Hvað er „spilliforrit án varanlegra skráa“ og hvernig á að greina það með ókeypis tólum

Útlitið á spilliforrit án varanlegra skráa Þetta hefur verið alvöru höfuðverkur fyrir öryggisteymi. Við erum ekki að fást við dæmigerða veiruna sem maður „grípur“ þegar maður eyðir keyrsluskrá af diski, heldur við ógnir sem lifa í minni, misnota lögmæt kerfistól og skilja í mörgum tilfellum eftir sig varla nein nothæf réttarmeinafræðileg spor.

Þessi tegund árása hefur notið mikilla vinsælda meðal háþróaðra hópa og netglæpamanna sem leitast við að forðast hefðbundinn vírusvarnarhugbúnað, stela gögnum og halda sér falnum eins lengi og mögulegt er. Að skilja hvernig þau virka, hvaða aðferðir þau nota og hvernig á að greina þau er lykilatriði fyrir allar stofnanir sem vilja taka netöryggi alvarlega í dag.

Hvað er skráarlaus spilliforrit og hvers vegna er það svona áhyggjuefni?

Þegar við tölum um skráarlaus spilliforrit Við erum ekki að segja að ekki einn einasta bæti sé um að ræða, heldur að skaðlegi kóðinn Það er ekki geymt sem hefðbundin keyrsluskrá á diski. frá endapunktinum. Í staðinn keyrir það beint í minni eða er hýst í minna sýnilegum ílátum eins og skrásetningunni, WMI eða áætluðum verkefnum.

Í mörgum tilfellum treystir árásaraðilinn á verkfæri sem eru þegar til staðar í kerfinu — PowerShell, WMI, forskriftir, undirritaðar Windows tvíundaskrár — til að ... hlaða, afkóða eða keyra gagnamagn beint í vinnsluminniÞannig kemur í veg fyrir að augljósar keyrsluskrár séu eftir sem undirskriftarbundið vírusvarnarforrit gæti greint í venjulegri skönnun.

Þar að auki getur hluti árásarkeðjunnar verið „skráarlaus“ og annar hluti getur notað skráarkerfið, þannig að við erum að tala um fleiri en eitt. úrval af skrálausum aðferðum að tilheyra einni fjölskyldu spilliforrita. Þess vegna er ekki til ein, lokuð skilgreining, heldur nokkrir flokkar eftir því hversu mikil áhrif þau hafa á vélina.

Helstu einkenni spilliforrita án varanlegra skráa

Lykileiginleiki þessara ógna er að þær minnismiðuð framkvæmdIllgjarn kóði er hlaðinn inn í vinnsluminni og keyrður innan lögmætra ferla, án þess að þörf sé á stöðugri, illgjarnri tvíundarskrá á harða diskinum. Í sumum tilfellum er honum jafnvel sprautað inn í mikilvæga kerfisferla til að fela hann betur.

Annar mikilvægur eiginleiki er óhefðbundin þrautseigjaMargar skráarlausar herferðir eru algerlega óstöðugar og hverfa eftir endurræsingu, en aðrar ná að endurvirkjast með því að nota Registry Autorun lykla, WMI áskriftir, áætluð verkefni eða BITS, þannig að „sýnilegur“ gripur er í lágmarki og raunverulegur farmur lifir af í minninu í hvert skipti.

Þessi aðferð dregur verulega úr virkni undirskriftartengd uppgötvunÞar sem engin föst keyrsluskrá er til að greina, þá sérðu oft fullkomlega lögmæta PowerShell.exe, wscript.exe eða mshta.exe, ræsta með grunsamlegum breytum eða hleðst inn dulbúnu efni.

Að lokum sameina margir leikarar skrálausar aðferðir við aðrar tegundir af spilliforritum eins og Trójuhestum, ransomware eða auglýsingahugbúnaði, sem leiðir til blendingaherferða sem blanda saman því besta (og versta) úr báðum heimum: þrautseigju og laumuspili.

Tegundir skrálausra ógna eftir því hvernig þær virka á kerfinu

Nokkrir framleiðendur öryggiskerfa Þeir flokka „skráarlausar“ ógnir eftir því hvaða spor þær skilja eftir á tölvunni. Þessi flokkun hjálpar okkur að skilja hvað við sjáum og hvernig á að rannsaka það.

