"Xerabkar bêyî pelên domdar" çi ye û meriv çawa bi amûrên belaş wê tespît dike

Xuyangê ya malware bêyî pelên mayînde Ev yek ji bo tîmên ewlehiyê bi rastî serêşiyek bû. Em ne bi vîrusa tîpîk a ku hûn dema jêbirina pelê pêkanînê ji dîskê "digirin" re mijûl dibin, lê bi gefên ku di bîranînê de dijîn, amûrên pergalê yên rewa bi kar tînin, û di gelek rewşan de, hema hema tu şopek bikêrhatî ya dadwerî nahêlin.

Ev cure êrîş bi taybetî di nav komên pêşketî û sûcdarên sîber de ku digerin populer bûye. ji nermalava antîvîrusê ya kevneşopî dûr bisekinin, daneyan bidizin û veşartî bimînin heta ku mimkun be. Fêmkirina ka ew çawa dixebitin, çi teknîkan bikar tînin, û çawa wan tespît dikin ji bo her rêxistinek ku dixwaze îro ewlehiya sîber bi ciddî bigire girîng e.

Malwareya bê pel çi ye û çima ewqas fikar e?

Dema ku em qala malwareya bê pel Em nabêjin ku yek bayt jî tê de nîne, lê belê koda xerabkar Ew wekî pelek bicîhanîn a klasîk li ser dîskê nayê hilanîn. ji xala dawî. Di şûna wê de, ew rasterast di bîrê de dixebite an jî di konteynerên kêm xuya de wekî Registry, WMI, an karên bernamekirî tê mêvandar kirin.

Di gelek senaryoyan de, êrîşkar ji bo ku xwe bigihîne amûrên ku berê di pergalê de hene - PowerShell, WMI, skrîpt, pelên ducarî yên Windows-ê yên îmzekirî - xwe dispêre. barkirin, şîfrekirin, an jî bicîhanîna barên rasterast di RAMê deBi vî rengî, ew ji hiştina pelên bicîhkirî yên eşkere dûr dikeve ku antîvîrusek li ser bingeha îmzeyê dikare di skanek normal de tespît bike.

Herwiha, beşek ji zincîra êrîşê dikare "bê pel" be û beşek din jî dikare pergala pelan bikar bîne, ji ber vê yekê em li ser bêtir ji yekê diaxivin. spektruma teknîkên bê pel ya yek malbateke malware. Ji ber vê yekê pênaseyeke yekane û girtî tune ye, lê belê çend kategori hene ku li gorî asta bandora ku ew li ser makîneyê dihêlin.

Taybetmendiyên sereke yên malware bêyî pelên mayînde

Taybetmendiyek sereke ya van tehdîdan ew e ku ew... pêkanîna navendî ya bîranînêKoda xerabkar tê barkirin nav RAMê û di pêvajoyên rewa de tê xebitandin, bêyî ku pêdivî bi pelek binary a xerabkar a stabîl li ser dîska hişk hebe. Di hin rewşan de, ew heta ji bo kamuflajek çêtir têxe nav pêvajoyên krîtîk ên pergalê.

Taybetmendiyeke din a girîng ew e ku berdewamiya ne-kevneşopîGelek kampanyayên bê pel bi tevahî bêîstîqrar in û piştî ji nû ve destpêkirinê winda dibin, lê yên din bi karanîna mifteyên Registry Autorun, abonetiyên WMI, karên bernamekirî, an BITS-ê ji nû ve çalak dibin, da ku berhema "xuya" herî kêm be û barkêşiya rastîn her carê di bîrê de bimîne.

Ev rêbaz bandora dermankirina bi giranî kêm dike, tespîtkirina li ser bingeha îmzeyêJi ber ku pelek pêkanînê ya sabît ji bo analîzkirinê tune ye, tiştê ku hûn pir caran dibînin PowerShell.exe, wscript.exe, an mshta.exe-yek bi tevahî rewa ye, ku bi parametreyên gumanbar tê destpêkirin an naveroka tarî bar dike.

