Að bera kennsl á skráarlausar skrár: lykilgreining og vörn

Skráalaus spilliforrit eru í minni og misnota lögmæt verkfæri (PowerShell, WMI, LoLBins), sem gerir það erfitt að greina þau út frá skrám.
Lykilatriðið er að fylgjast með hegðun: ferlasamböndum, skipanalínum, skrásetningu, WMI og neti, með tafarlausum viðbrögðum á endapunktinum.
Lagskipt vörn sameinar túlkunartakmarkanir, makróstjórnun, plástra, MFA og EDR/XDR með öflugri fjarmælingum og SOC allan sólarhringinn.

Árásir sem framkvæma án þess að skilja eftir spor á diski hafa orðið að miklum höfuðverk fyrir mörg öryggisteymi þar sem þær keyra eingöngu í minni og nýta sér lögmæta kerfisferla. Þess vegna er mikilvægt að vita... hvernig á að bera kennsl á skráarlausar skrár og verja sig gegn þeim.

Auk fyrirsagna og þróunar, þá skiptir skilningur á því hvernig þær virka, hvers vegna þær eru svo torsóttar og hvaða merki gera okkur kleift að greina þær máli á milli þess að halda aftur af atviki og sjá eftir broti. Í eftirfarandi línum greinum við vandamálið og leggjum til lausnir.

Hvað er skráarlaus spilliforrit og hvers vegna skiptir það máli?

Skrálaus spilliforrit eru ekki tiltekin tegund, heldur frekar starfsháttur: Forðastu að skrifa keyrsluskrár á disk Það notar þjónustur og tvíundaskrár sem eru þegar til staðar í kerfinu til að keyra skaðlegan kóða. Í stað þess að skilja eftir auðveldlega skannaða skrá misnotar árásarmaðurinn traust tól og hleður rökfræði þeirra beint inn í vinnsluminni.

Þessi nálgun er oft hluti af hugmyndafræðinni um að „lifa af landinu“: árásarmenn nota verkfæri Innbyggð verkfæri eins og PowerShell, WMI, mshta, rundll32 eða skriftuvélar eins og VBScript og JScript til að ná markmiðum sínum með lágmarks hávaða.

Meðal dæmigerðustu eiginleika þess finnum við: keyrsla í óstöðugu minni, lítil eða engin varanleiki á diski, notkun kerfisundirritaðra íhluta og mikil undankomugeta gegn undirskriftarbyggðum vélum.

Þó að margar hleðslur hverfi eftir endurræsingu, láttu ekki blekkjast: andstæðingar geta komið á fót þrautseigju með því að nýta sér skrásetningarlykla, WMI áskriftir eða áætluð verkefni, allt án þess að skilja eftir grunsamlegar tvíundaskrár á disknum.

Erfiðleikar við að greina skrálausa spilliforrit

Af hverju finnst okkur svona erfitt að bera kennsl á skráarlausar skrár?

Fyrsta hindrunin er augljós: Engar óeðlilegar skrár eru til að skoðaHefðbundin vírusvarnarforrit sem byggja á undirskriftum og skráargreiningu hafa lítið svigrúm þegar keyrsla er í gildum ferlum og illgjörn rökfræði er í minni.

Annað er lúmskara: árásarmennirnir fela sig á bak við lögmæt stýrikerfisferliEf PowerShell eða WMI eru notuð daglega til stjórnunar, hvernig er þá hægt að greina á milli eðlilegrar notkunar og illgjarnrar notkunar án samhengis- og hegðunarmælinga?

Þar að auki er ekki mögulegt að loka blindandi fyrir mikilvæg verkfæri. Að slökkva á PowerShell eða Office makróum alls staðar getur truflað rekstur og Það kemur ekki alveg í veg fyrir misnotkunvegna þess að það eru margar aðrar framkvæmdarleiðir og aðferðir til að komast hjá einföldum blokkum.

Til að bæta við öllu saman er skýjabundin eða netþjónsbundin greining of sein til að koma í veg fyrir vandamál. Án rauntíma staðbundinnar yfirsýnar yfir vandamálið... skipanalínur, ferlissambönd og skráningaratburðirUmboðsmaðurinn getur ekki dregið úr skaðlegum vírusum í skyndi sem skilja ekki eftir sig spor á disknum.

Einkarétt efni - Smelltu hér Hvað eru lykilorðslausir reikningar og hvernig breyta þeir stafrænu öryggi?

