Bezfailu failu identificēšana: atslēgu noteikšana un aizsardzība

Bezfailu ļaunprogrammatūra atrodas atmiņā un ļaunprātīgi izmanto likumīgus rīkus (PowerShell, WMI, LoLBins), apgrūtinot tās atklāšanu, pamatojoties uz failiem.
Galvenais ir uzraudzīt uzvedību: procesu attiecības, komandrindas, reģistru, WMI un tīklu, nekavējoties reaģējot galapunktā.
Slāņveida aizsardzība apvieno interpretētāja ierobežojumus, makro pārvaldību, ielāpus, MFA un EDR/XDR ar bagātīgu telemetriju un nepārtrauktu SOC.

Uzbrukumi, kas darbojas, neatstājot pēdas diskā, ir kļuvuši par lielām galvassāpēm daudzām drošības komandām, jo tie tiek izpildīti pilnībā atmiņā un izmanto likumīgus sistēmas procesus. Tāpēc ir svarīgi zināt kā identificēt failus bez failiem un aizstāvēt sevi pret tiem.

Papildus virsrakstiem un tendencēm, izpratne par to, kā tie darbojas, kāpēc tie ir tik grūti pamanāmi un kādas pazīmes ļauj tos atklāt, nosaka, vai incidents ir ierobežots vai nožēlots par pārkāpumu. Turpmākajās rindās mēs analizējam problēmu un ierosinām risinājumi.

Kas ir bezfailu ļaunprogrammatūra un kāpēc tā ir svarīga?

Bezfailu ļaunprogrammatūra nav specifiska saime, bet gan darbības veids: Izvairieties no izpildāmo failu rakstīšanas diskā Tas izmanto sistēmā jau esošos pakalpojumus un bināros failus, lai izpildītu ļaunprātīgu kodu. Tā vietā, lai atstātu viegli skenējamu failu, uzbrucējs ļaunprātīgi izmanto uzticamas utilītas un ielādē tās loģiku tieši RAM atmiņā.

Šī pieeja bieži vien ir ietverta “Dzīvošana no zemes” filozofijā: uzbrucēji instrumentalizē vietējie rīki, piemēram, PowerShell, WMI, mshta, rundll32 vai skriptēšanas dzinējus, piemēram, VBScript un JScript, lai sasniegtu savus mērķus ar minimālu troksni.

Starp tās raksturīgākajām iezīmēm mēs atrodam: izpilde nepastāvīgā atmiņā, neliela vai nekāda saglabāšana diskā, sistēmas parakstītu komponentu izmantošana un augsta apiešanas spēja pret parakstu balstītiem dzinējiem.

Lai gan daudzas lietderīgās slodzes pazūd pēc pārstartēšanas, neļaujiet sevi apmānīt: pretinieki var nodibināt noturību izmantojot reģistra atslēgas, WMI abonementus vai ieplānotos uzdevumus, neatstājot diskā aizdomīgus bināros failus.

Grūtības atklāt bezfailu ļaunprogrammatūru

Kāpēc mums ir tik grūti identificēt failus bez failiem?

Pirmais šķērslis ir acīmredzams: Nav anomālu failu, ko pārbaudītTradicionālajām pretvīrusu programmām, kuru pamatā ir paraksti un failu analīze, ir maz manevrēšanas iespēju, ja izpilde notiek derīgos procesos un ļaunprātīga loģika atrodas atmiņā.

Otrais ir smalkāks: uzbrucēji maskējas aiz likumīgi operētājsistēmas procesiJa PowerShell vai WMI tiek izmantoti katru dienu administrēšanai, kā jūs varat atšķirt normālu lietošanu no ļaunprātīgas lietošanas bez konteksta un uzvedības telemetrijas?

Turklāt kritiski svarīgu rīku akla bloķēšana nav iespējama. PowerShell vai Office makro pilnīga atspējošana var pārtraukt darbību un Tas pilnībā nenovērš ļaunprātīgu izmantošanujo pastāv vairāki alternatīvi izpildes ceļi un metodes vienkāršu bloku apiešanai.

Turklāt mākonī vai servera pusē veikta noteikšana ir pārāk vēla, lai novērstu problēmas. Bez reāllaika lokālas problēmas pārskatāmības... komandrindas, procesu attiecības un žurnāla notikumiAģents nevar acumirklī mazināt ļaunprātīgu plūsmu, kas neatstāj nekādas pēdas diskā.

Ekskluzīvs saturs — noklikšķiniet šeit Kā reģistrēties Sophos Home?

