"Туруктуу файлдары жок зыяндуу программа" деген эмне жана аны акысыз куралдар менен кантип аныктоого болот

Көрүнүшү туруктуу файлдары жок зыяндуу программалык камсыздоо Бул коопсуздук топтору үчүн чыныгы баш оору болду. Биз дисктен аткарылуучу файлды жок кылганда "кармап алган" кадимки вирус менен эмес, эс тутумда жашаган, мыйзамдуу системалык куралдарды кыянаттык менен колдонгон жана көпчүлүк учурларда колдонууга жарамдуу криминалистикалык из калтырган коркунучтар менен күрөшүп жатабыз.

Бул чабуул түрү өзгөчө алдыңкы топтордун жана киберкылмышкерлердин арасында популярдуу болуп калды салттуу антивирус программасынан качуу, маалыматтарды уурдоо жана жашыруун калуу мүмкүн болушунча узак убакытка. Алардын кантип иштээрин, кандай ыкмаларды колдоноорун жана аларды кантип аныктоону түшүнүү бүгүнкү күндө киберкоопсуздукка олуттуу мамиле кылгысы келген ар бир уюм үчүн маанилүү.

Файлсыз зыяндуу программа деген эмне жана ал эмне үчүн мынчалык тынчсыздандырат?

Биз жөнүндө сөз кылып жатканда файлсыз зыяндуу программа Биз бир да байт катышкан жок деп айтып жаткан жокпуз, бирок зыяндуу код Ал дискте классикалык аткарылуучу файл катары сакталган эмес акыркы чекиттен. Анын ордуна, ал түздөн-түз эс тутумда иштейт же реестр, WMI же пландаштырылган тапшырмалар сыяктуу анча көрүнбөгөн контейнерлерде жайгаштырылат.

Көптөгөн сценарийлерде, чабуулчу системада мурунтан эле бар болгон куралдарга — PowerShell, WMI, скрипттер, кол коюлган Windows экилик файлдарына — таянат. пайдалуу жүктөмдөрдү түздөн-түз RAMга жүктөө, чечмелөө же аткарууОшентип, ал кол тамгага негизделген антивирус кадимки сканерлөөдө аныктай ала турган ачык аткарылуучу файлдарды калтыруудан сактайт.

Андан тышкары, чабуул чынжырынын бир бөлүгү "файлсыз" болушу мүмкүн, ал эми башка бөлүгү файл системасын колдоно алат, андыктан биз бирден ашык нерсе жөнүндө сөз кылып жатабыз. файлсыз ыкмалардын спектри бир гана зыяндуу программалык камсыздоо үй-бүлөсүнүн. Ошондуктан бир гана, жабык аныктама жок, тескерисинче, алардын машинага калтырган таасиринин даражасына жараша бир нече категориялар бар.

Туруктуу файлдары жок зыяндуу программалык камсыздоонун негизги мүнөздөмөлөрү

Бул коркунучтардын негизги касиети - алардын эс тутумга багытталган аткарууЗыяндуу код RAMга жүктөлөт жана катуу дискте туруктуу зыяндуу экилик файлды талап кылбастан, мыйзамдуу процесстердин алкагында аткарылат. Айрым учурларда, ал жакшыраак камуфляждоо үчүн маанилүү системалык процесстерге да киргизилет.

Дагы бир маанилүү өзгөчөлүгү болуп саналат адаттан тыш туруктуулукКөптөгөн файлсыз кампаниялар таза туруксуз жана кайра жүктөөдөн кийин жок болуп кетет, бирок башкалары Registry Autorun ачкычтарын, WMI жазылууларын, пландаштырылган тапшырмаларды же BITSти колдонуп кайра жандандырышат, ошондуктан "көрүнүүчү" артефакт минималдуу болуп, чыныгы пайдалуу жүк ар бир жолу эс тутумда калат.

Бул ыкма натыйжалуулукту бир топ төмөндөтөт кол тамгага негизделген аныктооТалдоо үчүн туруктуу аткарылуучу файл жок болгондуктан, сиз көп учурда шектүү параметрлер менен ишке киргизилген же түшүнүксүз мазмун жүктөлгөн таптакыр мыйзамдуу PowerShell.exe, wscript.exe же mshta.exe файлдарын көрөсүз.