Hvernig skráarlaus árás virkar frá upphafi til enda

Upphafleg aðgangur á sér venjulega stað með sömu vektorum og alltaf: phishing með Office skjölum sem biðja um að virkja virkt efni, tengla á síður sem hafa orðið fyrir áhrifum, nýta sér veikleika í forritum sem hafa orðið fyrir áhrifum eða misnota lekað innskráningarupplýsingar til að fá aðgang í gegnum RDP eða aðrar þjónustur.

Þegar andstæðingurinn er kominn inn reynir hann að framkvæma án þess að snerta diskinn. Til að gera þetta keðja þeir saman virkni kerfisins: fjölvi eða DDE í skjölum sem ræsa skipanir, nýta sér yfirflæði fyrir RCE eða kalla fram traustar tvíundarskrár sem leyfa að hlaða og keyra kóða í minni.

Ef aðgerðin krefst samfellu er hægt að innleiða varanleika án þess að setja upp nýjar keyrsluskrár: ræsingarfærslur í skrásetningunniWMI áskriftir sem bregðast við kerfisatburðum eða áætluðum verkefnum sem virkja forskriftir við ákveðnar aðstæður.

Þegar framkvæmdin er komin á sinn stað, þá ræður markmiðið eftirfarandi skrefum: færa sig til hliðar, útsíunargögnÞetta felur í sér að stela auðkennum, setja upp RAT, grafa eftir dulritunargjaldmiðlum eða virkja dulkóðun skráa í tilviki ransomware. Allt þetta er gert, þegar mögulegt er, með því að nýta núverandi virkni.

Að fjarlægja sönnunargögn er hluti af áætluninni: með því að skrifa ekki grunsamlegar tvíundaskrár dregur árásarmaðurinn verulega úr fjölda gripa sem þarf að greina. blanda virkni sinni saman við venjulegar atburði kerfisins og eyða tímabundnum ummerkjum þegar það er mögulegt.

bera kennsl á skráarlausar skrár

Tækni og verkfæri sem þau nota venjulega

Vörulistinn er umfangsmikill en snýst næstum alltaf um innfæddar veitur og traustar leiðir. Þetta eru nokkrar af algengustu leiðunum, alltaf með það að markmiði að... hámarka keyrslu í minni og þoka slóðina:

PowerShellÖflug forskriftarforritun, aðgangur að Windows API og sjálfvirkni. Fjölhæfni þess gerir það að vinsælu forriti bæði fyrir stjórnun og móðgandi misnotkun.
WMI (Windows stjórnunartæki)Það gerir þér kleift að spyrjast fyrir um og bregðast við kerfisatburðum, sem og framkvæma aðgerðir bæði á staðnum og utanaðkomandi; gagnlegt fyrir þrautseigja og skipulagning.
VBScript og JScript: vélar sem eru til staðar í mörgum umhverfum og auðvelda framkvæmd rökfræði í gegnum kerfisíhluti.
mshta, rundll32 og aðrar traustar tvíundarskrár: hinir vel þekktu LoLBins sem, þegar þeir eru rétt tengdir, geta keyra kóða án þess að sleppa artifacts augljóst á diski.
Skjöl með virku efniMakróar eða DDE í Office, sem og PDF-lesarar með háþróuðum eiginleikum, geta þjónað sem stökkpallur til að ræsa skipanir í minni.
Windows RegistrySjálfræsingarlyklar eða dulkóðuð/falin geymsla á nýtingarhlutum sem eru virkjaðir af kerfishlutum.
Festing og innspýting í ferli: breyting á minnisrými keyrslna ferla fyrir illgjarn rökfræði hýsingaraðila innan lögmætrar keyrsluskrár.
RekstrarbúnaðirGreining á veikleikum í kerfi fórnarlambsins og notkun sérsniðinna árása til að framkvæma keyrslu án þess að snerta diskinn.

Áskorunin fyrir fyrirtæki (og hvers vegna það er ekki nóg að loka einfaldlega fyrir allt)

Einföld nálgun bendir til róttækra aðgerða: að loka fyrir PowerShell, banna makró, koma í veg fyrir tvíundaskrár eins og rundll32. Raunveruleikinn er flóknari: Mörg þessara verkfæra eru nauðsynleg. fyrir daglegan rekstur upplýsingatækni og sjálfvirkni stjórnsýslu.

Einkarétt efni - Smelltu hér Hvernig á að vita hvort Whatsapp minn er að njósna um mig

Að auki leita árásarmenn að glufum: að keyra skriftuvélina á annan hátt, nota aðrar afritÞú getur pakkað rökfræði inn í myndir eða gripið til minna eftirlits með LoLBins. Brute blocking skapar að lokum núning án þess að veita fullkomna vörn.