Kā darbojas bezfailu uzbrukums no sākuma līdz beigām

Sākotnējā piekļuve parasti notiek ar tiem pašiem vektoriem kā vienmēr: pikšķerēšana ar biroja dokumentiem kas lūdz iespējot aktīvu saturu, saites uz apdraudētām vietnēm, ievainojamību izmantošanu atklātās lietojumprogrammās vai nopludinātu akreditācijas datu ļaunprātīgu izmantošanu piekļuvei, izmantojot RDP vai citus pakalpojumus.

Nonākot iekšā, pretinieks cenšas izpildīt uzdevumu, nepieskaroties diskam. Lai to izdarītu, viņi savieno sistēmas funkcijas ķēdē: makro vai DDE dokumentos kas palaiž komandas, izmanto pārpildes RCE vai izsauc uzticamus bināros failus, kas ļauj ielādēt un izpildīt kodu atmiņā.

Ja darbībai nepieciešama nepārtrauktība, noturību var ieviest, neizvietojot jaunus izpildāmos failus: startēšanas ieraksti reģistrāWMI abonementi, kas reaģē uz sistēmas notikumiem vai ieplānotiem uzdevumiem, kas noteiktos apstākļos aktivizē skriptus.

Kad izpilde ir noteikta, mērķis nosaka šādus soļus: pārvietoties sāniski, filtrāta datiTas ietver akreditācijas datu zādzību, RAT izvietošanu, kriptovalūtu ieguvi vai failu šifrēšanas aktivizēšanu izspiedējvīrusa gadījumā. Tas viss tiek darīts, ja iespējams, izmantojot esošās funkcijas.

Pierādījumu noņemšana ir daļa no plāna: nerakstot aizdomīgus bināros failus, uzbrucējs ievērojami samazina analizējamo artefaktu skaitu. sajaucot savu darbību starp normāliem notikumiem sistēmas darbību un, ja iespējams, pagaidu pēdu dzēšanu.

identificēt bezfailu failus

Metodes un rīki, ko viņi parasti izmanto

Katalogs ir plašs, taču tas gandrīz vienmēr griežas ap vietējiem komunālajiem pakalpojumiem un uzticamiem maršrutiem. Šie ir daži no visizplatītākajiem, vienmēr ar mērķi maksimizēt izpildi atmiņā un aizmiglojiet pēdu:

PowerShellJaudīga skriptēšana, piekļuve Windows API un automatizācija. Tās daudzpusība padara to par iecienītu gan administrēšanas, gan ļaunprātīgas izmantošanas ziņā.
WMI (Windows pārvaldības instrumentācija)Tas ļauj veikt vaicājumus un reaģēt uz sistēmas notikumiem, kā arī veikt attālinātas un lokālas darbības; noderīgi, ja nepieciešams noturība un orķestrēšana.
VBScript un JScript: dzinēji, kas atrodas daudzās vidēs un atvieglo loģikas izpildi, izmantojot sistēmas komponentus.
mshta, rundll32 un citi uzticami binārie faili: labi zināmie LoLBin, kas, pareizi saistīti, var izpildīt kodu, neatmetot artefaktus redzams diskā.
Dokumenti ar aktīvu saturuMakro vai DDE Office vidē, kā arī PDF lasītāji ar papildu funkcijām var kalpot kā atspēriena punkts komandu palaišanai atmiņā.
Windows reģistrspašpalaišanas atslēgas vai šifrēta/slēpta vērtslodzes glabāšana, ko aktivizē sistēmas komponenti.
Konfiskācija un ievadīšana procesos: darbojošos procesu atmiņas vietas modifikācija resursdatora ļaunprātīgā loģika likumīgā izpildāmā faila ietvaros.
Darbības komplekti: upura sistēmas ievainojamību noteikšana un pielāgotu izmantošanas veidu izvietošana, lai panāktu izpildi, nepieskaroties diskam.

Uzņēmumu izaicinājums (un kāpēc vienkārši visu bloķēt nepietiek)

Naiva pieeja iesaka radikālus pasākumus: bloķēt PowerShell, aizliegt makro, novērst tādus bināros failus kā rundll32. Realitāte ir niansētāka: Daudzi no šiem rīkiem ir nepieciešami. ikdienas IT darbībām un administratīvajai automatizācijai.

Ekskluzīvs saturs — noklikšķiniet šeit Vai ProtonVPN ir ātrs?

Turklāt uzbrucēji meklē nepilnības: skriptēšanas dzinēja palaišanu citos veidos, izmantot alternatīvas kopijasLoģiku var iepakot attēlos vai izmantot mazāk uzraudzītus LoLBins. Brutāla bloķēšana galu galā rada berzi, nenodrošinot pilnīgu aizsardzību.

