Failų be failų identifikavimas: raktų aptikimas ir apsauga

Be failų veikianti kenkėjiška programa gyvena atmintyje ir piktnaudžiauja teisėtais įrankiais („PowerShell“, WMI, „LoLBins“), todėl ją sunku aptikti pagal failus.
Svarbiausia yra stebėti elgseną: procesų ryšius, komandų eilutes, registrą, WMI ir tinklą, nedelsiant reaguojant į galinį tašką.
Sluoksniuota gynyba apjungia interpretatorių apribojimus, makrokomandų valdymą, pataisų diegimą, MFA ir EDR/XDR su išsamia telemetrija ir visą parą veikiančiu SOC.

Atakos, kurios veikia nepalikdamos pėdsakų diske, tapo dideliu galvos skausmu daugeliui saugumo komandų, nes jos vykdomos tik atmintyje ir išnaudoja teisėtus sistemos procesus. Todėl svarbu žinoti kaip atpažinti failus be failų ir gintis nuo jų.

Be antraščių ir tendencijų, svarbu suprasti, kaip jos veikia, kodėl jos tokios sunkiai pastebimos ir kokie ženklai leidžia jas aptikti, ir tai, ar incidentas bus suvaldytas, ar gailėsimės dėl pažeidimo. Toliau analizuojame problemą ir siūlome... sprendimai.

Kas yra kenkėjiška programa be failų ir kodėl ji svarbi?

Be failų veikianti kenkėjiška programa nėra specifinė šeima, o veikimo būdas: Venkite rašyti vykdomuosius failus į diską Jis naudoja sistemoje jau esančias paslaugas ir dvejetainius failus kenkėjiškam kodui vykdyti. Užuot palikęs lengvai nuskaitomą failą, užpuolikas piktnaudžiauja patikimomis programomis ir įkelia jos logiką tiesiai į RAM.

Šis požiūris dažnai apima „Gyvenimo iš žemės“ filosofiją: užpuolikai instrumentalizuoja vietiniai įrankiai, tokie kaip „PowerShell“, WMI, „mshta“, „rundll32“ arba scenarijų variklius, tokius kaip VBScript ir JScript, kad pasiektų savo tikslus su minimaliu triukšmu.

Tarp labiausiai būdingų bruožų randame: vykdymas nepastoviojoje atmintyje, mažas arba jo visai nėra diske, naudojami sistemos pasirašyti komponentai ir didelė apėjimo nuo parašais pagrįstų variklių galimybė.

Nors daugelis naudingųjų apkrovų dingsta po perkrovimo, neapsigaukite: priešininkai gali sukurti atkaklumą naudojant registro raktus, WMI prenumeratas arba suplanuotas užduotis, nepaliekant įtartinų dvejetainių failų diske.

Sunkumai aptinkant kenkėjiškas programas be failų

Kodėl mums taip sunku atpažinti failus be failų?

Pirmasis barjeras akivaizdus: Nėra jokių anomalių failų, kuriuos būtų galima patikrintiTradicinės antivirusinės programos, pagrįstos parašais ir failų analize, turi mažai erdvės manevruoti, kai vykdymas vyksta galiojančiuose procesuose, o kenkėjiška logika – atmintyje.

Antrasis yra subtilesnis: užpuolikai maskuojasi už nugaros teisėti operacinės sistemos procesaiJei „PowerShell“ arba WMI naudojami kasdien administravimui, kaip atskirti įprastą naudojimą nuo kenkėjiško naudojimo be konteksto ir elgsenos telemetrijos?

Be to, aklai blokuoti svarbius įrankius neįmanoma. Išjungus „PowerShell“ arba „Office“ makrokomandas, galima sutrikdyti operacijas ir Tai visiškai neužkerta kelio piktnaudžiavimuines yra keli alternatyvūs vykdymo keliai ir būdai apeiti paprastus blokus.

Be viso to, debesijos pagrindu arba serveryje atliekamas aptikimas yra per vėlyvas, kad būtų išvengta problemų. Neturint realaus laiko vietinio problemos matomumo... komandų eilutės, procesų ryšiai ir žurnalų įvykiaiAgentas negali akimirksniu sušvelninti kenkėjiško srauto, kuris nepalieka jokių pėdsakų diske.

Išskirtinis turinys – spustelėkite čia Kaip prisiregistruoti „Sophos Home“?