Eingöngu netþjóns- eða skýjabundin greining leysir ekki vandamálið heldur. Án öflugrar endapunktsmælingar og án svörun hjá umboðsmanninum sjálfumÁkvörðunin kemur seint og forvarnir eru ekki framkvæmanlegar því við þurfum að bíða eftir utanaðkomandi niðurstöðu.

Á sama tíma hafa markaðsskýrslur lengi bent til mjög umtalsverðs vaxtar á þessu sviði, með hámarki þar sem Tilraunir til að misnota PowerShell næstum tvöfölduðust á stuttum tíma, sem staðfestir að þetta er endurtekin og arðbær aðferð fyrir andstæðinga.

Nútíma uppgötvun: frá skrá til hegðunar

Lykilatriðið er ekki hver framkvæmir, heldur hvernig og hvers vegna. Eftirlit með ferlihegðun og tengsl hennar Það er afgerandi: skipanalína, erfðir ferla, viðkvæm API-köll, útleiðartengingar, breytingar á skrásetningunni og WMI-atburðir.

Þessi aðferð dregur verulega úr möguleikanum á að komast hjá því: jafnvel þótt tvíundarskrárnar breytist, þá árásarmynstur endurtaka sig (forskriftir sem sækja og keyra í minni, misnotkun á LoLBins, köllun túlka, o.s.frv.). Að greina forskriftina, ekki „auðkenni“ skráarinnar, bætir uppgötvunina.

Árangursríkar EDR/XDR kerfi tengja saman merki til að endurskapa alla atvikasöguna og bera kennsl á grunnorsök Í stað þess að kenna ferlinu sem „birtist“ um, tengir þessi frásögn viðhengi, makró, túlka, gagnamagn og viðvarandi virkni til að draga úr öllu flæðinu, ekki bara einangruðum hluta.

Notkun ramma eins og MITER ATT&CK Það hjálpar til við að kortleggja athafnir og tækni sem hafa verið athugaðar (TTP) og leiðbeina ógnarleit í átt að hegðun sem vekur áhuga: framkvæmd, þrautseigju, varnarundanskot, aðgang að skilríkjum, uppgötvun, hliðarhreyfingu og útrýmingu.

Að lokum verður skipulagning á svörun endapunktsins að vera tafarlaus: einangra tækið, lokaferlum sem um ræðir, afturkalla breytingar í skrásetningunni eða verkefnaáætlun og loka fyrir grunsamlegar útleiðartengingar án þess að bíða eftir utanaðkomandi staðfestingum.

Gagnleg fjarmæling: hvað skal skoða og hvernig skal forgangsraða

Til að auka líkur á greiningu án þess að ofmetta kerfið er ráðlegt að forgangsraða merkjum með háu gildi. Sumar heimildir og stýringar sem veita samhengi. mikilvægt fyrir skráarlausa hljóð:

Ítarleg PowerShell-skrá og aðrir túlkar: handritsblokkaskrá, skipanasaga, hlaðnar einingar og AMSI atburðir, þegar þeir eru tiltækir.
WMI-geymslaSkrá og viðvaranir varðandi gerð eða breytingu á atburðasíum, notendum og tenglum, sérstaklega í viðkvæmum nafnrýmum.
Öryggisatburðir og Sysmon: fylgni ferla, myndheilleiki, minnishleðsla, innspýting og stofnun áætlaðra verkefna.
RedÓeðlilegar útleiðartengingar, merkjasendingar, niðurhalsmynstur á gagnamagn og notkun leynilegra rása til útrýmingar.

Sjálfvirkni hjálpar til við að aðgreina hveitið frá hismið: hegðunarbundnar greiningarreglur, leyfislistar fyrir lögmæt stjórnsýsla og auðgun með ógnarupplýsingum takmarkar falskar jákvæðar niðurstöður og flýtir fyrir viðbrögðum.

