ini sangat mengurangi efektivitasnya. deteksi berbasis tanda tanganKarena tidak ada file executable tetap untuk dianalisis, yang sering Anda lihat adalah PowerShell.exe, wscript.exe, atau mshta.exe yang sah, yang diluncurkan dengan parameter mencurigakan atau memuat konten yang disamarkan.

Terakhir, banyak aktor menggabungkan teknik tanpa file dengan teknik lainnya. jenis malware seperti Trojan, ransomware, atau adware, menghasilkan kampanye hibrida yang menggabungkan yang terbaik (dan terburuk) dari kedua dunia: ketekunan dan penyelinapan.

Jenis-jenis ancaman tanpa berkas berdasarkan jejaknya pada sistem.

Beberapa produsen keamanan Mereka mengklasifikasikan ancaman "tanpa berkas" berdasarkan jejak yang ditinggalkannya di komputer. Taksonomi ini membantu kita memahami apa yang kita lihat dan bagaimana cara menyelidikinya.

Tipe I: tidak ada aktivitas file yang terlihat

Di ujung yang paling tersembunyi, kita menemukan malware yang Ia sama sekali tidak menulis apa pun ke sistem file.Kode tersebut tiba, misalnya, melalui paket jaringan yang mengeksploitasi kerentanan (seperti EternalBlue), disuntikkan langsung ke dalam memori, dan dipelihara, misalnya, sebagai pintu belakang di kernel (DoublePulsar adalah kasus yang menjadi contoh).

Dalam skenario lain, infeksi tersebut berada di Firmware BIOS, kartu jaringan, perangkat USB, atau bahkan subsistem di dalam CPU.Ancaman jenis ini dapat bertahan meskipun sistem operasi diinstal ulang, disk diformat, dan bahkan beberapa proses reboot total.

Masalahnya adalah sebagian besar solusi keamanan Mereka tidak memeriksa firmware atau mikrokode.Dan bahkan jika mereka melakukannya, pemulihannya rumit. Untungnya, teknik-teknik ini biasanya hanya digunakan oleh pelaku yang sangat canggih dan bukan hal yang umum dalam serangan massal.

Tipe II: Penggunaan berkas secara tidak langsung

Kelompok kedua didasarkan pada berisi kode berbahaya dalam struktur yang tersimpan di disk.Namun bukan sebagai file eksekusi tradisional, melainkan dalam repositori yang mencampur data sah dan data berbahaya, yang sulit dibersihkan tanpa merusak sistem.

Contoh tipikalnya adalah skrip yang disimpan di dalam Repositori WMI, rantai yang dikaburkan di kunci registri atau tugas terjadwal yang menjalankan perintah berbahaya tanpa biner berbahaya yang jelas. Malware dapat menginstal entri ini langsung dari baris perintah atau skrip dan kemudian tetap hampir tidak terlihat.

Meskipun secara teknis ada berkas yang terlibat (berkas fisik tempat Windows menyimpan repositori WMI atau hive Registri), untuk tujuan praktis kita berbicara tentang aktivitas tanpa berkas karena tidak ada file yang dapat dieksekusi yang jelas yang dapat dikarantina begitu saja.

Tipe III: Membutuhkan file agar berfungsi

Jenis ketiga mencakup ancaman yang Mereka menggunakan berkas, tetapi dengan cara yang kurang efektif untuk pendeteksian.Salah satu contoh yang terkenal adalah Kovter, yang mendaftarkan ekstensi acak di Registry sehingga, ketika sebuah file dengan ekstensi tersebut dibuka, sebuah skrip akan dieksekusi melalui mshta.exe atau biner asli serupa.

File umpan ini berisi data yang tidak relevan, dan kode berbahaya yang sebenarnya. Informasi ini diambil dari kunci Registry lainnya. atau repositori internal. Meskipun ada "sesuatu" di disk, tidak mudah untuk menggunakannya sebagai indikator kompromi yang dapat diandalkan, apalagi sebagai mekanisme pembersihan langsung.

Vektor masuk dan titik infeksi yang paling umum

Selain klasifikasi jejak kaki, penting untuk memahami bagaimana Di sinilah malware tanpa file persisten berperan. Dalam kehidupan sehari-hari, penyerang sering menggabungkan beberapa vektor tergantung pada lingkungan dan targetnya.

Eksploitasi dan kerentanan

Salah satu jalur paling langsung adalah penyalahgunaan kerentanan eksekusi kode jarak jauh (RCE) di browser, plugin (seperti Flash di masa lalu), aplikasi web, atau layanan jaringan (SMB, RDP, dll.). Eksploitasi ini menyuntikkan shellcode yang secara langsung mengunduh atau mendekode muatan berbahaya ke dalam memori.