Di dawiyê de, gelek aktor teknîkên bê pel bi yên din re li hev tînin. cureyên malware yên wekî Trojans, ransomware, an adware, di encamê de kampanyayên hîbrîd çêdibin ku çêtirîn (û xirabtirîn) yên her du cîhanan tevlihev dikin: israr û nepenî.

Cureyên gefên bê pel li gorî bandora wan li ser pergalê

Gelek hilberînerên ewlehiyê Ew gefên "bê pel" li gorî şopa ku li ser komputerê dihêlin dabeş dikin. Ev taksonomî alîkariya me dike ku em fêm bikin ka em çi dibînin û meriv çawa lêkolîn dike.

Tîpa I: çalakiya pelê ya xuya tune

Li dawiya herî veşartî em malware dibînin ku Ew bi tevahî tiştek li ser pergala pelan nanivîseKod, bo nimûne, bi rêya pakêtên torê yên ku qelsiyekê bikar tînin (wek EternalBlue), rasterast têxe nav bîrê, û bo nimûne, wekî deriyekî paşîn di nav kernelê de tê parastin (DoublePulsar mînakek sembolîk bû).

Di rewşên din de, enfeksiyon di nav Firmwareya BIOS, kartên torê, cîhazên USB, an jî binsîstemên di nav CPU deEv cure gef dikare ji nû ve sazkirinên pergala xebitandinê, formatkirina dîskê, û tewra hin ji nû ve destpêkirinên tevahî jî li ber xwe bide.

Pirsgirêk ew e ku piraniya çareseriyên ewlehiyê Ew firmware an mîkrokodê ​​kontrol nakinÛ heta eger ew bikin jî, sererastkirin tevlihev e. Bi xêra Xwedê, ev teknîk bi gelemperî ji bo aktorên pir sofîstîke têne veqetandin û di êrîşên girseyî de ne norm in.

Tîpa II: Bikaranîna nerasterast a pelan

Grûpa duyem li ser bingeha koda xerabkar di avahiyên ku li ser dîskê hatine hilanîn de dihewîneLê ne wekî pelên bicîhkirî yên kevneşopî, lê di depoyên ku daneyên rewa û zirardar tevlihev dikin de, paqijkirina wan bêyî zirarêdayîna pergalê dijwar e.

Nimûneyên tîpîk skrîptên ku di ... de hatine hilanîn in. Depoya WMI, zincîrên tarî di nav de Kilîtên qeydê an jî karên bernamekirî yên ku fermanên xeternak bêyî peldankek xerabkar a zelal didin destpêkirin. Malware dikare van tomarên rasterast ji rêza fermanê an skrîptekê saz bike û dûv re bi awayekî pratîkî nedîtî bimîne.

Her çend ji hêla teknîkî ve pelên têkildar hene (pelê fîzîkî ku Windows depoya WMI an jî hiveka Registry lê hildide), ji bo armancên pratîkî em li ser diaxivin çalakiya bê pel ji ber ku pelek pêkanînê ya eşkere tune ku bi hêsanî were karantînekirin.

Tîpa III: Ji bo fonksiyonê pelan hewce dike

Cureyê sêyem tehdîdên ku hene dihewîne Ew pelan bikar tînin, lê bi awayekî ku ji bo tespîtkirinê ne pir bikêrhatî ye.Nimûneyek baş-naskirî Kovter e, ku dirêjkirinên rasthatî di Registry de tomar dike, da ku, dema ku pelek bi wê dirêjkirinê tê vekirin, skrîptek bi rêya mshta.exe an jî pelek ducarî ya xwemalî ya mîna wê were bicîhanîn.

Ev pelên xapandinê daneyên bêwate dihewînin, û koda xerabkar a rastîn Ew ji mifteyên din ên Registry tê wergirtin an depoyên navxweyî. Her çend "tiştek" li ser dîskê hebe jî, bikaranîna wê wekî nîşaneyek pêbawer a tawîzê, û nemaze wekî mekanîzmayek paqijkirina rasterast, ne hêsan e.