Акырында, көптөгөн актерлор файлсыз ыкмаларды башка ыкмалар менен айкалыштырышат трояндар, ransomware же жарнамалык программалар сыяктуу зыяндуу программалардын түрлөрү, натыйжада эки дүйнөнүн эң жакшысын (жана эң жаманын) айкалыштырган гибриддик кампаниялар пайда болот: туруктуулук жана жашыруундук.

Системадагы таасирине жараша файлсыз коркунучтардын түрлөрү

Бир нече коопсуздук өндүрүүчүлөрү Алар "файлсыз" коркунучтарды компьютерде калтырган изине жараша классификациялашат. Бул таксономия бизге эмнени көрүп жатканыбызды жана аны кантип изилдөө керектигин түшүнүүгө жардам берет.

I түрү: файлдык аракет көрүнбөйт

Эң жашыруун жерде биз зыяндуу программаны табабыз Ал файл системасына эч нерсе жазбайтМисалы, код алсыздыкты пайдаланган тармактык пакеттер аркылуу келет (мисалы, EternalBlue), ал түз эле эс тутумга киргизилет жана, мисалы, ядродо арткы эшик катары сакталат (DoublePulsar символикалык учур болгон).

Башка учурларда, инфекция төмөнкү жерлерде болот BIOS микропрограммасы, тармак карталары, USB түзмөктөрү же ал тургай CPU ичиндеги чакан системаларБул типтеги коркунуч операциялык системаны кайра орнотуудан, дискти форматтоодон жана ал тургай толугу менен кайра жүктөөдөн да аман калышы мүмкүн.

Көйгөй көпчүлүк коопсуздук чечимдеринде Алар микропрограмманы же микрокодду текшеришпейтЭгер алар ошондой болсо да, калыбына келтирүү татаал. Бактыга жараша, бул ыкмалар, адатта, өтө татаал актерлор үчүн гана колдонулат жана массалык чабуулдарда кадимки көрүнүш эмес.

II түрү: Файлдарды кыйыр түрдө колдонуу

Экинчи топ негизделген дискте сакталган түзүмдөрдө зыяндуу кодду камтыйтБирок салттуу аткарылуучу файлдар катары эмес, мыйзамдуу жана зыяндуу маалыматтарды аралаштырган репозиторийлерде, системага зыян келтирбестен тазалоо кыйын.

Типтүү мисалдар - сакталган скрипттер WMI репозиторийи, бүдөмүк чынжырлар Реестр ачкычтары же зыяндуу экилик файлсыз кооптуу буйруктарды ишке киргизген пландаштырылган тапшырмалар. Зыяндуу программа бул жазууларды түздөн-түз буйрук сабынан же скрипттен орнотуп, андан кийин дээрлик көрүнбөй калышы мүмкүн.

Техникалык жактан алганда, файлдар (Windows WMI репозиторийин же реестр уюгун сактаган физикалык файл) бар болсо да, практикалык максаттар үчүн биз төмөнкүлөр жөнүндө сөз кылып жатабыз файлсыз иш-аракет анткени жөн гана карантинге коюуга боло турган ачык аткарылуучу файл жок.

III түрү: Файлдардын иштеши талап кылынат

Үчүнчү түргө төмөнкүлөр кирет: Алар файлдарды колдонушат, бирок аныктоо үчүн анча пайдалуу эмес жол менен.Белгилүү мисал катары Kovterди келтирүүгө болот, ал реестрде кокустук кеңейтүүлөрдү каттайт, ошондуктан ошол кеңейтүүсү бар файл ачылганда, скрипт mshta.exe же ушул сыяктуу жергиликтүү бинардык файл аркылуу аткарылат.

Бул алдамчы файлдарда тиешеси жок маалыматтар жана чыныгы зыяндуу код камтылган Ал башка реестр ачкычтарынан алынат же ички репозиторийлер. Дискте "бир нерсе" болгону менен, аны компромисстин ишенимдүү көрсөткүчү катары колдонуу оңой эмес, андан да түз тазалоо механизми катары.

Инфекциянын эң кеңири таралган кирүү векторлору жана чекиттери

Изди классификациялоодон тышкары, кантип экенин түшүнүү маанилүү Бул жерде туруктуу файлдары жок зыяндуу программа ишке кирет. Күнүмдүк жашоодо кол салуучулар көбүнчө айлана-чөйрөгө жана бутага жараша бир нече векторлорду бириктиришет.