Kaip veikia failų neturinti ataka nuo pradžios iki pabaigos

Pradinė prieiga paprastai atliekama su tais pačiais vektoriais kaip ir visada: sukčiavimas naudojant biuro dokumentus prašo įjungti aktyvų turinį, nuorodas į pažeistas svetaines, išnaudoti pažeidžiamumus pažeidžiamose programose arba piktnaudžiauti nutekintais prisijungimo duomenimis, siekiant pasiekti per RDP ar kitas paslaugas.

Patekęs į vidų, priešininkas bando įvykdyti veiksmą neliesdamas disko. Tam jie sujungia sistemos funkcijas: makrokomandos arba DDE dokumentuose kurios paleidžia komandas, išnaudoja perpildymus RCE arba iškviečia patikimus dvejetainius failus, leidžiančius įkelti ir vykdyti kodą atmintyje.

Jei operacijai reikalingas tęstinumas, duomenų tęstinumą galima įgyvendinti nediegiant naujų vykdomųjų failų: paleidimo įrašai registreWMI prenumeratos, reaguojančios į sistemos įvykius arba suplanuotas užduotis, kurios tam tikromis sąlygomis suaktyvina scenarijus.

Nustačius vykdymą, tikslas diktuoja šiuos veiksmus: judėti į šonus, išfiltrato duomenysTai apima prisijungimo duomenų vagystę, RAT diegimą, kriptovaliutų kasimą arba failų šifravimo aktyvavimą išpirkos reikalaujančios programinės įrangos atveju. Visa tai, kai įmanoma, daroma panaudojant esamas funkcijas.

Įrodymų pašalinimas yra plano dalis: nerašydamas įtartinų dvejetainių failų, užpuolikas žymiai sumažina analizuojamų artefaktų skaičių. derinant jų veiklą tarp įprastų įvykių sistemos ir, kai įmanoma, laikinų pėdsakų ištrynimą.

identifikuoti failus be failų

Paprastai naudojami metodai ir įrankiai

Katalogas yra platus, tačiau beveik visada jame pateikiami vietiniai komunaliniai paslaugų teikėjai ir patikimi maršrutai. Tai yra vieni iš labiausiai paplitusių, visada siekiant maksimaliai padidinti vykdymą atmintyje ir suliekite pėdsaką:

PowerShell "Galingas scenarijų kūrimas, prieiga prie „Windows“ API ir automatizavimas. Dėl savo universalumo jis yra populiarus tiek administravimo, tiek piktnaudžiavimo tikslais.
WMI („Windows“ valdymo instrumentai)Tai leidžia jums pateikti užklausas ir reaguoti į sistemos įvykius, taip pat atlikti nuotolinius ir vietinius veiksmus; naudinga atkaklumas ir orkestravimas.
VBScript ir JScript: daugelyje aplinkų esantys varikliai, kurie palengvina logikos vykdymą per sistemos komponentus.
mshta, rundll32 ir kiti patikimi dvejetainiai failaigerai žinomi „LoLBin“ elementai, kurie, tinkamai susieti, gali vykdyti kodą neprarandant artefaktų matomas diske.
Dokumentai su aktyviu turiniu„Office“ makrokomandos arba DDE, taip pat PDF skaitytuvai su išplėstinėmis funkcijomis, gali būti naudojami kaip tramplinas komandoms paleisti atmintyje.
„Windows“ registrassavaiminio paleidimo raktai arba užšifruota / paslėpta naudingųjų apkrovų saugykla, kurią aktyvuoja sistemos komponentai.
Konfiskavimas ir injekcija į procesus: veikiančių procesų atminties vietos modifikavimas kenkėjiška logika teisėtame vykdomajame faile.
Operaciniai rinkiniaiAukos sistemos pažeidžiamumų aptikimas ir pritaikytų pažeidžiamumų diegimas, siekiant įvykdyti pažeidimą neliečiant disko.

Iššūkis įmonėms (ir kodėl tiesiog visko blokavimo nepakanka)

Naivus požiūris siūlo drastišką priemonę: blokuoti „PowerShell“, uždrausti makrokomandas, užkirsti kelią dvejetainiams failams, tokiems kaip rundll32. Realybė yra niuansuotesnė: Daugelis šių įrankių yra būtini. kasdienėms IT operacijoms ir administraciniam automatizavimui.

Išskirtinis turinys – spustelėkite čia Ar ProtonVPN greitas?

Be to, užpuolikai ieško spragų: skriptų variklio paleidimo kitais būdais, naudoti alternatyvias kopijasGalite pateikti logiką paveikslėliuose arba pasinaudoti mažiau stebimais LoLBin. Grubus blokavimas galiausiai sukuria trintį neužtikrindamas visiškos apsaugos.