Vektorên ketina herî gelemperî û xalên enfeksiyonê

Ji bilî dabeşkirina şopa şopê, girîng e ku meriv fêm bike ka çawa Ev e ku malware bêyî pelên domdar tê de rol dilîze. Di jiyana rojane de, êrîşkar pir caran li gorî jîngeh û hedefê çend vektoran bi hev re bikar tînin.

Îstismar û lawazî

Yek ji rêyên herî rasterast bikaranîna îstismara zayendî ye lawaziyên bicîhanîna koda ji dûr ve (RCE) di gerok, pêvek (wek Flash-a berê), sepanên webê, an karûbarên torê (SMB, RDP, hwd.) de. Ev îstîsmar shellcode-ê dişîne ku rasterast barkêşiya xerabkar dakêşîne an jî deşîfre dike nav bîrê.

Di vê modelê de, pelê destpêkê dikare li ser torê be (cureyê exploits Dixwazim bigirîmyan jî di belgeyekê de ku bikarhêner vedike, lê Barkêş qet wekî pelek bicîhkirî li ser dîskê nayê nivîsandin.: ew ji RAMê di cih de tê şîfrekirin û bicîhanîn.

Belge û makroyên zirardar

Riyeke din a ku bi giranî tê bikaranîn ew e ku Belgeyên nivîsgehê bi makro an DDEher weha PDF-ên ku ji bo sûdwergirtina ji kêmasiyên xwendevanan hatine çêkirin. Pelê Word an Excel-ê yê ku bi awayekî bêzerar xuya dike, dibe ku koda VBA-yê dihewîne ku PowerShell, WMI, an şîrovekarên din dide destpêkirin da ku kodê dakêşin, fermanan bicîh bînin, an jî koda shellcode-ê têxin nav pêvajoyên pêbawer.

Li vir pelê li ser dîskê "tenê" konteynerê daneyan e, lê vektora rastîn motora skrîptkirinê ya navxweyî ya serîlêdanêBi rastî, gelek kampanyayên spamê yên girseyî vê taktîkê bi awayekî îstismar bikar anîne da ku êrîşên bê dosya li ser torên pargîdaniyan bicîh bikin.

Nivîsar û dualî yên rewa (Jiyana li ser Erdê)

Êrîşkar ji amûrên ku Windows jixwe peyda dike hez dikin: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Amûrên Rêveberiya Windows, BITS, û hwd. Ev pelên ducarî yên îmzekirî û pêbawer dikarin skrîpt, DLL, an naveroka dûr bêyî hewcedariya "virus.exe" ya gumanbar bicîh bînin.

Bi şandina koda xerabkar wekî parametreyên rêza fermanêBi bicihkirina wê di wêneyan de, şîfrekirin û dekodkirina wê di bîrê de, an jî hilanîna wê di Qeyda Registry de, piştrast dike ku antivirus tenê çalakiyên ji pêvajoyên rewa dibîne, û tespîtkirina tenê li ser bingeha pelan pir dijwartir dike.

Hardware û firmware ya xirabkirî

Di astek hîn nizmtir de, êrîşkarên pêşketî dikarin bikevin nav Firmwareya BIOS, kartên torê, dîskên hişk, an jî pergalên rêveberiya CPU-yê (wek Intel ME an AMT). Ev cureyê malware di bin pergala xebitandinê de dixebite û dikare trafîkê bigire an biguherîne bêyî ku pergala xebitandinê jê haydar be.

Her çend ew senaryoyek ekstrem be jî, ew nîşan dide ka gefek bê pel heta çi radeyê dikare Bêyî destdana pergala pelê ya OS-ê domdariyê biparêzeû çima amûrên xala dawî yên klasîk di van rewşan de têrê nakin.

Êrîşeke malware bêyî pelên mayînde çawa dixebite

Di asta herikînê de, êrîşeke bê pel pir dişibihe êrîşeke li ser pelan, lê bi cudahîyên têkildar di awayê bicîhanîna barkêşiyê û çawaniya parastina gihîştinê de.

