파일 없는 파일 식별: 메모리에서 맬웨어를 감지하고 차단하기 위한 완벽한 가이드

디스크에 흔적을 남기지 않고 작동하는 공격은 메모리에서 완전히 실행되고 합법적인 시스템 프로세스를 악용하기 때문에 많은 보안 팀에게 큰 골칫거리가 되었습니다. 따라서 다음을 아는 것이 중요합니다. 파일리스 파일을 식별하는 방법 그리고 그들에 대항해 자신을 방어합니다.

헤드라인과 트렌드를 넘어, 이러한 공격의 작동 방식, 그토록 포착하기 어려운 이유, 그리고 어떤 징후를 통해 이를 감지할 수 있는지 이해하는 것이 사고를 봉쇄하느냐, 아니면 침해를 후회하느냐의 차이를 만듭니다. 다음 글에서는 이 문제를 분석하고 제안합니다. 솔루션.

파일리스 맬웨어란 무엇이고 왜 중요한가요?

 

파일리스 맬웨어는 특정 제품군이 아니라 운영 방식입니다. 실행 파일을 디스크에 쓰지 마세요 시스템에 이미 존재하는 서비스와 바이너리를 사용하여 악성 코드를 실행합니다. 공격자는 쉽게 검사할 수 있는 파일을 남기는 대신, 신뢰할 수 있는 유틸리티를 악용하여 해당 로직을 RAM에 직접 로드합니다.

이 접근 방식은 종종 '토지에서 생활하기' 철학에 포함됩니다. 공격자는 도구를 사용합니다. PowerShell, WMI, mshta, rundll32와 같은 기본 도구 또는 VBScript 및 JScript와 같은 스크립팅 엔진을 사용하여 최소한의 노이즈로 목표를 달성합니다.

가장 대표적인 특징은 다음과 같습니다. 휘발성 메모리에서 실행디스크에 지속성이 거의 없거나 전혀 없으며, 시스템 서명 구성 요소를 사용하고 서명 기반 엔진에 대한 높은 회피 용량을 제공합니다.

재부팅 후 많은 페이로드가 사라지지만 속지 마세요. 적대자들은 지속성을 확립할 수 있습니다 레지스트리 키, WMI 구독 또는 예약된 작업을 활용하여 디스크에 의심스러운 바이너리를 남기지 않습니다.

왜 파일 없는 파일을 식별하는 것이 그렇게 어려울까요?

첫 번째 장벽은 분명합니다. 검사할 비정상적인 파일이 없습니다.서명과 파일 분석에 기반한 기존의 바이러스 백신 프로그램은 실행이 유효한 프로세스에 있고 악성 논리가 메모리에 있는 경우 기동의 여지가 거의 없습니다.

두 번째는 더 미묘합니다. 공격자는 자신을 위장합니다. 합법적인 운영 체제 프로세스PowerShell이나 WMI를 관리 목적으로 매일 사용하는 경우, 컨텍스트와 행동 원격 측정 없이 정상적인 사용과 악의적인 사용을 어떻게 구별할 수 있을까요?

더욱이, 중요한 도구를 맹목적으로 차단하는 것은 불가능합니다. PowerShell이나 Office 매크로를 전반적으로 비활성화하면 운영에 차질이 생길 수 있습니다. 그것은 남용을 완전히 방지하지 못합니다.간단한 블록을 우회하기 위한 여러 가지 대체 실행 경로와 기술이 있기 때문입니다.

더욱이, 클라우드 기반 또는 서버 측 감지만으로는 문제를 예방하기에는 너무 늦습니다. 문제에 대한 실시간 로컬 가시성이 없다면... 명령줄, 프로세스 관계 및 로그 이벤트에이전트는 디스크에 흔적을 남기지 않는 악성 흐름을 즉시 완화할 수 없습니다.

파일리스 공격이 처음부터 끝까지 작동하는 방식

초기 접근은 일반적으로 항상 그렇듯이 동일한 벡터로 발생합니다. 사무실 문서 피싱 RDP나 다른 서비스를 통해 액세스하기 위해 활성 콘텐츠, 손상된 사이트로의 링크, 노출된 애플리케이션의 취약점 악용 또는 유출된 자격 증명 남용을 허용하도록 요청합니다.