Tegund I: engin sýnileg skráarvirkni

Í laumulegustu endanum finnum við spilliforrit sem Það skrifar alls ekkert í skráarkerfiðKóðinn berst til dæmis í gegnum netpakka sem nýta sér veikleika (eins og EternalBlue), er sprautað beint inn í minni og er til dæmis viðhaldið sem bakdyr í kjarnanum (DoublePulsar var táknrænt dæmi).

Í öðrum tilfellum er sýkingin staðsett í BIOS vélbúnaðar, netkort, USB tæki eða jafnvel undirkerfi innan örgjörvansÞessi tegund ógn getur lifað af enduruppsetningar stýrikerfa, forsniðningu diska og jafnvel sumar algjörar endurræsingar.

Vandamálið er að flestar öryggislausnir Þeir skoða ekki vélbúnaðarforrit eða örkóðaOg jafnvel þótt svo sé, þá er úrbætur flóknar. Sem betur fer eru þessar aðferðir yfirleitt eingöngu ætlaðar mjög háþróuðum aðilum og eru ekki normið í fjöldaárásum.

Tegund II: Óbein notkun skráa

Annar hópur byggir á innihalda skaðlegan kóða í uppbyggingu sem geymd er á diskiEn ekki sem hefðbundnar keyrsluskrár, heldur í gagnageymslum sem blanda saman lögmætum og illgjörnum gögnum, sem erfitt er að hreinsa án þess að skaða kerfið.

Dæmigert dæmi eru forskriftir sem eru geymdar í WMI-geymsla, dulbúnar keðjur í Skráningarlyklar eða áætlað verkefni sem ræsa hættulegar skipanir án skýrrar, skaðlegrar tvíundarskráar. Spilliforrit geta sett þessar færslur beint upp úr skipanalínu eða handriti og síðan verið nánast ósýnileg.

Þó að tæknilega séð séu skrár í spilinu (þau efnislegu skrána þar sem Windows geymir WMI geymsluna eða skrásetningarbíkina), þá erum við í reynd að tala um skráarlaus virkni vegna þess að það er engin augljós keyrsluskrá sem hægt er að setja einfaldlega í sóttkví.

Tegund III: Krefst skráa til að virka

Þriðja gerðin inniheldur ógnir sem Þeir nota skrár, en á þann hátt sem er ekki mjög gagnlegur til uppgötvunar.Þekkt dæmi er Kovter, sem skráir handahófskenndar viðbætur í skrásetningunni þannig að þegar skrá með þeirri viðbætur er opnuð er forskrift keyrð í gegnum mshta.exe eða svipaða innbyggða tvíundarskrá.

Þessar tálbeituskrár innihalda óviðkomandi gögn og raunverulegan skaðlegan kóða Það er sótt úr öðrum skráningarlyklum eða innri geymslur. Þó að „eitthvað“ sé á disknum er ekki auðvelt að nota það sem áreiðanlega vísbendingu um að gögn séu í hættu, hvað þá sem beinan hreinsunarbúnað.

Algengustu smitleiðir og smitstaðir

Auk flokkunar fótspora er mikilvægt að skilja hvernig Þetta er þar sem spilliforrit án varanlegra skráa koma við sögu. Í daglegu lífi sameina árásarmenn oft nokkrar vírusar eftir umhverfi og skotmarki.

Misnotkun og veikleikar

Ein beinasta leiðin er misnotkun á Öryggisbrellur í fjarstýrðri kóðaframkvæmd (RCE) í vöfrum, viðbótum (eins og Flash áður fyrr), vefforritum eða netþjónustum (SMB, RDP o.s.frv.). Nýtingin sprautar inn skelkóða sem hleður niður eða afkóðar skaðlegan farm beint í minni.

Í þessari gerð getur upphafsskráin verið á netkerfinu (nýtingartegund WannaCryeða í skjali sem notandinn opnar, en Notkunarskráin er aldrei skrifuð sem keyrsluskrá á disk: það er afkóðað og keyrt samstundis úr vinnsluminni.

Illgjarn skjöl og fjölvi

Önnur leið sem mikið er nýtt er Office skjöl með makróum eða DDEsem og PDF skjöl sem eru hönnuð til að nýta sér veikleika lesenda. Word- eða Excel-skrá sem virðist skaðlaus gæti innihaldið VBA kóða sem ræsir PowerShell, WMI eða aðra túlka til að hlaða niður kóða, framkvæma skipanir eða sprauta skelkóða inn í traust ferli.

Hér er skráin á disknum „aðeins“ gagnaílát, en raunverulegi vektorinn er innri skriftuvél forritsinsReyndar hafa margar fjöldapóstsherferðir misnotað þessa aðferð til að beita skráarlausum árásum á fyrirtækjanet.