1. Gihîştina destpêkê ya pergalê

Hemû tişt dest pê dike dema ku êrîşkar cihekî yekem digire: a e-nameya phishingê bi lînk an pêveka zirardar, îstismarek li dijî serîlêdanek xeternak, dizîna bawernameyên ji bo RDP an VPN, an jî cîhazek USB ya destwerdayî.

Di vê qonaxê de, rêbazên jêrîn têne bikar anîn: + endezyariya civakîberalîkirinên xerabkar, kampanyayên reklamên xerab, an êrîşên Wi-Fi yên xerabkar da ku bikarhêner bixapînin da ku li cihê ku divê nekeve bikirtînin an jî ji karûbarên ku li ser Înternetê têne eşkerekirin sûd werbigirin.

2. Bicîhanîna koda xerabkar di bîrê de

Dema ku ew têketina yekem tê bidestxistin, pêkhateya bê pel tê çalakirin: makroyek Office PowerShell-ê dide destpêkirin, îstismarek shellcode-ê derzî dike, abonetiyek WMI skrîptek çalak dike, û hwd. Armanc ev e. koda xerabkar rasterast têxe RAMêyan bi dakêşandina wê ji înternetê yan jî bi ji nû ve avakirina wê ji daneyên çandî.

Ji wir, malware dikare îmtiyazan zêde bikin, ji alîkî ve biçin, bawernameyan bidizin, webshellan bicîh bikin, RAT saz bikin, an daneyan şîfre bikinev hemû ji hêla pêvajoyên rewa ve têne piştgirî kirin da ku deng kêm bikin.

3. Avakirina domdariyê

Di nav teknîkên gelemperî de Ew têne dîtin:

• Bişkojkên Autorun di Qeyda Registry de ku dema têketinê ferman an skrîptan bicîh tîne.
• Karên plansazkirî ku skrîptan, pelên dualî yên rewa bi parametreyan, an fermanên ji dûr ve dest pê dikin.
• Aboneyên WMI ku kodê çalak dikin dema ku hin bûyerên sîstemê çêdibin.
• Bikaranîna BITS ji bo dakêşanên periyodîk ên barkêşan ji serverên fermandarî û kontrolê.

Di rewşan de, pêkhateya domdar kêm e û tenê ji bo malware ji nû ve têxe nav bîrê her gava ku pergal dest pê dike an jî şertek taybetî tê bicîhanîn.

4. Çalakiyên li ser hedefan û derxistin

Bi israra piştrastkirî, êrîşkar balê dikişîne ser tiştê ku bi rastî jê re eleqedar e: dizîna agahiyan, şîfrekirina wan, manîpulekirina pergalan, an jî casûstiya bi mehanDerxistin dikare bi rêya HTTPS, DNS, kanalên veşartî, an jî xizmetên rewa were kirin. Di bûyerên cîhana rastîn de, zanîna Di 24 demjimêrên pêşîn de piştî hackkirinê çi bikin dikare cudahiyê bike.

Di êrîşên APT de, pir gelemperî ye ku malware bimîne bêdeng û nepenî ji bo demên dirêj, çêkirina deriyên paşîn ên zêde da ku gihîştin misoger bibe her çend beşek ji binesaziyê were tespîtkirin û paqijkirin jî.

Kapasîte û cureyên malware yên ku dikarin bê pel bin

Bi rastî her fonksiyoneke xerabkar ku malwareya klasîk dikare pêk bîne, dikare bi şopandina vê rêbazê were bicîhanîn. bê pel an nîv-bê pelEw tiştê ku diguhere ne armanc e, lê awayê bicihkirina kodê ye.

Malware tenê di bîranînê de dimîne

Ev kategoriyê barkêşên ku Ew bi taybetî di bîranîna pêvajoyê an kernel de dijîn.Rootkitên nûjen, deriyên paşîn ên pêşkeftî, an jî bernameyên sîxurî dikarin bikevin nav qada bîranînê ya pêvajoyek rewa û heta ku pergal ji nû ve were destpêkirin li wir bimînin.

Ev pêkhate bi taybetî bi amûrên dîskê-rêberkirî zehmet têne dîtin, û karanîna wan neçar dikin. analîza bîra zindî, EDR bi vekolîna demrast an jî kapasîteyên dadwerî yên pêşkeftî.