Vien serverio pusės arba debesijos pagrindu atliekama analizė taip pat neišsprendžia problemos. Be išsamios galinių taškų telemetrijos ir be paties agento reagavimasSprendimas priimamas pavėluotai, o prevencija neįmanoma, nes turime laukti išorinio verdikto.

Tuo tarpu rinkos ataskaitos jau seniai rodo labai didelį šios srities augimą, o piko metu Bandymai piktnaudžiauti „PowerShell“ beveik padvigubėjo trumpais laikotarpiais, o tai patvirtina, kad tai yra pasikartojanti ir pelninga taktika priešininkams.

Modernus aptikimas: nuo failo iki elgsenos

Svarbiausia ne tai, kas vykdo, o kaip ir kodėl. proceso elgsena ir jos ryšiai Tai lemiama: komandinė eilutė, procesų paveldėjimas, jautrūs API iškvietimai, išeinantys ryšiai, registro pakeitimai ir WMI įvykiai.

Šis metodas smarkiai sumažina vengimo paviršių: net jei susiję dvejetainiai failai pasikeičia, atakų modeliai kartojasi (scenarijai, kurie atsisiunčiami ir vykdomi atmintyje, piktnaudžiavimas „LoLBin“ elementais, interpretatorių iškvietimas ir kt.). To scenarijaus, o ne failo „tapatybės“ analizė pagerina aptikimą.

Efektyvios EDR/XDR platformos koreliuoja signalus, kad atkurtų visą incidentų istoriją, identifikuodamos Pagrindinė priežastis Užuot kaltinęs „pasirodžiusį“ procesą, šis pasakojimas susieja priedus, makrokomandas, interpretatorius, naudingąją apkrovą ir atkaklumą, kad sušvelnintų visą srautą, o ne tik atskirą jo dalį.

Tokių sistemų taikymas kaip MITER ATT&CK Tai padeda nustatyti pastebėtą taktiką ir metodus (TTP) ir nukreipti grėsmių paiešką į dominantį elgesį: vykdymą, atkaklumą, gynybos vengimą, prieigą prie kredencialų, aptikimą, judėjimą į šonus ir eksfiltraciją.

Galiausiai, galinio taško atsako orkestravimas turi būti neatidėliotinas: izoliuoti įrenginį, pabaigos procesai dalyvauja, atšaukia registro arba užduočių planuoklės pakeitimus ir blokuoja įtartinus siunčiamus ryšius nelaukdami išorinių patvirtinimų.

Naudinga telemetrija: į ką atkreipti dėmesį ir kaip nustatyti prioritetus

Norint padidinti aptikimo tikimybę neperkraunant sistemos, patartina teikti pirmenybę didelės vertės signalams. Kai kurie šaltiniai ir valdikliai, kurie suteikia kontekstą. labai svarbus be failų garsas:

Išsamus „PowerShell“ žurnalas ir kiti interpretatoriai: scenarijų blokų žurnalas, komandų istorija, įkelti moduliai ir AMSI įvykiai, jei yra.
WMI saugyklaInventorizacija ir įspėjimai apie įvykių filtrų, vartotojų ir nuorodų kūrimą ar modifikavimą, ypač jautriose vardų erdvėse.
Saugumo įvykiai ir „Sysmon“: procesų koreliacija, vaizdo vientisumas, atminties įkrovimas, įterpimas ir suplanuotų užduočių kūrimas.
raudonasanomalūs išeinantys ryšiai, švyturių siuntimas, naudingosios apkrovos atsisiuntimo modeliai ir slaptų kanalų naudojimas eksfiltracijai.

Automatizavimas padeda atskirti grūdus nuo pelų: elgesiu pagrįstos aptikimo taisyklės, leidžiamieji sąrašai teisėtas administravimas o praturtinimas grėsmių žvalgybos duomenimis riboja klaidingai teigiamus rezultatus ir pagreitina reagavimą.

Paviršiaus prevencija ir mažinimas

Nė vienos priemonės nepakanka, tačiau daugiasluoksnė gynyba labai sumažina riziką. Prevenciniu požiūriu išsiskiria kelios veiksmų kryptys iškirpti vektorius ir apsunkinti priešininko gyvenimą:

Makro valdymas: pagal numatytuosius nustatymus išjungti ir leisti tik tada, kai tai absoliučiai būtina ir pasirašyta; detalūs valdikliai naudojant grupių strategijas.
Interpretatorių ir LoLBin apribojimasTaikyti „AppLocker“ / „WDAC“ arba lygiavertę programinę įrangą, valdyti scenarijus ir vykdymo šablonus naudojant išsamų žurnalavimą.
Pataisymai ir problemų sprendimas: uždaryti pažeidžiamumus, kuriuos galima išnaudoti, ir aktyvuoti atminties apsaugas, kurios riboja RCE ir injekcijas.
Stiprus autentifikavimasMFA ir nulinio pasitikėjimo principai, siekiant pažaboti piktnaudžiavimą įgaliojimais ir sumažinti šoninį judėjimą.
Sąmoningumas ir modeliavimasPraktiniai mokymai apie sukčiavimą sukčiavimu apsimetant, dokumentus su aktyviu turiniu ir anomalios vykdymo požymius.