Lögmæt handrit og tvíundarskrár (Að lifa af landinu)

Árásarmenn elska verkfærin sem Windows býður nú þegar upp á: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, o.s.frv. Þessar undirrituðu og traustu tvíundarskrár geta keyrt forskriftir, DLL-skrár eða fjartengd efni án þess að þörf sé á grunsamlegu „virus.exe“ skránni.

Með því að senda skaðlegan kóða sem skipanalínubreyturAð fella það inn í myndir, dulkóða og afkóða það í minni eða geyma það í skrásetningunni, tryggir að vírusvarnarforritið sjái aðeins virkni frá lögmætum ferlum, sem gerir greiningu byggða eingöngu á skrám mun erfiðari.

Skemmdur vélbúnaður og vélbúnaðar

Á enn lægra stigi geta háþróaðir árásarmenn komist inn í BIOS vélbúnaðar, netkort, harðir diskar eða jafnvel undirkerfi fyrir örgjörvastjórnun (eins og Intel ME eða AMT). Þessi tegund spilliforrita keyrir undir stýrikerfinu og getur hlerað eða breytt umferð án þess að stýrikerfið viti af því.

Þótt þetta sé öfgafullt atburðarás, þá sýnir það hversu mikið skráarlaus ógn getur... Haltu áfram að vera stöðugur án þess að snerta skráarkerfið í stýrikerfinuog hvers vegna hefðbundin endapunktaverkfæri duga ekki í þessum tilfellum.

Hvernig spilliforritaárás án varanlegra skráa virkar

Á flæðisstigi er skráarlaus árás nokkuð svipuð skráarbundinni árás, en með viðeigandi munur í því hvernig farmurinn er útfærður og hvernig aðgangur er viðhaldinn.

1. Upphafleg aðgangur að kerfinu

Þetta byrjar allt þegar árásarmaðurinn nær fyrsta fótfestu: a netveiðipóstur með skaðlegum tengli eða viðhengi, nýting á viðkvæmt forrit, stolnar innskráningarupplýsingar fyrir RDP eða VPN, eða jafnvel USB-tæki sem hefur verið átt við.

Í þessum áfanga er eftirfarandi notað: félagsverkfræðiIllgjarnar tilvísanir, skaðlegar auglýsingaherferðir eða illgjarnar Wi-Fi árásir til að blekkja notandann til að smella þar sem hann ætti ekki að smella eða til að nýta sér þjónustu sem er afhjúpuð á Netinu.

2. Keyrsla illgjarns kóða í minni

Þegar fyrsta færslan er komin í gagnið er skráarlausi íhluturinn virkjaður: Office makró ræsir PowerShell, nýting sprautar inn skelkóða, WMI áskrift virkjar forskrift o.s.frv. Markmiðið er hlaða skaðlegum kóða beint inn í vinnsluminniannað hvort með því að hlaða því niður af internetinu eða með því að endurbyggja það úr innbyggðum gögnum.

Þaðan getur spilliforritið auka réttindi, færa sig lárétt, stela innskráningarupplýsingum, dreifa vefskeljum, setja upp RAT-kerfi eða dulkóða gögnAllt þetta er stutt af lögmætum ferlum til að draga úr hávaða.

3. Að koma á þrautseigju

Meðal hefðbundinna aðferða eru:

• Sjálfkeyrslulyklar í skrásetningunni sem keyra skipanir eða forskriftir við innskráningu.
• Áætluð verkefni sem ræsa forskriftir, lögmætar tvíundarskrár með breytum eða fjarstýrðar skipanir.
• WMI áskriftir sem virkja kóða þegar ákveðnir kerfisatburðir eiga sér stað.
• Notkun BITS fyrir reglubundið niðurhal á gagnamagn frá stjórn- og stjórnþjónum.

Í tilfellum er viðvarandi þátturinn í lágmarki og þjónar aðeins til að setja spilliforritið aftur inn í minni í hvert skipti sem kerfið ræsist eða ákveðið skilyrði er uppfyllt.

4. Aðgerðir gegn skotmörkum og útrýmingu

Með þrautseigju tryggð einbeitir árásarmaðurinn sér að því sem raunverulega vekur áhuga hans: að stela upplýsingum, dulkóða þær, stjórna kerfum eða njósna í marga mánuðiHægt er að nota HTTPS, DNS, leynilegar rásir eða lögmætar þjónustur til að komast inn í netið. Í raunverulegum atvikum er mikilvægt að vita Hvað á að gera fyrstu 24 klukkustundirnar eftir tölvuárás Það getur skipt öllu máli.