Malwareya li ser bingeha Qeyda Windows-ê

Teknîkek din a dubarekirî hilanîn e koda şîfrekirî an veşartî di mifteyên Registry de û ji bo xwendin, deşîfrekirin û bicîhanîna wê di bîrê de pelek dualî ya rewa (wek PowerShell, MSHTA, an rundll32) bikar bînin.

Dilopkera destpêkê dikare piştî nivîsandina li Registry xwe hilweşîne, ji ber vê yekê tenê tevliheviyek daneyên ku xuya dikin bêzerar in dimîne ku Ew her gava ku pergal dest pê dike tehdîdê çalak dikin an jî her gava ku pelek taybetî tê vekirin.

Ransomware û Trojanên bê pel

Rêbaza bê pel bi rêbazên barkirinê yên pir êrîşkar ên wekî ransomwareKampanya hene ku hemî şîfrekirinê bi karanîna PowerShell an WMI di bîrê de dakêşînin, deşîfre dikin û bicîh tînin, bêyî ku pelê ransomware-ê li ser dîskê bihêlin.

Bi heman awayî, trojanên gihîştina dûr (RAT)Keylogger an dizên bawernameyan dikarin bi awayekî nîv-bê dosya bixebitin, modulan li gorî daxwazê ​​​​bar bikin û mantiqa sereke di pêvajoyên pergalê yên rewa de bicîh bikin.

Kîtên îstismarkirinê û bawernameyên dizî

Kîtên îstismara webê perçeyek din a puzzle ne: ew nermalava sazkirî tespît dikin, Ew îstismara guncaw hildibijêrin û barkirinê rasterast dixin nav bîrê., pir caran bêyî ku tiştek li ser dîskê tomar bike.

Li aliyê din, bikarhanîna nasnameyên dizî Ew vektorek e ku bi teknîkên bê pel re pir baş li hev tê: êrîşkar wekî bikarhênerek rewa xwe dide nasîn û ji wir şûnde amûrên rêveberiyê yên xwemalî (PowerShell Remoting, WMI, PsExec) bi kar tîne da ku skrîpt û fermanên ku şopên klasîk ên malware nahêlin bicîh bike.

Çima tespîtkirina malwareya bê pel ewqas dijwar e?

Sedema bingehîn ew e ku ev celeb gef bi taybetî ji bo ji qatên parastinê yên kevneşopî derbas bibinli ser bingeha îmzeyan, navnîşên spî, û skanên pelan ên periyodîk.

Eger koda xerabkar qet wekî pelek bicîhkirî li ser dîskê neyê tomarkirin, an jî di konteynerên tevlihev ên wekî WMI, Registry, an firmware de veşêre, nermalava antîvîrus a kevneşopî pir hindik tişt hene ku analîz bikin. Li şûna "pelek gumanbar", tiştê ku we heye ev e pêvajoyên rewa yên ku bi awayekî anormal tevdigerin.

Wekî din, ew amûrên wekî PowerShell, makroyên Office, an WMI bi awayekî radîkal asteng dike. Ew di gelek rêxistinan de nayê bikaranînJi ber ku ew ji bo rêveberî, otomasyon û operasyonên rojane pir girîng in. Ev yek parêzvanan neçar dike ku pir bi baldarî tevbigerin.

Hin firoşkaran hewl dane ku bi çareseriyên bilez (astengkirina PowerShell-a gelemperî, neçalakkirina tevahî ya makroyan, tespîtkirina tenê-ewr, û hwd.) telafî bikin, lê ev tedbîr bi gelemperî ne. têrê nake an jî zêde têkder e ji bo karsaziyê.

Stratejiyên nûjen ji bo tesbîtkirin û rawestandina malwareya bê pel

Ji bo rûbirûbûna van gefan, pêwîst e ku ji tenê skankirina pelan wêdetir biçin û rêbazek armancdar were pejirandin. tevger, telemetrîya demrast, û dîtina kûr ji xala dawî.

