«Тұрақты файлдары жоқ зиянды бағдарлама» дегеніміз не және оны тегін құралдармен қалай анықтауға болады

Пайда болуы тұрақты файлдары жоқ зиянды бағдарлама Бұл қауіпсіздік топтары үшін нағыз бас ауруы болды. Біз дискіден орындалатын файлды жойған кезде «ұстап алатын» әдеттегі вируспен емес, жадта сақталатын, заңды жүйелік құралдарды теріс пайдаланатын және көп жағдайда пайдалануға болатын криминалистикалық із қалдырмайтын қауіптермен жұмыс істеп жатырмыз.

Шабуылдың бұл түрі, әсіресе, озық топтар мен киберқылмыскерлер арасында танымал болды дәстүрлі антивирустық бағдарламалық жасақтамадан бас тарту, деректерді ұрлау және жасырын қалу мүмкіндігінше ұзақ уақыт бойы. Олардың қалай жұмыс істейтінін, қандай әдістерді қолданатынын және оларды қалай анықтау керектігін түсіну бүгінде киберқауіпсіздікке байыпты қарағысы келетін кез келген ұйым үшін маңызды.

Файлсыз зиянды бағдарлама дегеніміз не және ол неге соншалықты алаңдаушылық тудырады?

Біз туралы сөйлескен кезде файлсыз зиянды бағдарлама Біз бірде-бір байт қатыспайды деп айтып отырған жоқпыз, бірақ зиянды код Ол дискіде классикалық орындалатын файл ретінде сақталмайды соңғы нүктеден. Оның орнына, ол тікелей жадта жұмыс істейді немесе тізілім, WMI немесе жоспарланған тапсырмалар сияқты көрінбейтін контейнерлерде орналастырылады.

Көптеген сценарийлерде шабуылдаушы жүйеде бұрыннан бар құралдарға - PowerShell, WMI, сценарийлер, қол қойылған Windows екілік файлдарына - сүйенеді. пайдалы жүктемелерді тікелей жедел жадқа жүктеу, шифрын ашу немесе орындауОсылайша, қолтаңбаға негізделген антивирус қалыпты сканерлеу кезінде анықтай алатын айқын орындалатын файлдарды қалдырудан аулақ болады.

Сонымен қатар, шабуыл тізбегінің бір бөлігі «файлсыз» болуы мүмкін, ал екінші бөлігі файлдық жүйені пайдалана алады, сондықтан біз бірнешеу туралы айтып отырмыз. файлсыз әдістердің спектрі бір ғана зиянды бағдарламалар тобына жатады. Сондықтан бірыңғай, жабық анықтама жоқ, керісінше, олардың машинаға әсер ету дәрежесіне байланысты бірнеше санат бар.

Тұрақты файлдары жоқ зиянды бағдарламалардың негізгі сипаттамалары

Бұл қауіптердің негізгі қасиеті - олардың жадқа бағытталған орындауЗиянды код жедел жадқа жүктеледі және қатты дискіде тұрақты зиянды екілік файлды қажет етпей, заңды процестер аясында орындалады. Кейбір жағдайларда, жақсырақ жасыру үшін ол тіпті маңызды жүйелік процестерге енгізіледі.

Тағы бір маңызды ерекшелігі болып табылады дәстүрлі емес табандылықКөптеген файлсыз науқандар тек тұрақсыз және қайта жүктегеннен кейін жоғалып кетеді, бірақ басқалары Registry Autorun кілттерін, WMI жазылымдарын, жоспарланған тапсырмаларды немесе BITS көмегімен қайта белсендіре алады, осылайша «көрінетін» артефакт минималды болады және нақты пайдалы жүктеме әр уақытта жадта сақталады.

Бұл тәсіл тиімділігін айтарлықтай төмендетеді қолтаңбаға негізделген анықтауТалдауға болатын бекітілген орындалатын файл болмағандықтан, сіз көбінесе күдікті параметрлермен іске қосылған немесе түсініксіз мазмұн жүктелген мүлдем заңды PowerShell.exe, wscript.exe немесе mshta.exe файлын көресіз.

