Файлсыз файлдарды аныктоо: эс тутумдагы зыяндуу программаларды аныктоо жана токтотуу боюнча толук жол

Дискте из калтырбай иштеген чабуулдар көптөгөн коопсуздук топтору үчүн чоң баш ооруга айланды, анткени алар толугу менен эс тутумда аткарылат жана мыйзамдуу система процесстерин пайдаланышат. Демек, билүү маанилүү файлсыз файлдарды кантип аныктоого болот жана алардан коргонуу.

Баш макалалардан жана тенденциялардан тышкары, алардын кантип иштээрин, эмне үчүн мынчалык түшүнүксүз экенин жана аларды аныктоого кандай белгилер мүмкүндүк берерин түшүнүү инцидентти камтыган менен бузууга өкүнүүнүн ортосундагы айырманы түзөт. Кийинки саптарда биз маселени талдап, сунуштайбыз чечимдер.

Файлсыз зыяндуу программа деген эмне жана ал эмне үчүн маанилүү?

 

Файлсыз кесепеттүү программа белгилүү бир үй-бүлө эмес, тескерисинче, иштөө ыкмасы: Аткаруучу файлдарды дискке жазуудан алыс болуңуз Ал зыяндуу кодду ишке ашыруу үчүн системада мурунтан эле бар кызматтарды жана бинардык файлдарды колдонот. Оңой сканерлөөчү файлды калтыруунун ордуна, чабуулчу ишенимдүү утилиталарды кыянаттык менен пайдаланып, анын логикасын түздөн-түз RAMга жүктөйт.

Бул ыкма көбүнчө "Жерден алыс жашоо" философиясында камтылган: чабуулчулар PowerShell, WMI, mshta, rundll32 сыяктуу жергиликтүү куралдар же минималдуу ызы-чуу менен максаттарына жетүү үчүн VBScript жана JScript сыяктуу скрипт кыймылдаткычтары.

Анын эң өкүлчүлүгүнүн арасында биз табабыз: туруксуз эстутумда аткаруу, дискте аз же такыр жок, система кол коюлган компоненттерди колдонуу жана кол тамгага негизделген кыймылдаткычтарга каршы жогорку качуу мүмкүнчүлүгү.

Кайра жүктөөдөн кийин көптөгөн пайдалуу жүктөр жок болуп кетсе да, алданбаңыз: душмандар туруктуулукту орното алышат Реестр ачкычтарын, WMI жазылууларын же пландаштырылган тапшырмаларды дискте шектүү экилик файлдарды калтырбастан колдонуу менен.

Эмне үчүн бизге файлсыз файлдарды аныктоо кыйынга турат?

Биринчи тоскоолдук айкын: Текшере турган аномалдуу файлдар жокКол коюуга жана файлды талдоого негизделген салттуу антивирустук программаларда аткаруу жарактуу процесстерде жана эстутумда зыяндуу логика сакталганда маневр үчүн аз орун бар.

Экинчиси кыйла тымызын: кол салгандар артына камуфляж жасашат мыйзамдуу операциялык система процесстериЭгерде PowerShell же WMI башкаруу үчүн күн сайын колдонулса, контекстсиз жана жүрүм-турумдук телеметриясыз кадимки колдонууну зыяндуу колдонуудан кантип айырмалай аласыз?

Андан тышкары, маанилүү куралдарды сокур түрдө бөгөттөө мүмкүн эмес. Башкача айтканда PowerShell же Office макросторун өчүрүү операцияларды жана Ал толугу менен кыянаттык менен алдын ала албайтанткени жөнөкөй блокторду айланып өтүү үчүн бир нече альтернативдүү аткаруу жолдору жана ыкмалары бар.

Баарынан маанилүүсү, булут же сервердик аныктоо көйгөйлөрдү алдын алуу үчүн өтө кеч. Маселеге реалдуу убакытта жергиликтүү көрүнүш жок... буйрук саптары, процесс мамилелери жана журнал окуяларыАгент дискте эч кандай из калтырбаган зыяндуу агымды басаңдата албайт.

Файлсыз чабуул башынан аягына чейин кантип иштейт

Баштапкы мүмкүндүк адаттагыдай эле векторлор менен ишке ашат: кеңсе документтери менен фишинг жигердүү мазмунду, бузулган сайттарга шилтемелерди иштетүүнү, ачыкка чыккан колдонмолордогу кемчиликтерди пайдаланууну же RDP же башка кызматтар аркылуу кирүү үчүн ачыкка чыккан эсептик дайындарды кыянаттык менен пайдаланууну суранган.