Í APT árásum er algengt að spilliforritið haldist eftir hljóðlátt og laumulegt í langan tíma, að byggja viðbótar bakdyr til að tryggja aðgang jafnvel þótt hluti af innviðunum sé greindur og hreinsaður.

Eiginleikar og gerðir spilliforrita sem geta verið skráarlaus

Nánast hvaða skaðlega virkni sem hefðbundin spilliforrit geta framkvæmt er hægt að útfæra með þessari aðferð. skráarlaus eða hálfskráarlausÞað sem breytist er ekki markmiðið, heldur hvernig kóðinn er notaður.

Spilliforrit sem eru aðeins geymd í minni

Þessi flokkur inniheldur farm sem Þau lifa eingöngu í minni ferlisins eða kjarnans.Nútímaleg rótarsett, háþróaðar bakdyr eða njósnahugbúnaður geta hlaðist inn í minni lögmæts ferils og verið þar þar til kerfið er endurræst.

Þessir íhlutir eru sérstaklega erfiðir að sjá með diskatengdum verkfærum og neyða notkun á greining á lifandi minni, EDR með rauntímaskoðun eða háþróaðri réttarlæknisfræðilegri getu.

Spilliforrit sem byggja á Windows-skránni

Önnur endurtekin aðferð er að geyma dulkóðaður eða dulkóðaður kóði í skráningarlyklum og nota lögmæta tvíundarskrá (eins og PowerShell, MSHTA eða rundll32) til að lesa, afkóða og keyra hana í minni.

Upphaflega dropateljarinn getur eyðilagt sig eftir að hafa skrifað í skrásetninguna, þannig að allt sem eftir er er blanda af sýnilega skaðlausum gögnum sem Þeir virkja ógnina í hvert skipti sem kerfið ræsist eða í hvert skipti sem tiltekin skrá er opnuð.

Ransomware og skráarlausir Tróverjar

Skráarlaus aðferð er ekki ósamhæf mjög árásargjarnum hleðsluaðferðum eins og ransomwareÞað eru til herferðir sem hlaða niður, afkóða og framkvæma alla dulkóðunina í minni með PowerShell eða WMI, án þess að skilja eftir keyrsluskrá ransomware á diski.

Sömuleiðis Trójuhestar með fjaraðgangi (RAT)Lyklaskráningarforrit eða skilríkjaþjófar geta starfað á hálfgerðan skráarlausan hátt, hlaðið inn einingum eftir þörfum og hýst aðalrökfræðina í lögmætum kerfisferlum.

Misnotkunarsett og stolnar persónuskilríki

Vefnotkunarbúnaðir eru annar hluti af púsluspilinu: þeir greina uppsettan hugbúnað, Þeir velja viðeigandi nýtingu og sprauta gagnamagninu beint inn í minnið., oft án þess að vista nokkuð á diskinn.

Á hinn bóginn er notkun á stolnar persónuskilríki Þetta er vektor sem passar mjög vel við skráalausar aðferðir: árásarmaðurinn staðfestir sig sem lögmætur notandi og misnotar þaðan innbyggð stjórnunartól (PowerShell Remoting, WMI, PsExec) til að dreifa forskriftum og skipunum sem skilja ekki eftir sig hefðbundin ummerki um spilliforrit.

Af hverju er svona erfitt að greina skrálaus spilliforrit?

Undirliggjandi ástæðan er sú að þessi tegund ógnunar er sérstaklega hönnuð til að komast hjá hefðbundnum varnarlögumbyggt á undirskriftum, hvítlistum og reglubundnum skráaskönnunum.

Ef skaðlegi kóðinn er aldrei vistaður sem keyrsluskrá á diski, eða ef hann felur sig í blönduðum ílátum eins og WMI, skrásetningunni eða vélbúnaðarhugbúnaði, þá hefur hefðbundin vírusvarnarhugbúnaður mjög lítið til að greina. Í stað „grunsamlegrar skráar“ hefurðu... lögmæt ferli sem haga sér óeðlilega.

Þar að auki lokar það róttækt fyrir verkfæri eins og PowerShell, Office makró eða WMI. Það er ekki raunhæft í mörgum stofnunumVegna þess að þau eru nauðsynleg fyrir stjórnun, sjálfvirkni og daglegan rekstur. Þetta neyðir talsmenn til að stíga mjög varlega.