일단 디스크에 접근하면, 상대는 디스크에 손을 대지 않고도 공격을 시도합니다. 이를 위해 상대는 다음과 같은 시스템 기능을 연동합니다. 문서의 매크로 또는 DDE 명령을 실행하고, RCE를 위한 오버플로를 악용하거나, 메모리에서 코드를 로드하고 실행할 수 있는 신뢰할 수 있는 바이너리를 호출합니다.

작업에 연속성이 필요한 경우 새 실행 파일을 배포하지 않고도 지속성을 구현할 수 있습니다. 레지스트리의 시작 항목특정 조건에서 스크립트를 트리거하는 시스템 이벤트나 예약된 작업에 반응하는 WMI 구독입니다.

실행이 설정되면 목표는 다음 단계를 지시합니다. 측면으로 이동합니다. 데이터 유출여기에는 자격 증명 도용, RAT(무선 액세스 제어 시스템) 배포, 암호화폐 채굴, 랜섬웨어의 경우 파일 암호화 활성화 등이 포함됩니다. 이 모든 작업은 가능한 경우 기존 기능을 활용하여 수행됩니다.

증거를 제거하는 것은 계획의 일부입니다. 의심스러운 바이너리를 작성하지 않음으로써 공격자는 분석해야 할 아티팩트를 크게 줄입니다. 정상적인 이벤트 사이에 활동을 혼합합니다. 시스템의 임시 흔적을 가능한 한 삭제합니다.

그들이 일반적으로 사용하는 기술과 도구

카탈로그는 광범위하지만 거의 항상 기본 유틸리티와 신뢰할 수 있는 경로를 중심으로 구성됩니다. 다음은 가장 일반적인 유틸리티 중 일부이며, 항상 다음과 같은 목표를 가지고 있습니다. 메모리 내 실행을 최대화합니다 그리고 흔적을 흐리게 만듭니다.

• PowerShell을강력한 스크립팅, Windows API 접근 및 자동화 기능을 제공합니다. 다재다능하여 관리 및 공격적인 악용 사례 모두에 적합합니다.
• WMI(Windows 관리 계측)이를 통해 시스템 이벤트를 쿼리하고 대응할 수 있으며 원격 및 로컬 작업을 수행할 수 있습니다. 지속성과 오케스트레이션.
• VBScript와 JScript: 시스템 구성 요소를 통해 논리 실행을 용이하게 하는 다양한 환경에 존재하는 엔진입니다.
• mshta, rundll32 및 기타 신뢰할 수 있는 바이너리: 적절하게 연결되면 잘 알려진 LoLBins 아티팩트를 삭제하지 않고 코드 실행 디스크에 명확하게 표시됨.
• 활성 콘텐츠가 있는 문서Office의 매크로나 DDE, 그리고 고급 기능이 있는 PDF 리더는 메모리에서 명령을 실행하는 발판 역할을 할 수 있습니다.
• Windows 레지스트리: 시스템 구성 요소에 의해 활성화되는 셀프 부팅 키 또는 암호화/숨겨진 페이로드 저장소입니다.
• 압수 및 공정 주입: 실행 중인 프로세스의 메모리 공간 수정 호스트 악성 로직 합법적인 실행 파일 내에서.
• 작동 키트: 피해자 시스템의 취약점을 탐지하고 디스크를 건드리지 않고 실행할 수 있도록 맞춤형 익스플로잇을 배포합니다.

기업이 직면한 과제(그리고 모든 것을 차단하는 것만으로는 충분하지 않은 이유)

순진한 접근 방식은 과감한 조치를 시사합니다. PowerShell을 차단하고, 매크로를 금지하고, rundll32와 같은 바이너리를 차단하는 것입니다. 하지만 현실은 훨씬 더 미묘합니다. 이러한 도구 중 다수는 필수적입니다. 일상적인 IT 운영과 관리 자동화를 위해.

또한 공격자는 스크립팅 엔진을 다른 방식으로 실행하여 허점을 찾습니다. 대체 사본을 사용하세요논리를 이미지로 패키징하거나 모니터링이 덜 엄격한 LoLBin을 사용할 수 있습니다. 무차별 블로킹은 완벽한 방어를 제공하지 못하면서 결국 마찰만 야기합니다.