Ичке киргенден кийин, атаандаш дискке тийбестен аткарууга умтулат. Бул үчүн, алар системанын функцияларын бириктирет: макростор же документтердеги DDE Бул буйруктарды ишке киргизет, RCE үчүн ашыкча эксплуатациялайт же эстутумда кодду жүктөөгө жана аткарууга мүмкүндүк берген ишенимдүү бинарларды чакырат.

Эгерде операция үзгүлтүксүздүктү талап кылса, өжөрлүк жаңы аткарылуучу файлдарды колдонбостон ишке ашырылышы мүмкүн: реестрдеги баштапкы жазууларБелгилүү шарттарда скрипттерди иштеткен тутум окуяларына же пландаштырылган тапшырмаларга жооп берген WMI жазылуулары.

Белгиленген аткаруу менен, максат төмөнкү кадамдарды талап кылат: капталга жылдыруу, маалыматтарды эксфильтрациялооБуга эсептик дайындарды уурдоо, RAT жайгаштыруу, криптовалюталарды казуу же ransomware учурда файлдын шифрлөөсүн активдештирүү кирет. Мунун баары, мүмкүн болгондо, бар болгон функцияларды колдонуу менен жасалат.

Далилдерди алып салуу пландын бир бөлүгү болуп саналат: шектүү бинарларды жазбай, чабуулчу талдоочу артефакттарды олуттуу түрдө азайтат. алардын активдүүлүгүн кадимки окуялардын ортосунда аралаштыруу системанын жана мүмкүн болсо, убактылуу издерди жок кылуу.

Алар адатта колдонгон техникалар жана аспаптар

Каталог кенен, бирок ал дээрлик ар дайым жергиликтүү коммуналдык кызматтардын жана ишенимдүү маршруттардын тегерегинде болот. Булар эң кеңири таралгандардын айрымдары, ар дайым максаты менен эстутумдагы аткарууну максималдуу жогорулатуу жана изди бүдөмүктөтүү:

• PowerShellКүчтүү скрипт, Windows API'лерине жетүү жана автоматташтыруу. Анын ар тараптуулугу аны башкаруу үчүн да, адепсиздик үчүн да сүйүктүү кылат.
• WMI (Windows башкаруу инструменттери)Бул системанын окуяларына суроо берүүгө жана реакция кылууга, ошондой эле алыскы жана жергиликтүү аракеттерди аткарууга мүмкүндүк берет; үчүн пайдалуу туруктуулук жана оркестр.
• VBScript жана JScript: система компоненттери аркылуу логиканын аткарылышын жеңилдеткен көптөгөн чөйрөлөрдөгү кыймылдаткычтар.
• mshta, rundll32 жана башка ишенимдүү бинарлар: белгилүү LoLBins, алар туура байланышканда, мүмкүн артефакттарды таштабастан кодду аткарыңыз дискте көрүнүп турат.
• Активдүү мазмуну бар документтерOffice'теги макростар же DDE, ошондой эле өркүндөтүлгөн мүмкүнчүлүктөрү бар PDF окурмандары эстутумдагы буйруктарды ишке киргизүү үчүн трамплин катары кызмат кыла алат.
• Windows реестр: өз алдынча жүктөө ачкычтары же система компоненттери тарабынан иштетилген пайдалуу жүктөрдү шифрленген/жашыруун сактоо.
• Талма жана процесстерге инъекция: үчүн иштеп жаткан процесстердин эс мейкиндигин өзгөртүү зыяндуу логиканы кабыл алуу мыйзамдуу аткарылуучу файлдын ичинде.
• Операциялык комплекттер: жабырлануучунун системасындагы алсыздыктарды аныктоо жана дискке тийбестен аткарууга жетүү үчүн ылайыкташтырылган эксплуатацияларды жайылтуу.

Компаниялар үчүн кыйынчылык (жана эмне үчүн бардыгын блоктоо жетишсиз)

Адал мамиле кескин чараны сунуштайт: PowerShellди бөгөттөө, макросторго тыюу салуу, rundll32 сыяктуу бинарларды болтурбоо. Чындык дагы нюанстуу: Бул куралдардын көбү маанилүү. күнүмдүк IT операциялары жана административдик автоматташтыруу үчүн.

Мындан тышкары, чабуулчулар боштуктарды издешет: скрипт кыймылдаткычын башка жолдор менен иштетүү, альтернативдик көчүрмөлөрдү колдонууСиз логиканы сүрөттөрдө топтой аласыз же азыраак көзөмөлдөнүүчү LoLBinsге кайрыла аласыз. Катуу бөгөттөө акырында толук коргонууну камсыз кылбастан сүрүлүүнү жаратат.