Эксплуатациялар жана алсыздыктар

Эң түз жолдордун бири - кыянаттык менен пайдалануу алыстан код аткаруу (RCE) кемчиликтери браузерлерде, плагиндерде (мисалы, мурдагы Flash), веб тиркемелерде же тармактык кызматтарда (SMB, RDP ж.б.) эксплойт зыяндуу жүктү түздөн-түз жүктөп же чечмелей турган shellcode'ду эс тутумга киргизет.

Бул моделде баштапкы файл тармакта болушу мүмкүн (эксплуатация түрү WannaCryже колдонуучу ачкан документте, бирок Пайдалуу жүктөм эч качан дискке аткарылуучу файл катары жазылбайт: ал чечмеленет жана RAMдан түз аткарылат.

Зыяндуу документтер жана макростар

Дагы бир катуу пайдаланылган жол - бул Макростор же DDE менен Office документтериошондой эле окурмандын алсыз жактарын пайдалануу үчүн иштелип чыккан PDF файлдары. Зыянсыз көрүнгөн Word же Excel файлында PowerShell, WMI же башка интерпретаторлорду ишке киргизип, кодду жүктөп алуу, буйруктарды аткаруу же shellcode'ду ишенимдүү процесстерге киргизүү үчүн VBA коду камтылышы мүмкүн.

Бул жерде дисктеги файл "жөн гана" маалымат контейнери болуп саналат, ал эми чыныгы вектор ... тиркеменин ички скрипт кыймылдаткычыЧындыгында, көптөгөн массалык спам кампаниялары корпоративдик тармактарга файлсыз чабуулдарды жайгаштыруу үчүн бул тактиканы кыянаттык менен колдонушкан.

Мыйзамдуу сценарийлер жана экилик файлдар (Жерден жашоо)

Чабуулчулар Windows мурунтан эле камсыз кылган куралдарды жакшы көрүшөт: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows башкаруу аспаптары, BITS ж.б. Бул кол коюлган жана ишенимдүү экилик файлдар скрипттерди, DLLдерди же алыскы мазмунду шектүү "virus.exe" кереги жок эле аткара алат.

Зыяндуу кодду өткөрүп берүү менен буйрук сабынын параметрлериАны сүрөттөргө киргизүү, эс тутумда шифрлөө жана декоддоо же реестрде сактоо антивирустун активдүүлүктү мыйзамдуу процесстерден гана көрүшүн камсыздайт, бул файлдарга гана негизделген аныктоону бир топ кыйындатат.

Бузулган жабдыктар жана микропрограммалар

Андан да төмөнкү деңгээлде, өнүккөн чабуулчулар кирип кетиши мүмкүн BIOS микропрограммасы, тармактык карталар, катуу дисктер же ал тургай CPU башкаруу тутумдары (мисалы, Intel ME же AMT). Бул типтеги зыяндуу программа операциялык системанын астында иштейт жана ОС кабардар болбостон трафикти кармап же өзгөртө алат.

Бул өтө оор сценарий болгону менен, файлсыз коркунуч канчалык деңгээлде мүмкүн экенин көрсөтүп турат ОС файл системасына тийбестен туруктуулукту сактоожана эмне үчүн классикалык акыркы чекит куралдары мындай учурларда жетишсиз болуп калат.

Туруктуу файлдарсыз зыяндуу программалык камсыздоонун чабуулу кантип иштейт

Агым деңгээлинде файлсыз чабуул файлга негизделген чабуулга абдан окшош, бирок тиешелүү айырмачылыктар пайдалуу жүк кантип ишке ашырылаары жана мүмкүнчүлүк кантип сакталаары жөнүндө.

1. Системага баштапкы кирүү

Баары чабуулчу биринчи таянычты ээлегенде башталат: а Зыяндуу шилтеме же тиркемеси бар фишинг электрондук почтасы, аялуу тиркемеге карата жасалган эксплуатация, RDP же VPN үчүн уурдалган далдаштырма маалыматтар, же ал тургай, бузулган USB түзмөгү.