순수한 서버 측 또는 클라우드 기반 분석도 문제를 해결하지 못합니다. 풍부한 엔드포인트 원격 분석과 에이전트 자체의 반응성결정이 늦게 내려졌고, 외부의 판결을 기다려야 하기 때문에 예방은 불가능합니다.

한편, 시장 보고서는 오랫동안 이 분야에서 매우 큰 성장이 있었음을 지적해 왔으며 정점은 다음과 같습니다. PowerShell을 남용하려는 시도가 거의 두 배로 증가했습니다. 이는 짧은 기간 내에 이루어졌는데, 이는 적대자들에게 반복적이고 수익성 있는 전술이라는 것을 확인시켜 줍니다.

최신 탐지: 파일에서 동작까지

핵심은 누가 실행하는지가 아니라 어떻게 그리고 왜 실행하는지입니다. 모니터링 프로세스 동작과 그 관계 결정적인 요소는 명령줄, 프로세스 상속, 중요한 API 호출, 아웃바운드 연결, 레지스트리 수정 및 WMI 이벤트입니다.

이 접근 방식은 회피 표면을 대폭 줄입니다. 관련 바이너리가 변경되더라도 공격 패턴이 반복됩니다 (메모리에 다운로드되어 실행되는 스크립트, LoLBins 남용, 인터프리터 호출 등) 파일의 '정체성'이 아닌 해당 스크립트를 분석하면 탐지 성능이 향상됩니다.

효과적인 EDR/XDR 플랫폼은 신호를 상관시켜 전체 사고 내역을 재구성하고 다음을 식별합니다. 근본 원인 이 설명은 '나타난' 프로세스를 비난하는 대신 첨부 파일, 매크로, 인터프리터, 페이로드 및 지속성을 연결하여 고립된 부분이 아닌 전체 흐름을 완화합니다.

다음과 같은 프레임워크의 적용 MITER ATT & CK 관찰된 전술과 기술(TTP)을 매핑하고 관심 있는 동작(실행, 지속성, 방어 회피, 자격 증명 접근, 발견, 측면 이동 및 유출)에 대한 위협 사냥을 안내하는 데 도움이 됩니다.

마지막으로, 엔드포인트 응답 오케스트레이션은 즉각적이어야 합니다. 장치를 격리하세요. 종료 프로세스 관련된 레지스트리나 작업 스케줄러의 변경 사항을 되돌리고, 외부 확인을 기다리지 않고 의심스러운 나가는 연결을 차단합니다.

유용한 원격 측정: 무엇을 살펴봐야 하고 어떻게 우선순위를 정해야 할까요?

시스템을 포화시키지 않고 탐지 확률을 높이려면 가치가 높은 신호를 우선시하는 것이 좋습니다. 맥락을 제공하는 몇 가지 출처와 통제 수단이 있습니다. 파일리스에 중요함 위치 :

• 자세한 PowerShell 로그 및 기타 인터프리터: 스크립트 블록 로그, 명령 기록, 로드된 모듈, AMSI 이벤트(사용 가능한 경우)
• WMI 저장소특히 민감한 네임스페이스에서 이벤트 필터, 소비자 및 링크의 생성 또는 수정과 관련된 인벤토리 및 알림입니다.
• 보안 이벤트 및 Sysmon: 프로세스 상관관계, 이미지 무결성, 메모리 로딩, 주입, 예약된 작업 생성.
• 빨간색: 비정상적인 아웃바운드 연결, 비콘, 페이로드 다운로드 패턴, 유출을 위한 은밀한 채널 사용.

자동화는 밀과 겨를 분리하는 데 도움이 됩니다. 동작 기반 탐지 규칙, 허용 목록 합법적 행정 위협 인텔리전스를 강화하면 거짓 양성 반응이 줄어들고 대응 속도가 빨라집니다.

표면의 예방 및 감소

단일 조치만으로는 충분하지 않지만, 다층적인 방어는 위험을 크게 줄입니다. 예방 측면에서는 여러 가지 조치가 중요합니다. 작물 벡터 그리고 적의 삶을 더 어렵게 만듭니다.