Таза сервердик же булуттагы талдоо да маселени чечпейт. Бай акыркы чекит телеметриясы жок жана жок агенттин өзүндө жооп берүүЧечим кеч чыгат жана алдын алуу мүмкүн эмес, анткени биз тышкы өкүмдү күтүшүбүз керек.

Ошол эле учурда, рыноктук отчеттор көптөн бери бул чөйрөдө абдан маанилүү өсүштү көрсөтүп келет PowerShellди кыянаттык менен пайдалануу аракеттери дээрлик эки эсеге көбөйдү кыска мөөнөттө, бул душмандар үчүн кайталануучу жана пайдалуу тактика экенин тастыктайт.

Заманбап аныктоо: файлдан жүрүм-турумга чейин

Эң негизгиси ким өлтүрүп жатканында эмес, кантип жана эмне үчүн. мониторинг жүргүзүү процессинин жүрүм-туруму жана анын мамилелери Бул чечүүчү: буйрук сабы, процессти мурастоо, сезгич API чалуулары, чыгуучу байланыштар, Реестрдеги өзгөртүүлөр жана WMI окуялары.

Бул ыкма качуу бетин кескин кыскартат: тартылган бинардык өзгөртүүлөр болсо да, кол салуулар кайталанат (эстутумда жүктөө жана аткаруу скрипттери, LoLBinsди кыянаттык менен пайдалануу, котормочуларды чакыруу ж.б.). Файлдын "өздүгүн" эмес, ошол скриптти талдоо аныктоону жакшыртат.

Натыйжалуу EDR/XDR платформалары инциденттердин толук тарыхын калыбына келтирүү үчүн сигналдарды корреляциялайт негизги себеп Бул баяндоо "көрсөтүлгөн" процессти күнөөлөгөндүн ордуна, обочолонгон бир бөлүгүн эмес, бүт агымды жумшартуу үчүн тиркемелерди, макросторду, котормочуларды, пайдалуу жүктөрдү жана туруктуулукту байланыштырат.

сыяктуу алкактарды колдонуу MITER AT&CK Бул байкалган тактикаларды жана ыкмаларды (TTPs) картага түшүрүүгө жана коркунучтуу аңчылыкты кызыктырган жүрүм-турумдарга карай багыттоого жардам берет: аткаруу, өжөрлүк, коргонуудан качуу, эсептик маалыматтарга кирүү, ачылыш, каптал кыймыл жана эксфилтрация.

Акыр-аягы, акыркы чекиттин жооп оркестри дароо болушу керек: аппаратты изоляциялоо, процесстерди аяктайт Тышкы ырастоолорду күтпөстөн, Реестрдеги же тапшырма пландоочудагы өзгөртүүлөрдү кайра кайтарыңыз жана шектүү чыгуучу байланыштарды бөгөттөңүз.

Пайдалуу телеметрия: эмнени караш керек жана кантип артыкчылыктуу

Системаны каныктырбастан аныктоо ыктымалдыгын жогорулатуу үчүн жогорку маанидеги сигналдарга артыкчылык берүү сунушталат. Контекстти камсыз кылган кээ бир булактар ​​жана башкаруу элементтери. файлсыз үчүн маанилүү Алар төмөнкүлөр:

• Детальдуу PowerShell журналы жана башка котормочулар: скрипт бөгөттөөлөр журналы, буйрук таржымалы, жүктөлгөн модулдар жана AMSI окуялары, жеткиликтүү болгондо.
• WMI репозиторийОкуя чыпкаларын, керектөөчүлөрдү жана шилтемелерди, өзгөчө сезимтал аттар мейкиндигинде түзүү же өзгөртүү боюнча инвентаризация жана эскертүү.
• Коопсуздук окуялары жана Sysmon: процесстин корреляциясы, сүрөттүн бүтүндүгү, эстутум жүктөө, инъекция жана пландаштырылган тапшырмаларды түзүү.
• Кызыл: аномалдуу чыгуучу байланыштар, сигнализация, пайдалуу жүктү жүктөө үлгүлөрү жана эксфильтрация үчүн жашыруун каналдарды колдонуу.

Автоматташтыруу буудайды топондон ажыратууга жардам берет: жүрүм-турумга негизделген аныктоо эрежелери, уруксат берилген тизмелер мыйзамдуу башкаруу жана коркунуч чалгындоосу менен байытуу жалган позитивдерди чектейт жана жооп кайтарууну тездетет.