Бул этапта төмөнкүлөр колдонулат: коомдук инженерияколдонуучуну чыкылдатпаш керек болгон жерлерди алдоо же Интернетте көрсөтүлгөн кызматтарды пайдалануу үчүн зыяндуу багыттамалар, зыяндуу жарнамалоо кампаниялары же зыяндуу Wi-Fi чабуулдары.

2. Эстутумда зыяндуу коддун аткарылышы

Биринчи жазуу алынгандан кийин, файлсыз компонент ишке киргизилет: Office макросу PowerShellди ишке киргизет, эксплойт shellcode киргизет, WMI жазылуусу скриптти ишке киргизет ж.б. Максат зыяндуу кодду түздөн-түз RAMга жүктөөже аны Интернеттен жүктөп алуу же камтылган маалыматтардан кайра куруу аркылуу.

Ал жерден зыяндуу программалык камсыздоо артыкчылыктарды жогорулатуу, капталга жылдыруу, грамоталарды уурдоо, веб-кабельдерди жайгаштыруу, RAT орнотуу же маалыматтарды шифрлөөмунун баары ызы-чууну азайтуу боюнча мыйзамдуу процесстер менен колдоого алынат.

3. Туруктуулукту орнотуу

Кадимки ыкмалардын арасында Алар төмөнкүлөр:

• Автоматтык түрдө иштетүү баскычтары кирүүдө буйруктарды же скрипттерди аткарган реестрде.
• Күн тартибиндеги тапшырмалар скрипттерди, параметрлери бар мыйзамдуу экилик файлдарды же алыстан буйруктарды ишке киргизет.
• WMI жазылуулары белгилүү бир системалык окуялар болгондо триггер коду.
• BITSти колдонуу буйрук жана башкаруу серверлеринен пайдалуу жүктөрдү мезгил-мезгили менен жүктөп алуу үчүн.

Кээ бир учурларда, туруктуу компонент минималдуу жана бир гана кызмат кылат зыяндуу программаны эс тутумга кайра киргизүү система ар бир жолу ишке киргенде же белгилүү бир шарт аткарылганда.

4. Буталарга жана эксфильтрацияга карата аракеттер

Туруктуулукка ынанып, чабуулчу аны чындап кызыктырган нерсеге көңүл бурат: маалыматты уурдоо, аны шифрлөө, системаларды манипуляциялоо же бир нече ай бою тыңчылык кылууЭксфильтрация HTTPS, DNS, жашыруун каналдар же мыйзамдуу кызматтар аркылуу жүргүзүлүшү мүмкүн. Реалдуу дүйнөдөгү окуяларда, билүү Хакердик чабуулдан кийинки алгачкы 24 саатта эмне кылуу керек өзгөртө алат.

APT чабуулдарында зыяндуу программалык камсыздоонун сакталып калышы көп кездешет узак убакыт бою унчукпай жана жашыруун, инфраструктуранын бир бөлүгү аныкталып, тазаланган учурда да кирүү мүмкүнчүлүгүн камсыз кылуу үчүн кошумча арткы эшиктерди куруу.

Файлсыз болушу мүмкүн болгон зыяндуу программалардын мүмкүнчүлүктөрү жана түрлөрү

Классикалык зыяндуу программа аткара турган дээрлик бардык зыяндуу функцияларды ушул ыкманы колдонуу менен ишке ашырууга болот файлсыз же жарым файлсызМаксат эмес, коддун кандайча колдонулаары өзгөрөт.

Зыяндуу программалык камсыздоо эс тутумда гана жашайт

Бул категорияга пайдалуу жүктөрдү камтыйт Алар жалаң гана процесстин же ядронун эсинде жашашат.Заманбап руткиттер, өнүккөн бэкдорлор же тыңчы программалар мыйзамдуу процесстин эс тутум мейкиндигине жүктөлүп, система кайра жүктөлмөйүнчө ошол жерде кала берет.

Бул компоненттерди дискке багытталган куралдар менен көрүү өзгөчө кыйын жана аларды колдонууга мажбурлайт тирүү эс тутумду талдоо, реалдуу убакыт режиминде текшерүү же өркүндөтүлгөн криминалистикалык мүмкүнчүлүктөрү бар EDR.