Соңында, көптеген актерлер файлсыз әдістерді басқалармен біріктіреді трояндар, ransomware немесе жарнамалық бағдарламалар сияқты зиянды бағдарламалар түрлерінәтижесінде екі әлемнің ең жақсысын (және ең нашарын) біріктіретін гибридті науқандар пайда болады: табандылық пен жасырындық.

Жүйедегі ізіне байланысты файлсыз қауіптердің түрлері

Бірнеше қауіпсіздік өндірушілері Олар «файлсыз» қауіптерді компьютерде қалдыратын ізіне қарай жіктейді. Бұл таксономия бізге не көріп отырғанымызды және оны қалай зерттеу керектігін түсінуге көмектеседі.

I түрі: көрінетін файл әрекеті жоқ

Ең жасырын түрде біз зиянды бағдарламаны табамыз Файл жүйесіне мүлдем ештеңе жазбайдыМысалы, код осалдықты пайдаланатын желілік пакеттер арқылы келеді (мысалы, EternalBlue), тікелей жадқа енгізіледі және, мысалы, ядродағы бэкдор ретінде сақталады (DoublePulsar символикалық жағдай болды).

Басқа жағдайларда инфекция мына жерде болады BIOS микробағдарламасы, желілік карталар, USB құрылғылары немесе тіпті CPU ішіндегі ішкі жүйелерБұл қауіп түрі операциялық жүйені қайта орнатудан, дискіні пішімдеуден және тіпті кейбір толық қайта жүктеулерден аман қалуы мүмкін.

Мәселе мынада, қауіпсіздік шешімдерінің көпшілігі Олар микробағдарламаны немесе микрокодты тексермейдіТіпті егер солай болса да, қалпына келтіру күрделі. Бақытымызға орай, бұл әдістер әдетте өте күрделі актерлерге арналған және жаппай шабуылдарда қалыпты жағдай емес.

II түрі: Файлдарды жанама пайдалану

Екінші топ негізделген дискіде сақталған құрылымдарда зиянды кодты қамтидыБірақ дәстүрлі орындалатын файлдар ретінде емес, заңды және зиянды деректерді араластыратын репозиторийлерде, жүйеге зиян келтірмей тазалау қиын.

Типтік мысалдар - сақталған скрипттер WMI репозиторийі, шатастырылған тізбектер Тіркеу кілттері немесе зиянды екілік файлсыз қауіпті командаларды іске қосатын жоспарланған тапсырмалар. Зиянды бағдарлама бұл жазбаларды тікелей командалық жолдан немесе сценарийден орнатып, содан кейін іс жүзінде көрінбейтін болып қала алады.

Техникалық тұрғыдан алғанда, файлдар (Windows WMI репозиторийін немесе тізілім ұяшығын сақтайтын физикалық файл) болғанымен, практикалық тұрғыдан біз мыналар туралы айтып отырмыз файлсыз әрекет себебі карантинге қоюға болатын айқын орындалатын файл жоқ.

III түрі: Файлдардың жұмыс істеуі қажет

Үшінші түріне қауіптер кіреді Олар файлдарды пайдаланады, бірақ анықтау үшін онша пайдалы емес жолмен.Белгілі мысал - Kovter, ол тізілімде кездейсоқ кеңейтімдерді тіркейді, осылайша сол кеңейтімі бар файл ашылған кезде mshta.exe немесе ұқсас жергілікті екілік файл арқылы сценарий орындалады.

Бұл алдамшы файлдарда маңызды емес деректер және нақты зиянды код бар Ол басқа тізілім кілттерінен алынады немесе ішкі репозиторийлер. Дискіде «бірдеңе» болғанымен, оны ымыраға келудің сенімді көрсеткіші ретінде пайдалану оңай емес, тіпті тікелей тазалау механизмі ретінде де.

Инфекцияның ең көп таралған кіру векторлары және нүктелері

Аяқ ізін жіктеуден басқа, қалай екенін түсіну маңызды Тұрақты файлдары жоқ зиянды бағдарламалар осы жерде рөл атқарады. Күнделікті өмірде шабуылдаушылар қоршаған орта мен нысанаға байланысты бірнеше векторды біріктіреді.