Arī tīra servera puses vai mākonī balstīta analīze problēmu neatrisina. Bez bagātīgas galapunktu telemetrijas un bez atsaucība pašā aģentāLēmums tiek pieņemts vēlu, un profilakse nav iespējama, jo mums jāgaida ārējs spriedums.

Tikmēr tirgus ziņojumi jau sen liecina par ļoti ievērojamu izaugsmi šajā jomā, sasniedzot maksimumu, kad Mēģinājumi ļaunprātīgi izmantot PowerShell gandrīz divkāršojās īsos laika periodos, kas apstiprina, ka tā ir atkārtota un ienesīga taktika pretiniekiem.

Mūsdienīga noteikšana: no faila līdz uzvedībai

Svarīgākais nav tas, kas izpilda, bet gan tas, kā un kāpēc. procesa uzvedība un tās attiecības Tas ir izšķiroši: komandrinda, procesu mantošana, sensitīvi API izsaukumi, izejošie savienojumi, reģistra modifikācijas un WMI notikumi.

Šī pieeja ievērojami samazina izvairīšanās virsmu: pat ja iesaistītie binārie faili mainās, uzbrukuma modeļi atkārtojas (skripti, kas lejupielādē un izpildās atmiņā, LoLBins ļaunprātīga izmantošana, interpreteru izsaukšana utt.). Skripta, nevis faila "identitātes", analīze uzlabo noteikšanu.

Efektīvas EDR/XDR platformas korelē signālus, lai rekonstruētu pilnīgu incidentu vēsturi, identificējot galvenais cēlonis Tā vietā, lai vainotu procesu, kas "parādījās", šis naratīvs saista pielikumus, makro, interpretētājus, lietderīgās slodzes un noturību, lai mazinātu visas plūsmas, nevis tikai atsevišķas daļas, ietekmi.

Tādu ietvaru pielietošana kā MITER AT&CK Tas palīdz kartēt novērotās taktikas un metodes (TTP) un vadīt draudu meklēšanu atbilstoši interesējošai uzvedībai: izpildei, noturībai, aizsardzības apiešanai, piekļuvei akreditācijas datiem, atklāšanai, sānu pārvietošanai un eksfiltrācijai.

Visbeidzot, galapunkta atbildes orķestrēšanai jābūt tūlītējai: izolējiet ierīci, beigu procesi iesaistīts, atsaukt izmaiņas reģistrā vai uzdevumu plānotājā un bloķēt aizdomīgus izejošos savienojumus, negaidot ārēju apstiprinājumu.

Noderīga telemetrija: kam pievērst uzmanību un kā noteikt prioritātes

Lai palielinātu noteikšanas varbūtību, nepārslogojot sistēmu, ieteicams piešķirt prioritāti augstas vērtības signāliem. Daži avoti un vadības elementi, kas sniedz kontekstu. kritiski svarīgi bezfailu skaņa:

Detalizēts PowerShell žurnāls un citi interpretētāji: skriptu bloku žurnāls, komandu vēsture, ielādētie moduļi un AMSI notikumi, ja pieejami.
WMI repozitorijsInventarizācija un brīdinājumi par notikumu filtru, patērētāju un saišu izveidi vai modificēšanu, īpaši sensitīvās vārdtelpās.
Drošības notikumi un Sysmon: procesa korelācija, attēla integritāte, atmiņas ielāde, ievadīšana un plānoto uzdevumu izveide.
Sarkanaanomāli izejošie savienojumi, bākoni, lietderīgās slodzes lejupielādes modeļi un slepenu kanālu izmantošana eksfiltrācijai.

Automatizācija palīdz atdalīt graudus no pelavām: uz uzvedību balstīti noteikšanas noteikumi, atļauto lietu saraksti likumīga pārvalde un bagātināšana ar apdraudējumu izlūkošanas datiem ierobežo viltus pozitīvos rezultātus un paātrina reaģēšanu.

Virsmas novēršana un samazināšana

Neviens atsevišķs pasākums nav pietiekams, bet daudzslāņu aizsardzība ievērojami samazina risku. Preventīvajā ziņā izceļas vairāki rīcības virzieni. kultūraugu vektori un apgrūtina dzīvi pretiniekam:

Makro pārvaldība: pēc noklusējuma atspējot un atļaut tikai tad, ja tas ir absolūti nepieciešams un parakstīts; detalizēta kontrole, izmantojot grupas politikas.
Interpretatoru un LoLBin ierobežojumsLietojiet AppLocker/WDAC vai līdzvērtīgu rīku, kontrolējiet skriptus un izpildes veidnes ar visaptverošu reģistrēšanu.
Ielāpošana un mazināšanas pasākumi: aizveriet izmantojamās ievainojamības un aktivizējiet atmiņas aizsardzību, kas ierobežo RCE un injekcijas.
Spēcīga autentifikācijaMFA un nulles uzticēšanās principi, lai ierobežotu akreditācijas datu ļaunprātīgu izmantošanu samazināt sānu kustību.
Izpratne un simulācijasPraktiska apmācība par pikšķerēšanu, dokumentiem ar aktīvu saturu un anomālas izpildes pazīmēm.

