Што е „малициозен софтвер без перзистентни датотеки“ и како да се открие со бесплатни алатки

Изгледот на малициозен софтвер без трајни датотеки Ова беше вистинска главоболка за безбедносните тимови. Не се работи за типичен вирус што го „фаќате“ кога бришете извршна датотека од дискот, туку за закани што живеат во меморијата, злоупотребуваат легитимни системски алатки и, во многу случаи, речиси и да не оставаат употреблива форензичка трага.

Овој тип на напад стана особено популарен меѓу напредните групи и сајбер-криминалците кои бараат избегнувајте го традиционалниот антивирусен софтвер, крадете податоци и останете скриени што е можно подолго. Разбирањето како тие функционираат, кои техники ги користат и како да ги детектираат е клучно за секоја организација што сака сериозно да ја сфати сајбер безбедноста денес.

Што е безданочен малициозен софтвер и зошто е толку загрижувачки?

Кога зборуваме бездатотечен малициозен софтвер Не велиме дека не е вклучен ниту еден бајт, туку дека малициозниот код Не е зачувана како класична извршна датотека на дискот од крајната точка. Наместо тоа, работи директно во меморијата или е хостиран во помалку видливи контејнери како што се регистарот, WMI или закажани задачи.

Во многу сценарија, напаѓачот се потпира на алатки што веќе се присутни во системот - PowerShell, WMI, скрипти, потпишани бинарни датотеки на Windows - за да вчитува, дешифрира или извршува носивост директно во RAM меморијатаНа овој начин, се избегнува оставање очигледни извршни датотеки што антивирус базиран на потпис би можел да ги открие при нормално скенирање.

Понатаму, дел од синџирот на напади може да биде „без датотеки“, а друг дел може да го користи датотечниот систем, па затоа зборуваме за повеќе од еден спектар на техники без датотеки онаа на едно семејство малициозен софтвер. Затоа не постои единствена, затворена дефиниција, туку неколку категории во зависност од степенот на влијание што го оставаат врз машината.

Главни карактеристики на малициозен софтвер без перзистентни датотеки

Клучно својство на овие закани е нивното извршување центрирано на меморијатаМалициозниот код се вчитува во RAM меморијата и се извршува во рамките на легитимни процеси, без потреба од стабилна малициозна бинарна датотека на тврдиот диск. Во некои случаи, тој дури се инјектира и во критични системски процеси за подобра камуфлажа.

Друга важна карактеристика е неконвенционална упорностМногу кампањи без датотеки се чисто нестабилни и исчезнуваат по рестартирање, но други успеваат да се реактивираат користејќи ги клучевите за автоматско стартување на регистарот, WMI претплатите, закажаните задачи или BITS, така што „видливиот“ артефакт е минимален, а вистинскиот товар се враќа во меморијата секој пат.

Овој пристап значително ја намалува ефикасноста на детекција базирана на потписБидејќи не постои фиксна извршна датотека за анализа, она што често го гледате е совршено легитимна PowerShell.exe, wscript.exe или mshta.exe, стартувана со сомнителни параметри или вчитува заматена содржина.

Конечно, многу актери комбинираат техники без датотеки со други видови на малициозен софтвер како што се тројанци, рансомвер или рекламен софтвер, што резултира со хибридни кампањи кои ги мешаат најдобрите (и најлошите) од двата света: упорност и прикриеност.

Видови закани без датотеки според нивното влијание врз системот

Неколку производители на безбедносни уреди Тие ги класифицираат заканите „без датотеки“ според трагата што ја оставаат на компјутерот. Оваа таксономија ни помага да разбереме што гледаме и како да го истражиме.

Тип I: нема видлива активност на датотеки

На најтајниот крај наоѓаме малициозен софтвер кој Не пишува апсолутно ништо во датотечниот системКодот пристигнува, на пример, преку мрежни пакети што експлоатираат ранливост (како што е EternalBlue), се инјектира директно во меморијата и се одржува, на пример, како задна врата во јадрото (DoublePulsar беше симболичен случај).

Во други случаи, инфекцијата се јавува во BIOS фирмвер, мрежни картички, USB уреди, па дури и подсистеми во рамките на процесоротОвој тип на закана може да преживее повторни инсталации на оперативниот систем, форматирање на дискот, па дури и некои целосни рестартирања.

Проблемот е што повеќето безбедносни решенија Тие не проверуваат фирмвер или микрокодИ дури и ако го сторат тоа, санацијата е сложена. За среќа, овие техники обично се резервирани за високо софистицирани актери и не се норма кај масовните напади.