Эксплуатациялар мен осалдықтарды

Ең тікелей жолдардың бірі - теріс пайдалану қашықтан кодты орындау (RCE) осалдықтары браузерлерде, плагиндерде (мысалы, бұрынғы Flash), веб-қосымшаларда немесе желілік қызметтерде (SMB, RDP және т.б.) қолданылады. Эксплойт зиянды жүктемені жадқа тікелей жүктейтін немесе декодтайтын қабық кодын енгізеді.

Бұл модельде бастапқы файл желіде болуы мүмкін (эксплуатация түрі WannaCryнемесе пайдаланушы ашатын құжатта, бірақ Пайдалы жүктеме ешқашан дискіге орындалатын файл ретінде жазылмайды: ол жедел жадтан шифрдан шығарылып, орындалады.

Зиянды құжаттар мен макростар

Тағы бір қатты пайдаланылатын бағыт - Макростар немесе DDE бар кеңсе құжаттарысондай-ақ оқырманның осалдықтарын пайдалануға арналған PDF файлдары. Зиянсыз болып көрінетін Word немесе Excel файлында кодты жүктеу, командаларды орындау немесе сенімді процестерге shell кодын енгізу үшін PowerShell, WMI немесе басқа интерпретаторларды іске қосатын VBA коды болуы мүмкін.

Мұнда дискідегі файл «тек» деректер контейнері болып табылады, ал нақты вектор қолданбаның ішкі скрипт жазу механизміШын мәнінде, көптеген жаппай спам науқандары корпоративтік желілерге файлсыз шабуылдарды орналастыру үшін бұл тактиканы теріс пайдаланды.

Заңды сценарийлер мен екілік файлдар (жерден тыс өмір сүру)

Шабуылдаушылар Windows ұсынатын құралдарды жақсы көреді: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows басқару құралдары, BITS және т.б. Бұл қол қойылған және сенімді екілік файлдар күдікті "virus.exe" файлын қажет етпей сценарийлерді, DLL файлдарын немесе қашықтағы мазмұнды орындай алады.

Зиянды кодты жіберу арқылы командалық жол параметрлеріОны кескіндерге енгізу, жадта шифрлау және декодтау немесе тізілімге сақтау антивирустың тек заңды процестерден ғана әрекетті көретінін қамтамасыз етеді, бұл тек файлдарға негізделген анықтауды әлдеқайда қиындатады.

Аппараттық және микробағдарламалық жасақтама бұзылған

Одан да төмен деңгейде, озық шабуылдаушылар еніп кете алады BIOS микробағдарламасы, желілік карталар, қатты дискілер немесе тіпті CPU басқару ішкі жүйелері (мысалы, Intel ME немесе AMT). Зиянды бағдарламаның бұл түрі операциялық жүйенің астында жұмыс істейді және ОС-тың хабардарлығынсыз трафикті ұстап алуы немесе өзгертуі мүмкін.

Бұл экстремалды сценарий болғанымен, файлсыз қауіптің қаншалықты мүмкін екенін көрсетеді ОС файлдық жүйесіне тимей, тұрақтылықты сақтаужәне неге классикалық соңғы нүкте құралдары бұл жағдайларда жеткіліксіз болады.

Тұрақты файлдарсыз зиянды бағдарлама шабуылы қалай жұмыс істейді

Ағын деңгейінде файлсыз шабуыл файлға негізделген шабуылға өте ұқсас, бірақ тиісті айырмашылықтар пайдалы жүктеме қалай жүзеге асырылатыны және қолжетімділіктің қалай сақталатыны туралы.

1. Жүйеге бастапқы кіру

Бәрі шабуылдаушы бірінші болып нығая бастаған кезде басталады: а зиянды сілтеме немесе қосымшасы бар фишингтік электрондық пошта, осал қолданбаға қарсы жасалған эксплойт, RDP немесе VPN үшін ұрланған тіркелгі деректері немесе тіпті USB құрылғысының бұзылуы.