Forvarnir og minnkun á yfirborði

Engin ein aðgerð er nægjanleg, en lagskipt vörn dregur verulega úr áhættu. Í fyrirbyggjandi aðgerðum standa nokkrar aðferðir upp úr. vektorklipping og gera líf andstæðingsins erfiðara:

Makróstjórnun: slökkva sjálfkrafa og leyfa aðeins þegar algerlega nauðsynlegt er og undirritað; nákvæmar stýringar í gegnum hópstefnur.
Takmörkun á túlkum og LoLBinsNota AppLocker/WDAC eða sambærilegt, stjórna forskriftum og keyrslusniðmátum með ítarlegri skráningu.
Viðgerðir og úrbæturLokaðu nýtanlegum veikleikum og virkjaðu minnisvarða sem takmarka RCE og innspýtingar.
Öflug auðkenningÚtlendingastofnun og meginreglur um núll traust til að stemma stigu við misnotkun skilríkja og draga úr hliðarhreyfingu.
Meðvitund og hermirVerkleg þjálfun í netveiðum, skjölum með virku efni og merkjum um óeðlilega keyrslu.

Einkarétt efni - Smelltu hér Hvernig á að vernda Shopee reikninginn þinn fyrir tölvuþrjótum?

Þessum ráðstöfunum fylgja lausnir sem greina umferð og minni til að bera kennsl á illgjarn hegðun í rauntíma, sem og skiptingarstefnur og lágmarksréttindi til að hefta áhrifin þegar eitthvað slæpur í gegn.

Þjónusta og aðferðir sem virka

Í umhverfum með mörgum endapunktum og mikilli gagnrýni, stýrð uppgötvunar- og viðbragðsþjónusta með Eftirlit allan sólarhringinn Þau hafa sannað sig sem hraðari viðbrögðum við atvikum. Samsetning SOC, EMDR/MDR og EDR/XDR býður upp á sérfræðiþekkingu, öfluga fjarmælingu og samhæfða viðbragðsgetu.

Áhrifaríkustu þjónustuaðilarnir hafa innleitt breytinguna í átt að hegðun: léttvægir umboðsmenn sem tengja virkni á kjarnastigiÞeir endurskapa heildarárásarsögu og beita sjálfvirkum mildandi aðgerðum þegar þeir greina illgjarnar keðjur, með möguleika á að afturkalla breytingar.

Samhliða því samþætta endapunktvarnarsvítur og XDR-pallar miðlæga yfirsýn og ógnarstjórnun á vinnustöðvum, netþjónum, auðkennum, tölvupósti og skýinu; markmiðið er að taka í sundur árásarkeðjan óháð því hvort um skrár er að ræða eða ekki.

Hagnýtar vísbendingar um ógnarleit

Ef þú þarft að forgangsraða leitartilgátum, einbeittu þér að því að sameina merki: skrifstofuferli sem ræsir túlk með óvenjulegum breytum, Stofnun WMI áskriftar Eftir að skjal hefur verið opnað verða breytingar á ræsilyklum og síðan tengingar við lélegt orðspor.

Önnur áhrifarík aðferð er að reiða sig á grunnlínur úr umhverfi þínu: hvað er eðlilegt á netþjónum þínum og vinnustöðvum? Einhver frávik (nýlega undirritaðar tvíundarskrár sem birtast sem túlkunarforeldrar, skyndilegar hækkanir á afköstum (af forskriftum, skipanalínum með ruglingi) verðskuldar rannsókn.

Að lokum, ekki gleyma minninu: ef þú ert með verkfæri sem skoða keyrslusvæði eða taka skyndimyndir, niðurstöðurnar í vinnsluminni Þau geta verið endanleg sönnun fyrir skráalausri virkni, sérstaklega þegar engar villur eru í skráakerfinu.

Samsetning þessara aðferða, tækni og stjórntækja útrýmir ekki ógninni, en hún setur þig í betri stöðu til að greina hana í tæka tíð. skera keðjuna og draga úr áhrifunum.

Þegar öllu þessu er beitt skynsamlega — endapunktarík fjarmæling, hegðunarfylgni, sjálfvirk svörun og sértæk herðing — missir skráarlausa aðferðin mikið af kostum sínum. Og þótt hún muni halda áfram að þróast, áherslan á hegðun Frekar en í skrám býður það upp á traustan grunn fyrir vörn þína til að þróast með því.

Daníel Terrasa

Ritstjóri sérhæfður í tækni- og netmálum með meira en tíu ára reynslu í mismunandi stafrænum miðlum. Ég hef starfað sem ritstjóri og efnishöfundur fyrir rafræn viðskipti, samskipti, markaðssetningu á netinu og auglýsingafyrirtæki. Ég hef einnig skrifað á vefsíður hagfræði, fjármála og annarra geira. Vinnan mín er líka ástríða mín. Nú, í gegnum greinar mínar í Tecnobits, Ég reyni að kanna allar fréttir og ný tækifæri sem tækniheimurinn býður okkur á hverjum degi til að bæta líf okkar.