Dalam model ini, file awal dapat berada di jaringan (tipe eksploitasi) WannaCryatau dalam dokumen yang dibuka pengguna, tetapi Muatan (payload) tidak pernah ditulis sebagai file yang dapat dieksekusi ke disk.: data tersebut didekripsi dan dieksekusi secara langsung dari RAM.

Dokumen dan makro berbahaya

Jalur lain yang banyak dieksploitasi adalah... Dokumen Office dengan makro atau DDEserta file PDF yang dirancang untuk mengeksploitasi kerentanan pembaca. File Word atau Excel yang tampaknya tidak berbahaya mungkin berisi kode VBA yang meluncurkan PowerShell, WMI, atau interpreter lainnya untuk mengunduh kode, menjalankan perintah, atau menyuntikkan shellcode ke dalam proses tepercaya.

Di sini, file di disk "hanyalah" wadah data, sedangkan vektor sebenarnya adalah... mesin skrip internal aplikasiFaktanya, banyak kampanye spam massal telah menyalahgunakan taktik ini untuk melancarkan serangan tanpa file pada jaringan perusahaan.

Naskah dan biner yang sah (Hidup dari Tanah)

Para penyerang menyukai alat-alat yang sudah disediakan oleh Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, dll. Binary yang ditandatangani dan tepercaya ini dapat mengeksekusi skrip, DLL, atau konten jarak jauh tanpa memerlukan "virus.exe" yang mencurigakan.

Dengan mengirimkan kode berbahaya sebagai parameter baris perintahDengan menyematkannya dalam gambar, mengenkripsi dan mendekripsinya di memori, atau menyimpannya di Registry, antivirus hanya akan melihat aktivitas dari proses yang sah, sehingga deteksi yang hanya berdasarkan file menjadi jauh lebih sulit.

Perangkat keras dan firmware yang terkompromikan

Pada level yang lebih rendah lagi, penyerang tingkat lanjut dapat melakukan infiltrasi. Firmware BIOS, kartu jaringan, hard drive, atau bahkan subsistem manajemen CPU (seperti Intel ME atau AMT). Jenis malware ini berjalan di bawah sistem operasi dan dapat mencegat atau memodifikasi lalu lintas tanpa disadari oleh sistem operasi.

Meskipun ini adalah skenario ekstrem, hal ini menggambarkan sejauh mana ancaman tanpa file dapat terjadi. Pertahankan persistensi tanpa menyentuh sistem file OS.dan mengapa alat endpoint klasik kurang efektif dalam kasus-kasus ini.

Cara kerja serangan malware tanpa file persisten.

Pada tingkat alur kerja, serangan tanpa berkas sangat mirip dengan serangan berbasis berkas, tetapi dengan perbedaan yang relevan dalam hal bagaimana muatan (payload) diimplementasikan dan bagaimana akses dipertahankan.

1. Akses awal ke sistem

Semuanya bermula ketika penyerang mendapatkan pijakan pertama: sebuah email phishing dengan tautan atau lampiran berbahaya, eksploitasi terhadap aplikasi yang rentan, kredensial RDP atau VPN yang dicuri, atau bahkan perangkat USB yang telah dimodifikasi.

Pada fase ini, hal-hal berikut digunakan: rekayasa sosialPengalihan berbahaya, kampanye iklan berbahaya, atau serangan Wi-Fi berbahaya untuk mengelabui pengguna agar mengklik tautan yang seharusnya tidak mereka klik atau untuk mengeksploitasi layanan yang terekspos di Internet.

2. Eksekusi kode berbahaya di memori

Setelah entri pertama diperoleh, komponen tanpa file akan dipicu: makro Office meluncurkan PowerShell, eksploitasi menyuntikkan shellcode, langganan WMI memicu skrip, dan sebagainya. Tujuannya adalah Memuat kode berbahaya langsung ke dalam RAM.baik dengan mengunduhnya dari internet atau dengan merekonstruksinya dari data yang tertanam.

Dari situ, malware dapat meningkatkan hak akses, berpindah secara lateral, mencuri kredensial, menyebarkan webshell, menginstal RAT, atau mengenkripsi dataSemua ini didukung oleh proses yang sah untuk mengurangi kebisingan.

3. Membangun ketekunan

Di antara teknik-teknik yang biasa digunakan adalah:

• Kunci Autorun di dalam Registry yang menjalankan perintah atau skrip saat masuk.
• Jadwal Tugas yang menjalankan skrip, biner sah dengan parameter, atau perintah jarak jauh.
• Langganan WMI yang memicu kode ketika peristiwa sistem tertentu terjadi.
• Penggunaan BITS untuk pengunduhan muatan data secara berkala dari server komando dan kontrol.