Бұл кезеңде келесі әдістер қолданылады: әлеуметтік инженерияпайдаланушыны басуға болмайтын жерді басу үшін алдау немесе интернетте көрсетілген қызметтерді пайдалану үшін зиянды қайта бағыттаулар, зиянды жарнама науқандары немесе зиянды Wi-Fi шабуылдары.

2. Жадта зиянды кодтың орындалуы

Алғашқы жазба алынғаннан кейін, файлсыз компонент іске қосылады: Office макросы PowerShell бағдарламасын іске қосады, эксплойт қабықша кодын енгізеді, WMI жазылымы скриптті іске қосады және т.б. Мақсат зиянды кодты тікелей жедел жадқа жүктеуоны интернеттен жүктеу немесе ендірілген деректерден қайта құру арқылы.

Осы жерден зиянды бағдарлама мүмкін артықшылықтарды арттыру, бүйірге жылжыту, тіркелгі деректерін ұрлау, веб-қабықшаларды орналастыру, RAT орнату немесе деректерді шифрлаумұның бәрі шуды азайтудың заңды процестерімен қолдау табады.

3. Табандылықты қалыптастыру

Әдеттегі әдістердің ішінде мыналар:

• Автоматты түрде іске қосу пернелері жүйеге кіру кезінде командаларды немесе сценарийлерді орындайтын тізілімде.
• Жоспарланған тапсырмалар сценарийлерді, параметрлері бар заңды екілік файлдарды немесе қашықтағы командаларды іске қосады.
• WMI жазылымдары белгілі бір жүйелік оқиғалар орын алған кезде іске қосу коды.
• BITS пайдалану командалық және басқару серверлерінен пайдалы жүктемелерді мерзімді түрде жүктеу үшін.

Кейбір жағдайларда тұрақты компонент минималды және тек қызмет етеді зиянды бағдарламаны жадқа қайта енгізу жүйе іске қосылған сайын немесе белгілі бір шарт орындалған сайын.

4. Нысаналарға және эксфильтрацияға қатысты әрекеттер

Шабуылдаушы табандылық танытып, оны шынымен қызықтыратын нәрсеге назар аударады: ақпаратты ұрлау, оны шифрлау, жүйелерді манипуляциялау немесе бірнеше ай бойы тыңшылық жасауЭксфильтрация HTTPS, DNS, жасырын арналар немесе заңды қызметтер арқылы жүзеге асырылуы мүмкін. Нақты әлемдегі оқиғаларда білу Хакингтен кейінгі алғашқы 24 сағат ішінде не істеу керек Бұл барлық айырмашылықты жасай алады.

APT шабуылдарында зиянды бағдарламаның сақталуы жиі кездеседі ұзақ уақыт бойы үнсіз және жасырын, инфрақұрылымның бір бөлігі анықталып, тазартылғанның өзінде кіруді қамтамасыз ету үшін қосымша артқы есіктер салу.

Файлсыз болуы мүмкін зиянды бағдарламалардың мүмкіндіктері мен түрлері

Дәстүрлі зиянды бағдарлама орындай алатын кез келген зиянды функцияны осы тәсілді қолдану арқылы жүзеге асыруға болады файлсыз немесе жартылай файлсызӨзгеретін нәрсе мақсат емес, кодты орналастыру тәсілі.

Зиянды бағдарлама тек жадта сақталады

Бұл санатқа пайдалы жүктемелер кіреді Олар тек процестің немесе ядроның жадында өмір сүреді.Қазіргі заманғы руткиттер, кеңейтілген бэкдорлар немесе тыңшылық бағдарламалар заңды процестің жад кеңістігіне жүктеліп, жүйе қайта іске қосылғанша сол жерде қалуы мүмкін.

Бұл компоненттерді дискіге бағытталған құралдармен көру әсіресе қиын және оларды пайдалануға мәжбүр етеді. тірі жадты талдау, Нақты уақыттағы тексеру немесе кеңейтілген криминалистикалық мүмкіндіктері бар EDR.