Sumir framleiðendur hafa reynt að bæta upp fyrir þetta með skjótum lausnum (almennri PowerShell-blokkun, algjörri óvirkjun á makróum, eingöngu uppgötvun í skýinu o.s.frv.), en þessar aðgerðir eru venjulega... ófullnægjandi eða óhóflega truflandi fyrir viðskipti.

Nútímalegar aðferðir til að greina og stöðva skrálausa spilliforrit

Til að takast á við þessar ógnir er nauðsynlegt að fara lengra en að einfaldlega skanna skrár og tileinka sér markvissa nálgun. hegðun, rauntíma fjarmælingar og djúp sýnileiki af lokaatriðinu.

Hegðunar- og minniseftirlit

Árangursrík aðferð felst í því að fylgjast með því hvað ferlarnir gera í raun og veru: hvaða skipanir þeir framkvæma, hvaða auðlindir þeir fá aðgang að, hvaða tengingar þeir koma áhvernig þau tengjast hvert öðru, o.s.frv. Þó að þúsundir afbrigða af spilliforritum séu til, eru illgjarn hegðunarmynstur mun takmarkaðri. Þetta má einnig bæta við með Ítarleg greining með YARA.

Nútímalausnir sameina þessa fjarmælingu með greiningum í minni, háþróaðri vísbendingafræði og vélanám til að bera kennsl á árásarkeðjur, jafnvel þegar kóðinn er mjög dulbúinn eða hefur aldrei sést áður.

Notkun kerfisviðmóta eins og AMSI og ETW

Windows býður upp á tækni eins og Viðmót fyrir skönnun gegn spilliforritum (AMSI) y Atburðarrakningar fyrir Windows (ETW) Þessar heimildir gera kleift að skoða kerfisskriftur og atburði á mjög lágu stigi. Að samþætta þessar heimildir í öryggislausnir auðveldar uppgötvun. Illgjarn kóði rétt fyrir eða á meðan hann er keyrður.

Að auki hjálpar greining á mikilvægum sviðum — áætluðum verkefnum, WMI áskriftum, ræsiskráarlyklum o.s.frv. — til að bera kennsl á leynileg skráarlaus þrautseigja sem gæti farið fram hjá neinum með einfaldri skráarskönnun.

Ógnaleit og vísbendingar um árás (IoA)

Þar sem hefðbundnir vísar (t.d. hassar, skráarslóðir) eru ekki í lagi er ráðlegt að reiða sig á vísbendingar um árás (IoA), sem lýsa grunsamlegri hegðun og aðgerðaröð sem passar við þekktar aðferðir.

Ógnaleitarteymi — innri eða í gegnum stýrða þjónustu — geta leitað fyrirbyggjandi hliðarhreyfingarmynstur, misnotkun á innfæddum verkfærum, frávik í notkun PowerShell eða óheimilan aðgang að viðkvæmum gögnum, sem greinir skráarlausar ógnir áður en þær valda hamförum.

EDR, XDR og SOC allan sólarhringinn

Nútímalegir pallar EDR og XDR (Greining og svörun endapunkta á útvíkkaðri gagnagrunni) veita þá yfirsýn og fylgni sem þarf til að endurskapa alla sögu atviks, allt frá fyrsta netveiðatölvupóstinum til lokaúttektarinnar.

Sameinað með SOC í notkun allan sólarhringinnÞau leyfa ekki aðeins uppgötvun heldur einnig innihalda og bæta úr sjálfkrafa Illgjarn athæfi: einangra tölvur, loka fyrir ferla, afturkalla breytingar á skrásetningunni eða afturkalla dulkóðun þegar það er mögulegt.

Aðferðir við spilliforrit án skráar hafa gjörbreytt öllu: það er ekki lengur nóg að keyra vírusvarnarforrit og eyða grunsamlegum keyrsluskrám. Í dag felst vörn í því að skilja hvernig árásarmenn nýta sér veikleika með því að fela kóða í minni, skrásetningunni, WMI eða vélbúnaði og beita blöndu af hegðunarvöktun, greiningu í minni, EDR/XDR, ógnarleit og bestu starfsvenjum. Dragðu raunverulega úr áhrifum Árásir sem, með það að markmiði að skilja ekki eftir spor þar sem hefðbundnari lausnir leita, krefjast heildrænnar og áframhaldandi stefnu. Ef málamiðlun er nauðsynlegt að vita Gera við Windows eftir alvarlegan vírus er nauðsynlegur.