Тип II: Индиректна употреба на датотеки

Втората група е базирана на содржат малициозен код во структури складирани на дискотНо не како традиционални извршни датотеки, туку во складишта што мешаат легитимни и злонамерни податоци, што е тешко да се исчисти без да се оштети системот.

Типични примери се скриптите складирани во WMI репозиториум, замаглени синџири во Клучеви во регистарот или закажани задачи што стартуваат опасни команди без јасна злонамерна бинарна датотека. Малициозниот софтвер може да ги инсталира овие записи директно од командната линија или скрипта, а потоа да остане практично невидлив.

Иако технички се вклучени датотеки (физичката датотека каде што Windows го складира WMI репозиториумот или регистарската кошница), за практични цели зборуваме за активност без датотеки бидејќи не постои очигледна извршна датотека што може едноставно да се стави во карантин.

Тип III: Потребни се датотеки за да функционираат

Третиот тип вклучува закани кои Тие користат датотеки, но на начин што не е многу корисен за откривање.Добро познат пример е Kovter, кој регистрира случајни екстензии во регистарот, така што, кога ќе се отвори датотека со таа екстензија, скрипта се извршува преку mshta.exe или слична нативна бинарна датотека.

Овие датотеки-мамки содржат ирелевантни податоци, а вистинскиот малициозен код Се презема од други клучеви во регистарот или внатрешни репозиториуми. Иако има „нешто“ на дискот, не е лесно да се користи како сигурен индикатор за компромитирање, а уште помалку како механизам за директно чистење.

Најчести вектори на влез и точки на инфекција

Освен класификацијата на отпечатокот, важно е да се разбере како Тука доаѓа до израз малициозен софтвер без трајни датотеки. Во секојдневниот живот, напаѓачите честопати комбинираат неколку вектори во зависност од околината и целта.

Експлоатации и ранливости

Еден од најдиректните патишта е злоупотребата на ранливости при извршување на далечински код (RCE) во прелистувачи, додатоци (како Flash во минатото), веб-апликации или мрежни услуги (SMB, RDP, итн.). Експлоатацијата инјектира shellcode кој директно го презема или декодира злонамерниот материјал во меморијата.

Во овој модел, почетната датотека може да биде на мрежата (тип exploits WannaCryили во документ што корисникот го отвора, но Товарот никогаш не се запишува како извршна датотека на дискот.: се дешифрира и извршува во лет од RAM меморијата.

Злонамерни документи и макроа

Друг силно експлоатиран пат е Канцелариски документи со макроа или DDEкако и PDF-датотеки дизајнирани да ги искористат ранливостите на читателите. Навидум безопасна Word или Excel-датотека може да содржи VBA-код што ги стартува PowerShell, WMI или други интерпретери за преземање код, извршување команди или инјектирање на shellcode во доверливи процеси.

Тука датотеката на дискот е „само“ контејнер на податоци, додека вистинскиот вектор е внатрешен скриптен механизам на апликацијатаВсушност, многу кампањи за масовен спам ја злоупотребија оваа тактика за да распоредат напади без датотеки врз корпоративните мрежи.

Легитимни скрипти и бинарни датотеки (Живеење од земјата)

Напаѓачите ги сакаат алатките што Windows веќе ги нуди: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, итн. Овие потпишани и доверливи бинарни датотеки можат да извршуваат скрипти, DLL-датотеки или далечинска содржина без потреба од сомнителен „virus.exe“.

Со пренесување на злонамерен код како параметри на командната линијаВградувањето во слики, шифрирањето и декодирањето во меморијата или складирањето во регистарот, гарантира дека антивирусот гледа активност само од легитимни процеси, што го отежнува откривањето само врз основа на датотеки.

Компромитиран хардвер и фирмвер

На уште пониско ниво, напредните напаѓачи можат да се инфилтрираат BIOS фирмвер, мрежни картички, хард дискови или дури и подсистеми за управување со процесорот (како што се Intel ME или AMT). Овој тип на малициозен софтвер работи под оперативниот систем и може да пресретне или измени сообраќајот без оперативниот систем да биде свесен за тоа.

Иако е екстремно сценарио, тоа го илустрира степенот до кој заканата без датотеки може Одржувајте ја трајноста без да го допирате датотечниот систем на оперативниот системи зошто класичните алатки за крајни точки не успеваат во овие случаи.

Како функционира напад со малициозен софтвер без трајни датотеки

На ниво на проток, нападот без датотеки е доста сличен на нападот базиран на датотеки, но со релевантни разлики во тоа како се имплементира товарот и како се одржува пристапот.

1. Првичен пристап до системот

Сè започнува кога напаѓачот ќе добие прво упориште: а фишинг е-пошта со злонамерен линк или прилог, експлоатација против ранлива апликација, украдени акредитиви за RDP или VPN, па дури и неовластен USB уред.