Dalam beberapa kasus, komponen persistennya minimal dan hanya berfungsi untuk menyuntikkan kembali malware ke dalam memori. setiap kali sistem dimulai atau kondisi tertentu terpenuhi.

4. Tindakan terhadap target dan eksfiltrasi

Dengan keyakinan akan kegigihan, penyerang memfokuskan perhatiannya pada hal yang benar-benar menarik baginya: mencuri informasi, mengenkripsi informasi, memanipulasi sistem, atau melakukan spionase selama berbulan-bulanEksfiltrasi dapat dilakukan melalui HTTPS, DNS, saluran tersembunyi, atau layanan yang sah. Dalam insiden di dunia nyata, mengetahui Apa yang harus dilakukan dalam 24 jam pertama setelah peretasan dapat membuat perbedaan.

Dalam serangan APT, biasanya malware akan tetap berada di dalam sel. diam dan sembunyi-sembunyi untuk jangka waktu yang lama, membangun pintu belakang tambahan untuk memastikan akses bahkan jika sebagian infrastruktur terdeteksi dan dibersihkan.

Kemampuan dan jenis malware yang dapat beroperasi tanpa file.

Hampir semua fungsi berbahaya yang dapat dilakukan oleh malware klasik dapat diimplementasikan dengan mengikuti pendekatan ini. tanpa berkas atau semi-tanpa berkasYang berubah bukanlah tujuannya, melainkan cara kode tersebut diterapkan.

Malware hanya berada di memori.

Kategori ini mencakup muatan yang Mereka hidup semata-mata dalam ingatan proses atau inti dasarnya.Rootkit modern, backdoor canggih, atau spyware dapat masuk ke ruang memori proses yang sah dan tetap berada di sana hingga sistem dihidupkan ulang.

Komponen-komponen ini sangat sulit dilihat dengan alat berbasis disk, dan memaksa penggunaan analisis memori langsung, EDR dengan inspeksi waktu nyata atau kemampuan forensik tingkat lanjut.

Malware berbasis Registri Windows

Teknik lain yang sering digunakan adalah menyimpan kode terenkripsi atau disamarkan dalam kunci Registri dan menggunakan program biner yang sah (seperti PowerShell, MSHTA, atau rundll32) untuk membaca, mendekode, dan mengeksekusinya di memori.

Dropper awal dapat menghancurkan dirinya sendiri setelah menulis ke Registry, sehingga yang tersisa hanyalah campuran data yang tampaknya tidak berbahaya. Mereka mengaktifkan ancaman tersebut setiap kali sistem dinyalakan. atau setiap kali file tertentu dibuka.

Ransomware dan Trojan tanpa file

Pendekatan tanpa berkas tidak bertentangan dengan metode pemuatan yang sangat agresif seperti ransomwareAda kampanye yang mengunduh, mendekripsi, dan mengeksekusi seluruh enkripsi di memori menggunakan PowerShell atau WMI, tanpa meninggalkan file eksekusi ransomware di disk.

Demikian juga, trojan akses jarak jauh (RAT)Keylogger atau pencuri kredensial dapat beroperasi secara semi-tanpa file, memuat modul sesuai permintaan dan menjalankan logika utama dalam proses sistem yang sah.

Perangkat eksploitasi dan kredensial curian

Web exploit kit adalah bagian lain dari teka-teki ini: mereka mendeteksi perangkat lunak yang terinstal, Mereka memilih celah keamanan yang sesuai dan menyuntikkan muatan (payload) langsung ke dalam memori., seringkali tanpa menyimpan apa pun ke disk.

Di sisi lain, penggunaan kredensial yang dicuri Ini adalah vektor yang sangat cocok dengan teknik tanpa file: penyerang melakukan otentikasi sebagai pengguna yang sah dan, dari sana, menyalahgunakan alat administratif bawaan (PowerShell Remoting, WMI, PsExec) untuk menyebarkan skrip dan perintah yang tidak meninggalkan jejak malware klasik.

Mengapa malware tanpa file begitu sulit dideteksi?

Alasan mendasarnya adalah bahwa jenis ancaman ini dirancang secara khusus untuk melewati lapisan pertahanan tradisionalberdasarkan tanda tangan digital, daftar putih, dan pemindaian file berkala.

Jika kode berbahaya tersebut tidak pernah disimpan sebagai file yang dapat dieksekusi di disk, atau jika bersembunyi di dalam wadah campuran seperti WMI, Registry, atau firmware, perangkat lunak antivirus tradisional hanya memiliki sedikit hal untuk dianalisis. Alih-alih "file mencurigakan," yang Anda miliki adalah... proses sah yang berperilaku anomali.