Ekskluzīvs saturs — noklikšķiniet šeit Vai Sophos Anti-Virus for Mac ir drošāks par Windows Defender?

Šos pasākumus papildina risinājumi, kas analizē datplūsmu un atmiņu, lai reāllaikā identificētu ļaunprātīgu rīcību, kā arī segmentācijas politikas un minimālas privilēģijas, lai ierobežotu ietekmi, ja kaut kas paslīd cauri.

Pakalpojumi un pieejas, kas darbojas

Vidēs ar daudziem galapunktiem un augstu kritiskumu pārvaldīti noteikšanas un reaģēšanas pakalpojumi ar Uzraudzība visu diennakti, 7 dienas nedēļā Ir pierādīts, ka tie paātrina incidentu ierobežošanu. SOC, EMDR/MDR un EDR/XDR kombinācija nodrošina ekspertu redzesloku, bagātīgu telemetriju un koordinētas reaģēšanas iespējas.

Visefektīvākie pakalpojumu sniedzēji ir internalizējuši pāreju uz uzvedību: vieglie aģenti, kas korelēt aktivitāti kodola līmenīTie rekonstruē pilnīgas uzbrukumu vēstures un automātiski mazina riskus, kad atklāj ļaunprātīgas ķēdes, ar atcelšanas iespēju, lai atsauktu izmaiņas.

Paralēli galapunktu aizsardzības komplekti un XDR platformas integrē centralizētu redzamību un apdraudējumu pārvaldību darbstacijās, serveros, identitātēs, e-pastā un mākonī; mērķis ir likvidēt uzbrukuma ķēde neatkarīgi no tā, vai ir iesaistīti faili.

Praktiski rādītāji apdraudējumu medībām

Ja jums ir jānosaka meklēšanas hipotēžu prioritātes, koncentrējieties uz signālu apvienošanu: biroja process, kas palaiž interpretētāju ar neparastiem parametriem, WMI abonementa izveide Pēc dokumenta atvēršanas tiek veiktas izmaiņas startēšanas atslēgās, kam seko savienojumi ar domēniem ar sliktu reputāciju.

Vēl viena efektīva pieeja ir paļauties uz jūsu vides bāzes līnijām: kas ir normāli jūsu serveros un darbstacijās? Jebkuras novirzes (jaunparakstīti binārie faili, kas parādās kā interpretētāju vecāki, pēkšņi veiktspējas pieaugumi (skriptu, komandu virkņu ar obfukāciju) ir pelnījis izpēti.

Visbeidzot, neaizmirstiet par atmiņu: ja jums ir rīki, kas pārbauda darbojošos reģionus vai uzņem momentuzņēmumus, atklājumi RAM Tie var būt nepārprotams pierādījums bezfailu darbībai, īpaši, ja failu sistēmā nav artefaktu.

Šo taktiku, metožu un kontroles mehānismu kombinācija nenovērš draudus, bet gan ļauj tos laikus atklāt. pārgriezt ķēdi un mazināt ietekmi.

Kad tas viss tiek pielietots apdomīgi — galapunktu telemetrija, uzvedības korelācija, automatizēta atbilde un selektīva cietināšana —, bezfailu taktika zaudē lielu daļu savu priekšrocību. Un, lai gan tā turpinās attīstīties, uzmanības centrā ir uzvedība Tā vietā, lai atrastos failos, tā piedāvā stabilu pamatu jūsu aizsardzības attīstībai.

Daniels Terrasa

Redaktors specializējas tehnoloģiju un interneta jautājumos ar vairāk nekā desmit gadu pieredzi dažādos digitālajos medijos. Esmu strādājis par redaktoru un satura veidotāju e-komercijas, komunikācijas, tiešsaistes mārketinga un reklāmas uzņēmumos. Esmu rakstījis arī ekonomikas, finanšu un citu nozaru tīmekļa vietnēs. Mans darbs ir arī mana aizraušanās. Tagad, izmantojot manus rakstus Tecnobits, es cenšos izpētīt visus jaunumus un jaunas iespējas, ko tehnoloģiju pasaule mums piedāvā katru dienu, lai uzlabotu mūsu dzīvi.