Во оваа фаза се користи следново: социјален инженерингзлонамерни пренасочувања, кампањи за злонамерна реклама или злонамерни Wi-Fi напади за да го измамат корисникот да кликне таму каде што не треба или да ги искористи услугите изложени на Интернет.

2. Извршување на малициозен код во меморијата

Откако ќе се добие тој прв запис, се активира компонентата без датотеки: макро на Office го стартува PowerShell, експлоит инјектира shellcode, претплата на WMI активира скрипта итн. Целта е вчитување на малициозен код директно во RAM меморијатаили со преземање од интернет или со реконструкција од вградени податоци.

Оттаму, малициозниот софтвер може ескалирај привилегии, помести се странично, кради акредитиви, распореди веб-шелови, инсталирај RAT-ови или шифрирај податоциСето ова е поткрепено со легитимни процеси за намалување на бучавата.

3. Воспоставување на истрајност

Меѓу вообичаените техники се:

• Автоматски копчиња во Регистарот што извршуваат команди или скрипти при најавување.
• Закажани задачи кои стартуваат скрипти, легитимни бинарни датотеки со параметри или далечински команди.
• WMI претплати што активира код кога ќе се појават одредени системски настани.
• Употреба на BITS за периодични преземања на корисни товари од командни и контролни сервери.

Во случаи, перзистентната компонента е минимална и служи само за повторно инјектирајте го малициозниот софтвер во меморијата секој пат кога системот ќе се стартува или ќе се исполни одреден услов.

4. Дејства врз целите и ексфилтрација

Со сигурна упорност, напаѓачот се фокусира на она што навистина го интересира: крадење информации, нивно шифрирање, манипулирање со системи или шпионирање со месециЕксфилтрацијата може да се изврши преку HTTPS, DNS, тајни канали или легитимни услуги. Во инциденти во реалниот свет, знаејќи Што да направите во првите 24 часа по хакерски напад може да направи разлика.

Кај APT нападите, вообичаено е малициозниот софтвер да остане тивок и прикриен подолг временски период, градење дополнителни задни врати за да се обезбеди пристап дури и ако дел од инфраструктурата е откриен и расчистен.

Можности и видови на малициозен софтвер што можат да бидат без датотеки

Практично секоја злонамерна функција што може да ја изврши класичниот малициозен софтвер може да се имплементира со следење на овој пристап без датотеки или полу-без датотекиОна што се менува не е целта, туку начинот на кој се распоредува кодот.

Малициозен софтвер кој се наоѓа само во меморијата

Оваа категорија вклучува носивост што Тие живеат исклучиво во меморијата на процесот или јадрото.Современите руткити, напредните задни врати или шпионскиот софтвер можат да се вчитаат во меморискиот простор на легитимен процес и да останат таму сè додека системот не се рестартира.

Овие компоненти се особено тешки за гледање со алатки ориентирани кон дискот и ја принудуваат употребата на анализа на меморијата во живо, EDR со инспекција во реално време или напредни форензички можности.

Малициозен софтвер базиран на регистарот на Windows

Друга техника што се повторува е складирањето криптиран или замаглен код во клучевите на регистарот и користете легитимен бинарен фајл (како што се PowerShell, MSHTA или rundll32) за да го прочитате, декодирате и извршите во меморијата.

Првичниот dropper може да се самоуништи по пишувањето во Регистарот, така што сè што останува е мешавина од навидум безопасни податоци што Тие ја активираат заканата секој пат кога системот ќе се стартува или секој пат кога ќе се отвори одредена датотека.

Ransomware и тројанци без датотеки

Пристапот без датотеки не е некомпатибилен со многу агресивни методи на вчитување, како што е RansomwareПостојат кампањи кои ја преземаат, дешифрираат и извршуваат целата енкрипција во меморијата користејќи PowerShell или WMI, без да ја остават извршната датотека за ransomware на дискот.

Исто така, тројанци за далечински пристап (RAT)Клејлогерите или крадците на акредитиви можат да работат на полу-без датотеки, вчитувајќи модули по барање и хостирајќи ја главната логика во легитимни системски процеси.

Комплети за експлоатација и украдени акредитиви

Комплетите за веб-експлоатација се уште еден дел од сложувалката: тие детектираат инсталиран софтвер, Тие го избираат соодветниот експлоит и го инјектираат товарот директно во меморијата., честопати без воопшто да се зачува ништо на дискот.

Од друга страна, употребата на украдени акредитиви Тоа е вектор кој многу добро се вклопува со техниките без датотеки: напаѓачот се автентицира како легитимен корисник и, оттаму, ги злоупотребува вградените административни алатки (PowerShell Remoting, WMI, PsExec) за да распореди скрипти и команди кои не оставаат класични траги од малициозен софтвер.