алдын алуу жана бети кыскартуу

Эч бир чара жетиштүү эмес, бирок катмарлуу коргонуу коркунучун бир топ азайтат. Алдын алуу жагында иш-аракеттердин бир нече багыттары өзгөчөлөнөт өсүмдүк векторлору жана душмандын жашоосун кыйындатат:

• Макро башкаруу: демейки боюнча өчүрүү жана өтө зарыл болгондо гана уруксат берүү жана кол коюу; топтук саясаттар аркылуу майдаланган башкаруу.
• Котормочуларды жана LoLBinsди чектөө: AppLocker/WDAC же эквивалентти колдонуңуз, скрипттерди жана аткаруу шаблондорун комплекстүү каттоо менен башкаруу.
• Жамааттар жана жумшартуулар: эксплуатациялануучу аялуу жерлерди жабуу жана RCE жана инъекцияларды чектеген эстутумду коргоону активдештирүү.
• Күчтүү аутентификацияТИМ жана ишенимди кыянаттык менен пайдаланууну ооздуктоо үчүн нөл ишеним принциптери жана каптал кыймылын азайтуу.
• Маалымдуулук жана симуляциялар: фишинг боюнча практикалык тренинг, активдүү мазмундагы документтер жана аномалдык аткаруу сигналдары.

Бул чаралар реалдуу убакытта зыяндуу жүрүм-турумду аныктоо үчүн трафикти жана эстутумду талдоочу чечимдер менен толукталат, ошондой эле сегменттөө саясаты жана бир нерсе өтүп кеткенде таасирин камтыган минималдуу артыкчылыктар.

Иштеп жаткан кызматтар жана ыкмалар

Көптөгөн акыркы чекиттери жана критикалык деңгээли жогору болгон чөйрөлөрдө аныктоо жана жооп берүү кызматтары башкарылат 24/7 мониторинг Алар окуяны токтотууну тездеткенин далилдешти. SOC, EMDR/MDR жана EDR/XDR айкалышы эксперттик көздөрдү, бай телеметрияны жана макулдашылган жооп берүү мүмкүнчүлүктөрүн камсыз кылат.

Эң эффективдүү провайдерлер жүрүм-турумга өтүүнү өздөштүргөн: жеңил салмактагы агенттер ядро ​​деңгээлинде иш-аракеттерди корреляциялооАлар чабуулдун толук тарыхын калыбына келтиришет жана зыяндуу чынжырларды аныктаганда автоматтык түрдө жумшартууну колдонушат жана өзгөртүүлөрдү жокко чыгаруу үчүн артка кайтаруу мүмкүнчүлүгү бар.

Параллелдүү, акыркы чекиттерди коргоо топтомдору жана XDR платформалары борборлоштурулган көрүнүштү жана коркунучтарды башкарууну жумушчу станциялар, серверлер, идентификациялар, электрондук почта жана булут аркылуу бириктирет; максаты жоюу болуп саналат чабуул чынжыр файлдардын катышы бар-жоктугуна карабастан.

Коркунучтарга аңчылык кылуу үчүн практикалык көрсөткүчтөр

Эгерде сиз издөө гипотезаларына артыкчылык беришиңиз керек болсо, анда сигналдарды бириктирүүгө көңүл буруңуз: адаттан тыш параметрлери менен котормочуну ишке киргизген кеңсе процесси, WMI жазылуусун түзүү Документти ачкандан кийин, баштоо ачкычтарына өзгөртүүлөр киргизилет, андан кийин репутациясы начар домендерге кошулат.

Дагы бир эффективдүү ыкма – чөйрөңүздүн базалык көрсөткүчтөрүнө таянуу: серверлериңизде жана жумушчу станцияларыңызда эмне нормалдуу? Кандайдыр бир четтөө (котормочу ата-эне катары пайда болгон жаңы кол коюлган бинардык файлдар, аткарууда күтүлбөгөн жерден өсүү (скрипттердин, бүдөмүктүү буйрук саптарынын) изилдөөгө татыктуу.

Акырында, эстутумду унутпаңыз: эгер сизде иштеп жаткан аймактарды текшерген же сүрөттөрдү тарткан куралдарыңыз болсо, RAMдагы табылгалар Алар файлсыз иштөөнүн так далили боло алат, айрыкча файл тутумунда артефакттар жок болгондо.

Бул тактикалардын, ыкмалардын жана башкаруунун айкалышы коркунучту жок кылбайт, бирок аны өз убагында аныктоо үчүн сизге жакшыраак шарт түзөт. чынжырды кесип жана таасирин азайтат.

Мунун баары акылдуулук менен колдонулганда - акыркы чекитке бай телеметрия, жүрүм-турумдун корреляциясы, автоматташтырылган жооп жана тандалма катаалдаштыруу - файлсыз тактика өзүнүн артыкчылыктарынын көбүн жоготот. Жана ал өнүгө берсе да, жүрүм-турумуна басым жасоо Файлдарда эмес, ал сиздин коргонууңуз үчүн аны менен өнүгүш үчүн бекем негизди сунуштайт.