Windows тізіліміне негізделген зиянды бағдарлама

Тағы бір қайталанатын әдіс - сақтау тізілім кілттеріндегі шифрланған немесе шатастырылған код және оны жадта оқу, декодтау және орындау үшін заңды екілік файлды (мысалы, PowerShell, MSHTA немесе rundll32) пайдаланыңыз.

Бастапқы дроппер Тізілімге жазғаннан кейін өзін-өзі жойып жіберуі мүмкін, сондықтан тек зиянсыз болып көрінетін деректердің қоспасы қалады Олар жүйе іске қосылған сайын қауіпті іске қосады немесе белгілі бір файл ашылған сайын.

Ransomware және файлсыз трояндар

Файлсыз тәсіл өте агрессивті жүктеу әдістерімен үйлесімсіз емес, мысалы, қорқытыпPowerShell немесе WMI арқылы жадтағы шифрлауды толығымен жүктеп, шифрын шешіп, орындайтын, ransomware орындалатын файлын дискіде қалдырмай-ақ, науқандар бар.

Сол сияқты, қашықтан қатынау трояндары (RATs)Клавиатуралық брондаушылар немесе тіркелгі деректерін ұрлаушылар жартылай файлсыз жұмыс істей алады, модульдерді сұраныс бойынша жүктей алады және негізгі логиканы заңды жүйелік процестерде орналастыра алады.

Пайдалану жинақтары және ұрланған деректер

Веб-эксплойт жинақтары жұмбақтың тағы бір бөлігі: олар орнатылған бағдарламалық жасақтаманы анықтайды, Олар тиісті эксплойтты таңдап, пайдалы жүктемені тікелей жадқа енгізеді., көбінесе дискіге ештеңе сақтамай.

Екінші жағынан, пайдалану ұрланған куәліктер Бұл файлсыз әдістерге өте жақсы сәйкес келетін вектор: шабуылдаушы заңды пайдаланушы ретінде аутентификацияланады және сол жерден зиянды бағдарламалардың классикалық іздерін қалдырмайтын сценарийлер мен командаларды орналастыру үшін жергілікті әкімшілік құралдарды (PowerShell Remoting, WMI, PsExec) теріс пайдаланады.

Неліктен файлсыз зиянды бағдарламаны анықтау соншалықты қиын?

Негізгі себебі, бұл қауіп түрі арнайы жасалған дәстүрлі қорғаныс қабаттарын айналып өтуқолтаңбаларға, ақ тізімдерге және мерзімді файлдарды сканерлеуге негізделген.

Егер зиянды код ешқашан дискіде орындалатын файл ретінде сақталмаса немесе WMI, тізілім немесе микробағдарлама сияқты аралас контейнерлерде жасырынса, дәстүрлі антивирустық бағдарламалық жасақтамада талдауға өте аз нәрсе бар. «Күдікті файлдың» орнына сізде бар нәрсе қалыптан тыс әрекет ететін заңды процестер.

Сонымен қатар, ол PowerShell, Office макростары немесе WMI сияқты құралдарды түбегейлі блоктайды. Ол көптеген ұйымдарда тиімді емесӨйткені олар әкімшілік, автоматтандыру және күнделікті операциялар үшін өте маңызды. Бұл жақтаушыларды өте мұқият болуға мәжбүр етеді.

Кейбір жеткізушілер тез түзетулермен (жалпы PowerShell бұғаттау, макросты толық өшіру, тек бұлтты анықтау және т.б.) өтемақы төлеуге тырысты, бірақ бұл шаралар әдетте жеткіліксіз немесе шамадан тыс бұзылу бизнес үшін.

Файлсыз зиянды бағдарламаларды анықтау және тоқтатудың заманауи стратегиялары

Бұл қауіптерге қарсы тұру үшін файлдарды жай ғана сканерлеуден тыс шығып, мақсатты тәсілді қолдану қажет. мінез-құлық, нақты уақыт режиміндегі телеметрия және терең көріну соңғы нүктеден.