Çavdêriya reftar û bîrê

Rêbazek bi bandor çavdêriya tiştên ku pêvajo bi rastî dikin ev e: çi fermanan pêk tînin, çi çavkaniyan digihîjin, çi têkiliyan datîninçawa ew bi hev re têkildar in, û hwd. Her çend bi hezaran guhertoyên malware hene jî, şêwazên tevgerên xerabkar pir sînordartir in. Ev jî dikare bi Tesbîtkirina pêşketî bi YARA re.

Çareseriyên nûjen vê telemetrîyê bi analîtîkên di-bîrê de, heurîstîkên pêşketî û fêrbûna makîneyê ji bo destnîşankirina zincîrên êrîşê, her çend kod pir tarî be an jî qet berê nehatibe dîtin jî.

Bikaranîna navrûyên pergalê yên wekî AMSI û ETW

Windows teknolojiyên wekî yên din pêşkêş dike. Navrûya Skenkirina Dijî-Malware (AMSI) y Şopandina Bûyeran ji bo Windows-ê (ETW) Ev çavkanî dihêlin ku skrîpt û bûyerên sîstemê di asteke pir nizm de werin vekolandin. Yekkirina van çavkaniyan di nav çareseriyên ewlehiyê de tespîtkirinê hêsan dike. koda xerabkar berî an jî di dema pêkanîna wê de.

Wekî din, analîzkirina deverên krîtîk - karên bernamekirî, abonetiyên WMI, mifteyên qeyda bootkirinê, û hwd. - dibe alîkar ku were destnîşankirin berdewamiya veşartî ya bê pel ku dikare bi skaneke pelê ya hêsan bê dîtin.

Nêçîra Gefê û Nîşaneyên Êrîşê (IoA)

Ji ber ku nîşanderên klasîk (haş, rêyên pelan) têrê nakin, tê pêşniyar kirin ku meriv xwe bispêre wan nîşaneyên êrîşê (IoA), ku reftarên gumanbar û rêzeçalakiyên ku bi taktîkên naskirî re lihevhatî ne, vedibêjin.

Tîmên nêçîrvaniya gefan - navxweyî an jî bi rêya karûbarên birêvebirî - dikarin bi awayekî proaktîf lêgerînê bikin qalibên tevgera alî, îstismara amûrên xwemalî, anomaliyên di karanîna PowerShell de an gihîştina bêdestûr a daneyên hesas, tespîtkirina gefên bê dosya berî ku ew bibin sedema karesatekê.

EDR, XDR û SOC 24/7

Platformên Modern ên EDR û XDR (Tesbîtkirin û bersivdayîna xala dawî di astek berfireh de) dîtbarî û hevahengiya ku ji bo ji nû ve avakirina dîroka tevahî ya bûyerekê, ji e-nameya phishingê ya yekem bigire heya derxistina dawî, pêwîst peyda dike.

Li gel SOC-ya xebitandinê ya 24/7Ew ne tenê destûrê didin tesbîtkirinê, lê di heman demê de jî bixweber kontrol bikin û çareser bikin çalakiyên xerabkar: komputeran îzole bikin, pêvajoyan asteng bikin, guhertinên li Registry vegerînin, an jî şîfrekirinê betal bikin dema ku gengaz be.

Teknîkên malware yên bê pelan rewş guhertiye: tenê şopandina skaneke antîvîrusê û jêbirina pelek gumanbar êdî bes nîne. Îro, parastin têgihîştina ka êrîşkar çawa bi veşartina kodê di bîrê, Qeyda Îmzeyan, WMI, an firmware de qelsiyan bikar tînin û tevlîheviyek ji çavdêriya tevgerî, analîza di bîrê de, EDR/XDR, nêçîra gefan û pratîkên çêtirîn bicîh tînin. Bi rastî bandorê kêm bikin Êrîşên ku bi awayekî plansazkirî hewl didin ku li cihê ku çareseriyên kevneşopîtir lê ne, şopek nehêlin, stratejiyek holîstîk û berdewam hewce dikin. Di rewşa lihevhatinê de, zanîna Windows-ê piştî vîrusek giran tamîr bike Ew pêdivî ye.