Зошто е толку тешко да се открие безданочен малициозен софтвер?

Основната причина е што овој тип на закана е специјално дизајниран да заобиколување на традиционалните слоеви на одбранаврз основа на потписи, бели листи и периодични скенирања на датотеки.

Ако малициозниот код никогаш не е зачуван како извршна датотека на дискот или ако се крие во мешани контејнери како WMI, регистарот или фирмверот, традиционалниот антивирусен софтвер има многу малку за анализа. Наместо „сомнителна датотека“, она што го имате е легитимни процеси кои се однесуваат аномално.

Понатаму, радикално блокира алатки како што се PowerShell, макроа на Office или WMI. Не е одржливо во многу организацииБидејќи тие се неопходни за администрација, автоматизација и секојдневно работење. Ова ги принудува застапниците да дејствуваат многу внимателно.

Некои добавувачи се обидоа да компензираат со брзи поправки (генеричко блокирање на PowerShell, целосно оневозможување на макроа, откривање само во облак, итн.), но овие мерки обично се недоволен или претерано нарушувачки за бизнисот.

Современи стратегии за откривање и запирање на безданочен малициозен софтвер

За да се соочиме со овие закани, потребно е да се оди подалеку од едноставно скенирање на датотеки и да се усвои фокусиран пристап. однесување, телеметрија во реално време и длабока видливост од последната точка.

Мониторинг на однесувањето и меморијата

Ефективниот пристап вклучува набљудување што всушност прават процесите: какви команди извршуваат, до кои ресурси пристапуваат, какви врски воспоставувааткако се поврзани едни со други, итн. Иако постојат илјадници варијанти на малициозен софтвер, моделите на злонамерно однесување се многу поограничени. Ова може да се надополни и со Напредно откривање со YARA.

Современите решенија ја комбинираат оваа телеметрија со аналитика во меморијата, напредна евристика и автоматско учење за да се идентификуваат синџири на напад, дури и кога кодот е многу замаглен или никогаш порано не е виден.

Употреба на системски интерфејси како што се AMSI и ETW

Windows нуди технологии како што се Интерфејс за скенирање на антималвер (AMSI) y Следење на настани за Windows (ETW) Овие извори овозможуваат проверка на системските скрипти и настани на многу ниско ниво. Интегрирањето на овие извори во безбедносните решенија го олеснува откривањето. малициозен код непосредно пред или за време на неговото извршување.

Покрај тоа, анализата на критичните области - закажани задачи, WMI претплати, клучеви за регистар за стартување итн. - помага да се идентификуваат тајна перзистентност без датотеки што може да помине незабележано со едноставно скенирање на датотеки.

Лов на закани и индикатори за напад (IoA)

Бидејќи класичните индикатори (хешови, патеки на датотеки) не се доволни, препорачливо е да се потпрете на индикатори за напад (IoA), кои опишуваат сомнителни однесувања и низи на дејства што се вклопуваат во познати тактики.

Тимовите за лов на закани - внатрешни или преку управувани услуги - можат проактивно да пребаруваат шеми на странично движење, злоупотреба на матични алатки, аномалии во употребата на PowerShell или неовластен пристап до чувствителни податоци, откривање на закани без датотеки пред тие да предизвикаат катастрофа.

EDR, XDR и SOC 24/7

Модерни платформи на EDR и XDR (Детекција на крајни точки и одговор на проширено ниво) обезбедуваат видливост и корелација потребни за реконструкција на целосната историја на инцидентот, од првата фишинг е-пошта до конечното отстранување.

Во комбинација со 24/7 оперативен SOCТие овозможуваат не само откривање, туку и содржат и отстрануваат автоматски злонамерна активност: изолирајте компјутери, блокирајте процеси, поништете ги промените во регистарот или поништете го енкрипцијата кога е можно.

Техниките за малициозен софтвер без датотеки ја променија играта: едноставното скенирање со антивирус и бришењето на сомнителна извршна датотека повеќе не е доволно. Денес, одбраната вклучува разбирање како напаѓачите ги искористуваат ранливостите со криење на код во меморијата, регистарот, WMI или фирмверот, и имплементирање комбинација од следење на однесувањето, анализа во меморијата, EDR/XDR, лов на закани и најдобри практики. Реално намалете го влијанието Нападите кои, по план, се обидуваат да не остават трага таму каде што се појавуваат по традиционални решенија бараат холистичка и континуирана стратегија. Во случај на компромис, знаењето Поправка на Windows по сериозен вирус е од суштинско значење