Мінез-құлық және есте сақтау қабілетін бақылау

Тиімді тәсіл процестердің іс жүзінде не істейтінін бақылауды қамтиды: олар қандай командаларды орындайды, қандай ресурстарға қол жеткізеді, қандай байланыстар орнатадыолардың бір-бірімен қалай байланысатыны және т.б. Зиянды бағдарламалардың мыңдаған нұсқалары болғанымен, зиянды мінез-құлық үлгілері әлдеқайда шектеулі. Мұны сонымен қатар ... толықтыруға болады YARA көмегімен кеңейтілген анықтау.

Қазіргі заманғы шешімдер бұл телеметрияны жад ішіндегі аналитикамен, озық эвристикамен және т.б. біріктіреді. автоматты оқыту шабуыл тізбектерін анықтау үшін, тіпті код қатты шатастырылған немесе бұрын-соңды болмаған кезде де.

AMSI және ETW сияқты жүйелік интерфейстерді пайдалану

Windows сияқты технологияларды ұсынады Зиянды бағдарламаларға қарсы сканерлеу интерфейсі (AMSI) y Windows үшін оқиғаларды бақылау (ETW) Бұл дереккөздер жүйелік сценарийлер мен оқиғаларды өте төмен деңгейде тексеруге мүмкіндік береді. Бұл дереккөздерді қауіпсіздік шешімдеріне біріктіру анықтауды жеңілдетеді. зиянды код оны орындау алдында немесе орындау кезінде.

Сонымен қатар, маңызды салаларды — жоспарланған тапсырмаларды, WMI жазылымдарын, жүктеу тізілімінің кілттерін және т.б. талдау анықтауға көмектеседі. жасырын файлсыз тұрақтылық қарапайым файлды сканерлеу арқылы байқалмауы мүмкін.

Қауіпті іздеу және шабуыл көрсеткіштері (IoA)

Классикалық индикаторлар (хэштер, файл жолдары) жетіспейтіндіктен, оларға сүйенген жөн шабуыл көрсеткіштері (IoA), олар белгілі тактикаға сәйкес келетін күдікті мінез-құлық пен әрекеттер тізбегін сипаттайды.

Қауіпті іздеу топтары — ішкі немесе басқарылатын қызметтер арқылы — проактивті түрде іздеу жүргізе алады бүйірлік қозғалыс үлгілері, жергілікті құралдарды теріс пайдалану, PowerShell пайдаланудағы ауытқулар немесе құпия деректерге рұқсатсыз кіру, файлсыз қауіптерді апат тудырмас бұрын анықтау.

EDR, XDR және SOC тәулік бойы

Қазіргі заманғы платформалар EDR және XDR (Соңғы нүктені анықтау және кеңейтілген деңгейде жауап беру) алғашқы фишингтік электрондық поштадан бастап соңғы эксфильтрацияға дейінгі оқиғаның толық тарихын қалпына келтіру үшін қажетті көріну мен корреляцияны қамтамасыз етеді.

Біріктірілген Тәулік бойы жұмыс істейтін SOCОлар тек анықтауға ғана емес, сонымен қатар автоматты түрде сақтау және түзету зиянды әрекет: компьютерлерді оқшаулау, процестерді бұғаттау, тізілімге өзгертулерді қайтару немесе мүмкін болған жағдайда шифрлауды болдырмау.

Файлсыз зиянды бағдарламалар әдістері ойынды өзгертті: жай ғана антивирустық сканерлеуді іске қосып, күдікті орындалатын файлды жою жеткіліксіз. Бүгінгі таңда қорғаныс шабуылдаушылар кодты жадта, тізілімде, WMI-де немесе микробағдарламада жасыру арқылы осалдықтарды қалай пайдаланатынын түсінуді және мінез-құлықты бақылау, жад ішіндегі талдау, EDR/XDR, қауіптерді іздеу және ең жақсы тәжірибелердің тіркесімін қолдануды қамтиды. Әсерді нақты түрде азайтыңыз Дәстүрлі шешімдер көрінетін жерде ешқандай із қалдыруға тырысатын шабуылдар тұтас және үздіксіз стратегияны талап етеді. Ымыраға келген жағдайда, білу Ауыр вирустан кейін Windows жүйесін қалпына келтіріңіз маңызды.