Windows реестрине негизделген зыяндуу программа

Дагы бир кайталануучу ыкма - сактоо реестр ачкычтарындагы шифрленген же чаташтырылган код жана аны эс тутумда окуу, декоддоо жана аткаруу үчүн мыйзамдуу бинардык файлды (мисалы, PowerShell, MSHTA же rundll32) колдонуңуз.

Баштапкы дроппер Реестрге жазгандан кийин өзүн-өзү жок кылып салышы мүмкүн, андыктан калганы зыянсыз көрүнгөн маалыматтардын аралашмасы гана. Алар система ишке кирген сайын коркунучту активдештиришет же белгилүү бир файл ачылган сайын.

Ransomware жана файлсыз трояндар

Файлсыз ыкма өтө агрессивдүү жүктөө ыкмалары менен шайкеш келбейт, мисалы, ransomwarePowerShell же WMI аркылуу эс тутумдагы шифрлөөнү толугу менен жүктөп алып, чечмелеп жана аткарган, ransomware аткарылуучу файлын дискте калтырбай турган кампаниялар бар.

Ошо сыяктуу эле, алыстан кирүү трояндары (RATs)Клавиатуралык коддорду уурдагандар жарым-жартылай файлсыз иштей алышат, модулдарды суроо-талап боюнча жүктөшөт жана негизги логиканы мыйзамдуу системалык процесстерде жайгаштырышат.

Эксплуатациялык комплекттер жана уурдалган маалыматтар

Веб-эксплуатация комплекттери табышмактын дагы бир бөлүгү: алар орнотулган программалык камсыздоону аныктайт, Алар тиешелүү эксплойтту тандап, пайдалуу жүктү түз эле эс тутумга киргизишет., көп учурда дискке эч нерсе сактабастан.

Экинчи жагынан, пайдалануу уурдалган грамоталар Бул файлсыз ыкмаларга абдан жакшы дал келген вектор: чабуулчу мыйзамдуу колдонуучу катары аутентификацияланат жана ал жерден зыяндуу программанын классикалык издерин калтырбаган скрипттерди жана буйруктарды жайгаштыруу үчүн жергиликтүү административдик куралдарды (PowerShell Remoting, WMI, PsExec) кыянаттык менен колдонот.

Эмне үчүн файлсыз зыяндуу программаны аныктоо ушунчалык кыйын?

Негизги себеби, бул коркунучтун түрү атайын иштелип чыккандыгында. салттуу коргонуу катмарларын айланып өтүүкол тамгаларга, ак тизмелерге жана мезгил-мезгили менен файлдарды сканерлөөгө негизделген.

Эгерде зыяндуу код эч качан дискте аткарылуучу файл катары сакталбаса же ал WMI, реестр же микропрограмма сыяктуу аралаш контейнерлерде жашырылса, салттуу антивирус программасында талдоо үчүн өтө аз нерсе бар. "Шектүү файлдын" ордуна, сизде бар нерсе аномалиялык жүрүм-туруму бар мыйзамдуу процесстер.

Мындан тышкары, ал PowerShell, Office макростор же WMI сыяктуу куралдарды кескин түрдө бөгөттөйт. Ал көптөгөн уюмдарда ишке ашпайтАнткени алар башкаруу, автоматташтыруу жана күнүмдүк операциялар үчүн абдан маанилүү. Бул жактоочуларды өтө этият болууга мажбурлайт.

Айрым сатуучулар тез оңдоолор менен компенсациялоого аракет кылышты (жалпы PowerShell бөгөттөө, макрону толугу менен өчүрүү, булутта гана аныктоо ж.б.), бирок бул чаралар көбүнчө... жетишсиз же ашыкча бузуучу бизнес үчүн.

Файлсыз зыяндуу программаларды аныктоо жана токтотуунун заманбап стратегиялары

Бул коркунучтарга каршы туруу үчүн жөн гана файлдарды сканерлөөдөн ашып, максаттуу мамилени кабыл алуу зарыл. жүрүм-турум, реалдуу убакыттагы телеметрия жана терең көрүнүү акыркы пункттан.