Selain itu, hal ini secara radikal memblokir alat-alat seperti PowerShell, makro Office, atau WMI. Hal ini tidak layak diterapkan di banyak organisasi.Karena hal tersebut sangat penting untuk administrasi, otomatisasi, dan operasional sehari-hari. Hal ini memaksa para pendukungnya untuk bertindak sangat hati-hati.

Beberapa vendor telah mencoba mengkompensasi dengan perbaikan cepat (pemblokiran PowerShell generik, penonaktifan makro total, deteksi khusus cloud, dll.), tetapi langkah-langkah ini biasanya tidak memadai atau terlalu mengganggu untuk bisnis.

Strategi modern untuk mendeteksi dan menghentikan malware tanpa file.

Untuk menghadapi ancaman-ancaman ini, perlu dilakukan lebih dari sekadar memindai file dan mengadopsi pendekatan yang terfokus. perilaku, telemetri waktu nyata, dan visibilitas mendalam dari poin terakhir.

Pemantauan perilaku dan memori

Pendekatan yang efektif melibatkan pengamatan terhadap apa yang sebenarnya dilakukan oleh proses-proses tersebut: perintah apa yang mereka jalankan, sumber daya apa yang mereka akses, koneksi apa yang mereka bangunbagaimana mereka saling berhubungan, dan sebagainya. Meskipun terdapat ribuan varian malware, pola perilaku jahat jauh lebih terbatas. Hal ini juga dapat dilengkapi dengan Deteksi canggih dengan YARA.

Solusi modern menggabungkan telemetri ini dengan analitik dalam memori, heuristik canggih, dan pembelajaran mesin untuk mengidentifikasi rantai serangan, bahkan ketika kode tersebut sangat disamarkan atau belum pernah dilihat sebelumnya.

Penggunaan antarmuka sistem seperti AMSI dan ETW

Windows menawarkan teknologi seperti Antarmuka Pemindaian Antimalware (AMSI) y Pelacakan Peristiwa untuk Windows (ETW) Sumber-sumber ini memungkinkan pemeriksaan skrip dan peristiwa sistem pada tingkat yang sangat rendah. Mengintegrasikan sumber-sumber ini ke dalam solusi keamanan mempermudah deteksi. kode berbahaya sesaat sebelum atau selama eksekusinya.

Selain itu, menganalisis area-area penting—tugas terjadwal, langganan WMI, kunci registri boot, dll.—membantu mengidentifikasi persistensi tanpa file terselubung Hal itu bisa saja luput dari perhatian hanya dengan pemindaian file sederhana.

Perburuan ancaman dan indikator serangan (IoA)

Karena indikator klasik (hash, jalur file) tidak memadai, disarankan untuk mengandalkan indikator serangan (IoA)yang menggambarkan perilaku mencurigakan dan rangkaian tindakan yang sesuai dengan taktik yang dikenal.

Tim pemburu ancaman—baik internal maupun melalui layanan terkelola—dapat secara proaktif mencari pola pergerakan lateral, penyalahgunaan alat bawaan, anomali dalam penggunaan PowerShell atau akses tidak sah ke data sensitif, mendeteksi ancaman tanpa file sebelum memicu bencana.

EDR, XDR, dan SOC 24/7

Platform modern EDR dan XDR (Deteksi dan respons titik akhir pada tingkat yang diperluas) memberikan visibilitas dan korelasi yang dibutuhkan untuk merekonstruksi riwayat lengkap suatu insiden, dari email phishing pertama hingga eksfiltrasi terakhir.

Dikombinasikan dengan SOC (Security Operations Center) yang beroperasi 24/7Hal ini memungkinkan tidak hanya deteksi, tetapi juga mengandung dan memperbaiki secara otomatis Aktivitas berbahaya: isolasi komputer, blokir proses, kembalikan perubahan pada Registry, atau batalkan enkripsi jika memungkinkan.

Teknik malware tanpa file telah mengubah segalanya: sekadar menjalankan pemindaian antivirus dan menghapus file eksekusi yang mencurigakan tidak lagi cukup. Saat ini, pertahanan melibatkan pemahaman bagaimana penyerang mengeksploitasi kerentanan dengan menyembunyikan kode di memori, Registry, WMI, atau firmware, dan menerapkan kombinasi pemantauan perilaku, analisis dalam memori, EDR/XDR, perburuan ancaman, dan praktik terbaik. Kurangi dampaknya secara realistis Serangan yang, sesuai rancangannya, berupaya untuk tidak meninggalkan jejak di tempat yang biasanya dicari oleh solusi tradisional memerlukan strategi holistik dan berkelanjutan. Jika terjadi pelanggaran keamanan, mengetahui Memperbaiki Windows setelah terkena virus serius sangat penting.