Išskirtinis turinys – spustelėkite čia Ar „Sophos Anti-Virus“, skirta „Mac“, saugesnė nei „Windows Defender“?

Šias priemones papildo sprendimai, kurie analizuoja srautą ir atmintį, kad realiuoju laiku nustatytų kenkėjišką elgesį, taip pat segmentavimo politikos ir minimalias privilegijas, kad būtų sušvelnintas poveikis, kai kas nors praslysta pro šalį.

Paslaugos ir metodai, kurie veikia

Aplinkose, kuriose yra daug galinių taškų ir didelis kritiškumas, valdomos aptikimo ir reagavimo paslaugos su Stebėjimas visą parą Įrodyta, kad jie pagreitina incidentų lokalizavimą. SOC, EMDR/MDR ir EDR/XDR derinys suteikia ekspertų akis, išsamią telemetriją ir koordinuoto reagavimo galimybes.

Efektyviausi paslaugų teikėjai įsisavino elgesio pokyčius: lengvi agentai, kurie koreliuoja aktyvumą branduolio lygmenyjeJie rekonstruoja visas atakų istorijas ir, aptikę kenkėjiškas grandines, taiko automatinius švelninimo veiksmus, turėdami galimybę anuliuoti pakeitimus.

Tuo pačiu metu galinių įrenginių apsaugos paketai ir XDR platformos integruoja centralizuotą matomumą ir grėsmių valdymą darbo stotyse, serveriuose, tapatybėse, el. pašte ir debesyje; tikslas – panaikinti atakos grandinė nepriklausomai nuo to, ar yra failų.

Praktiniai grėsmių medžioklės rodikliai

Jei turite nustatyti paieškos hipotezių prioritetus, sutelkite dėmesį į signalų derinimą: biuro procesas, kuris paleidžia interpretatorių su neįprastais parametrais, WMI prenumeratos kūrimas Atidarius dokumentą, paleidimo raktų pakeitimai ir po to prisijungimas prie prastos reputacijos domenų.

Kitas veiksmingas būdas – remtis savo aplinkos baziniais duomenimis: kas yra normalu jūsų serveriuose ir darbo stotyse? Bet kokie nukrypimai (naujai pasirašyti dvejetainiai failai, rodomi kaip interpretatorių tėvai, staigūs našumo šuoliai (scenarijų, komandų eilučių su užmaskavimu) nusipelno tyrimo.

Galiausiai nepamirškite atminties: jei turite įrankių, kurie tikrina veikiančius regionus arba fiksuoja momentines kopijas, išvados RAM Jie gali būti galutinis failų neturinčios veiklos įrodymas, ypač kai failų sistemoje nėra jokių artefaktų.

Šių taktikų, metodų ir kontrolės priemonių derinys nepašalina grėsmės, tačiau suteikia jums geresnes galimybes ją laiku aptikti. nukirpti grandinę ir sumažinti poveikį.

Kai visa tai taikoma protingai – galinių taškų telemetrija, elgsenos koreliacija, automatinis atsakas ir selektyvus apsaugos stiprinimas – failų neturinti taktika praranda didelę dalį savo pranašumo. Ir nors ji ir toliau vystysis, dėmesys elgesiui Užuot buvę bylose, tai suteikia tvirtą pagrindą jūsų gynybai tobulėti kartu su juo.

Danielis Terrasa

Redaktorius specializuojasi technologijų ir interneto klausimais, turintis daugiau nei dešimties metų patirtį įvairiose skaitmeninėse laikmenose. Esu dirbusi redaktore ir turinio kūrėja elektroninės prekybos, komunikacijos, internetinės rinkodaros ir reklamos įmonėse. Taip pat rašiau ekonomikos, finansų ir kitų sektorių svetainėse. Mano darbas taip pat yra mano aistra. Dabar per mano straipsnius Tecnobits, stengiuosi ištirti visas naujienas ir naujas galimybes, kurias mums kasdien siūlo technologijų pasaulis, kad pagerintume savo gyvenimą.