Жүрүм-турумду жана эс тутумду көзөмөлдөө

Натыйжалуу ыкма процесстердин чындыгында эмне кылаарын байкоону камтыйт: Алар кандай буйруктарды аткарышат, кандай ресурстарга киришет, кандай байланыштарды түзүшөталардын бири-бири менен кандай байланышы бар ж.б. Миңдеген зыяндуу программалардын варианттары бар болгону менен, зыяндуу жүрүм-турум үлгүлөрү бир топ чектелүү. Муну дагы төмөнкүлөр менен толуктоого болот YARA менен өркүндөтүлгөн аныктоо.

Заманбап чечимдер бул телеметрияны эс тутумдагы аналитика, өнүккөн эвристика жана башкалар менен айкалыштырат. машина үйрөнүү код өтө чаташтырылган же мурда эч качан көрүлбөгөн учурда да, чабуул чынжырларын аныктоо үчүн.

AMSI жана ETW сыяктуу системалык интерфейстерди колдонуу

Windows сыяктуу технологияларды сунуштайт Антивирустук сканерлөө интерфейси (AMSI) y Windows үчүн окуяга көз салуу (ETW) Бул булактар ​​системалык скрипттерди жана окуяларды өтө төмөнкү деңгээлде текшерүүгө мүмкүндүк берет. Бул булактарды коопсуздук чечимдерине интеграциялоо аныктоону жеңилдетет. зыяндуу код аны аткаруудан мурун же аткаруу учурунда.

Мындан тышкары, маанилүү багыттарды — пландаштырылган тапшырмаларды, WMI жазылууларын, жүктөө реестринин ачкычтарын ж.б. талдоо аныктоого жардам берет жашыруун файлсыз туруктуулук жөнөкөй файлдарды сканерлөө менен байкалбай калышы мүмкүн.

Коркунучту издөө жана чабуулдун индикаторлору (IoA)

Классикалык индикаторлор (хэштер, файл жолдору) жетишсиз болгондуктан, төмөнкүлөргө таянуу сунушталат чабуулдун индикаторлору (IoA), алар белгилүү тактикаларга туура келген шектүү жүрүм-турумдарды жана аракеттердин ырааттуулугун сүрөттөйт.

Коркунучтарды издөө топтору — ички же башкарылуучу кызматтар аркылуу — проактивдүү издөө жүргүзө алышат каптал кыймыл үлгүлөрү, жергиликтүү куралдарды туура эмес колдонуу, PowerShellди колдонуудагы аномалиялар же купуя маалыматтарга уруксатсыз кирүү, файлсыз коркунучтарды кырсыкка алып келе электе аныктоо.

EDR, XDR жана SOC күнү-түнү

Заманбап платформалар EDR жана XDR (Кеңейтилген деңгээлдеги акыркы чекитти аныктоо жана жооп берүү) биринчи фишинг электрондук катынан баштап акыркы эксфильтрацияга чейин окуянын толук тарыхын калыбына келтирүү үчүн зарыл болгон көрүнүүнү жана корреляцияны камсыз кылат.

менен айкалышкан 24/7 иштөөчү SOCАлар аныктоого гана эмес, ошондой эле автоматтык түрдө камтыйт жана түзөтөт зыяндуу иш-аракеттер: компьютерлерди обочолонтуу, процесстерди бөгөттөө, реестрдеги өзгөртүүлөрдү кайтаруу же мүмкүн болгон учурда шифрлөөнү жокко чыгаруу.

Файлсыз зыяндуу программалык камсыздоо ыкмалары оюнду өзгөрттү: жөн гана антивирустук сканерлөөнү иштетип, шектүү аткарылуучу файлды жок кылуу жетишсиз болуп калды. Бүгүнкү күндө коргонуу чабуулчулар кодду эс тутумда, реестрде, WMIде же микропрограммада жашыруу жана жүрүм-турумдук мониторингди, эс тутумдагы анализди, EDR/XDRди, коркунучтарды издөөнү жана мыкты тажрыйбаларды айкалыштыруу менен алсыздыктарды кантип пайдаланаарын түшүнүүнү камтыйт. Таасирди реалдуу түрдө азайтыңыз Салттуу чечимдер көрүнгөн жерде эч кандай из калтырбоого аракет кылган чабуулдар комплекстүү жана үзгүлтүксүз стратегияны талап кылат. Компромисс болгон учурда, билүү олуттуу вирус кийин Windows калыбына келтирүү маанилүү.