• 매크로 관리: 기본적으로 비활성화하고 절대적으로 필요하고 서명한 경우에만 허용합니다. 그룹 정책을 통해 세부적으로 제어합니다.
• 통역사 및 LoLBins 제한: AppLocker/WDAC 또는 이와 동등한 기능을 적용하고, 포괄적인 로깅을 통해 스크립트와 실행 템플릿을 제어합니다.
• 패치 및 완화책: 악용 가능한 취약점을 닫고 RCE 및 주입을 제한하는 메모리 보호 기능을 활성화합니다.
• 강력한 인증자격 증명 남용을 억제하기 위한 MFA 및 Zero Trust 원칙 측면 이동을 줄이세요.
• 인식과 시뮬레이션피싱, 활성 콘텐츠가 포함된 문서, 비정상적인 실행 징후에 대한 실무 교육.

이러한 조치는 실시간으로 악의적인 동작을 식별하기 위해 트래픽과 메모리를 분석하는 솔루션으로 보완됩니다. 세분화 정책 그리고 무언가가 빠져나갔을 때 충격을 억제할 수 있는 최소한의 특권이 있습니다.

효과적인 서비스 및 접근 방식

많은 엔드포인트와 높은 중요도를 가진 환경에서 관리형 탐지 및 대응 서비스는 다음과 같습니다. 24시간 연중무휴 모니터링 이러한 솔루션은 사고 억제를 가속화하는 것으로 입증되었습니다. SOC, EMDR/MDR, EDR/XDR의 조합은 전문가의 시각, 풍부한 원격 측정 데이터, 그리고 조율된 대응 역량을 제공합니다.

가장 효과적인 공급자는 행동으로의 전환을 내면화했습니다. 즉, 가벼운 에이전트입니다. 커널 수준에서 활동을 연관시키다이 솔루션은 전체 공격 기록을 재구성하고 악의적인 체인을 감지하면 자동 완화 조치를 적용하며, 변경 사항을 취소하는 롤백 기능을 제공합니다.

동시에 엔드포인트 보호 제품군과 XDR 플랫폼은 워크스테이션, 서버, ID, 이메일 및 클라우드 전반에 걸쳐 중앙화된 가시성과 위협 관리를 통합합니다. 목표는 다음과 같습니다. 공격의 사슬 파일이 관련되어 있는지 여부와 관계없이.

위협 사냥을 위한 실용적인 지표

검색 가설의 우선순위를 정해야 하는 경우 신호 결합에 집중하세요. 즉, 특이한 매개변수로 통역사를 시작하는 사무실 프로세스입니다. WMI 구독 생성 문서를 연 후 시작 키가 수정되고, 그에 따라 평판이 좋지 않은 도메인에 연결됩니다.

또 다른 효과적인 접근 방식은 사용자 환경의 기준선을 활용하는 것입니다. 즉, 서버와 워크스테이션에서 정상적인 것은 무엇입니까? 모든 편차(인터프리터의 부모로 나타나는 새로 서명된 바이너리 등)를 파악하는 것입니다. 성능의 갑작스러운 급증 (스크립트, 난독화된 명령 문자열)에 대한 조사가 필요합니다.

마지막으로 메모리를 잊지 마세요. 실행 중인 영역을 검사하거나 스냅샷을 캡처하는 도구가 있는 경우 RAM에서의 발견 특히 파일 시스템에 아티팩트가 없는 경우, 이는 파일리스 활동의 확실한 증거가 될 수 있습니다.

이러한 전략, 기술, 통제 수단을 조합해도 위협을 완전히 없앨 수는 없지만, 위협을 제때 감지할 수 있는 더 나은 위치에 놓이게 됩니다. 사슬을 자르다 그리고 영향을 줄여줍니다.

엔드포인트 기반 원격 측정, 행동 상관관계 분석, 자동 대응, 그리고 선택적 보안 강화 등 이 모든 것이 신중하게 적용되면 파일리스 전략은 그 장점을 상당 부분 잃게 됩니다. 그리고 앞으로도 계속 발전하겠지만, 행동에 초점을 맞추다 파일 형태로 저장하는 것보다 방어를 발전시킬 수 있는 견고한 기반을 제공합니다.