Идентификување на датотеки без датотеки: комплетен водич за откривање и запирање на малициозен софтвер во меморијата

Нападите што работат без да остават трага на дискот станаа голема главоболка за многу безбедносни тимови бидејќи се извршуваат целосно во меморијата и ги искористуваат легитимните системски процеси. Оттука е важно да се знае како да се идентификуваат датотеки без датотеки и да се одбранат од нив.

Освен насловите и трендовите, разбирањето како тие функционираат, зошто се толку нејасни и кои знаци ни овозможуваат да ги откриеме прави разлика помеѓу сопирање на инцидентот и жалење за прекршокот. Во следните редови, го анализираме проблемот и предлагаме решенија.

Што е бездатотечен малициозен софтвер и зошто е важен?

 

Малверот без датотеки не е специфично семејство, туку начин на работа: Избегнувајте пишување извршни датотеки на диск Користи услуги и бинарни датотеки што веќе се присутни во системот за извршување на злонамерен код. Наместо да остави лесно скенирана датотека, напаѓачот злоупотребува доверливи алатки и ја вчитува својата логика директно во RAM меморијата.

Овој пристап често е опфатен во филозофијата „Живеење од земјата“: напаѓачите инструментализираат мајчин алатки како што се PowerShell, WMI, mshta, rundll32 или скриптни машини како VBScript и JScript за да ги постигнат своите цели со минимален шум.

Меѓу неговите најрепрезентативни карактеристики ги наоѓаме: извршување во испарлива меморија, мала или никаква перзистентност на дискот, употреба на системски потпишани компоненти и висок капацитет за избегнување на пребарувачи базирани на потписи.

Иако многу корисни оптоварувања исчезнуваат по рестартирање, немојте да се залажувате: Противниците можат да воспостават упорност со користење на клучеви од регистарот, претплати на WMI или закажани задачи, сè без да остават сомнителни бинарни датотеки на дискот.

Зошто ни е толку тешко да идентификуваме датотеки без датотеки?

Првата пречка е очигледна: Нема аномални датотеки за проверкаТрадиционалните антивирусни програми базирани на потписи и анализа на датотеки имаат малку простор за маневрирање кога извршувањето се одвива во валидни процеси, а злонамерната логика се наоѓа во меморијата.

Втората е посуптилна: напаѓачите се камуфлираат зад легитимни процеси на оперативниот системАко PowerShell или WMI се користат секојдневно за администрација, како можете да ја разликувате нормалната употреба од злонамерната употреба без контекстуална и бихејвиорална телеметрија?

Понатаму, слепо блокирање на критични алатки не е изводливо. Оневозможувањето на PowerShell или Office макроа низ целата табла може да ги прекине операциите и Тоа не ги спречува целосно злоупотребитебидејќи постојат повеќе алтернативни патеки и техники за извршување за заобиколување на едноставни блокови.

За да се заокружи сè, откривањето во облак или од страна на серверот е предоцна за да се спречат проблемите. Без локална видливост во реално време на проблемот... командни линии, односи со процеси и настани во дневникАгентот не може моментално да ублажи злонамерен тек што не остава трага на дискот.

Како функционира напад без датотеки од почеток до крај

Првичниот пристап обично се случува со истите вектори како и секогаш: фишинг со канцелариски документи кои бараат да се овозможи активна содржина, врски до компромитирани страници, експлоатација на ранливости во изложени апликации или злоупотреба на протечени акредитиви за пристап преку RDP или други услуги.

Откако ќе влезе внатре, противникот се обидува да изврши егзекуција без да го допре дискот. За да го направат ова, тие ги поврзуваат системските функционалности: макроа или DDE во документи кои стартуваат команди, експлоатираат прелевања за RCE или повикуваат доверливи бинарни датотеки што овозможуваат вчитување и извршување на код во меморијата.

Ако операцијата бара континуитет, перзистентноста може да се имплементира без распоредување на нови извршни датотеки: записи за стартување во регистаротWMI претплати што реагираат на системски настани или закажани задачи што активираат скрипти под одредени услови.

Со воспоставеното извршување, целта ги диктира следните чекори: движење странично, ексфилтрат податоциОва вклучува кражба на акредитиви, распоредување на RAT, рударење криптовалути или активирање на енкрипција на датотеки во случај на ransomware. Сето ова се прави, кога е можно, со искористување на постојните функционалности.

Отстранувањето на доказите е дел од планот: со тоа што не пишува сомнителни бинарни датотеки, напаѓачот значително ги намалува артефактите што треба да се анализираат. мешање на нивната активност помеѓу нормалните настани на системот и бришење на привремени траги кога е можно.

Техники и алатки што тие обично ги користат

Каталогот е обемен, но речиси секогаш се врти околу матични комунални услуги и доверливи рути. Ова се некои од најчестите, секогаш со цел да максимизирај го извршувањето во меморијата и заматете ја трагата:

• PowerShellМоќно скриптирање, пристап до Windows API-ја и автоматизација. Неговата разноврсност го прави фаворит и за администрација и за навредлива злоупотреба.
• WMI (Инструментација за управување со Windows)Ви овозможува да поставувате барања и да реагирате на системски настани, како и да извршувате далечински и локални дејства; корисно за упорност и оркестрација.
• VBScript и JScript: мотори присутни во многу средини кои го олеснуваат извршувањето на логиката преку системските компоненти.
• mshta, rundll32 и други доверливи бинарни датотекидобро познатите LoLBins кои, кога се правилно поврзани, можат изврши код без да испушта артефакти видливо на дискот.
• Документи со активна содржинаМакроата или DDE во Office, како и PDF читачите со напредни функции, можат да послужат како отскочна даска за стартување команди во меморијата.
• Регистар на Windows: клучеви за самостојно стартување или шифрирано/скриено складирање на корисни оптоварувања што се активираат од системските компоненти.
• Заплена и инјектирање во процесите: модификација на меморискиот простор на извршените процеси за злонамерна логика на домаќинот во рамките на легитимна извршна датотека.
• Оперативни комплети: откривање на ранливости во системот на жртвата и распоредување на прилагодени експлоити за да се постигне извршување без допирање на дискот.

Предизвикот за компаниите (и зошто едноставното блокирање на сè не е доволно)

Наивниот пристап сугерира драстична мерка: блокирање на PowerShell, забрана на макроа, спречување на бинарни датотеки како rundll32. Реалноста е понијансирана: Многу од тие алатки се неопходни. за секојдневни ИТ операции и за административна автоматизација.

Покрај тоа, напаѓачите бараат дупки во законот: стартување на скриптниот механизам на други начини, користете алтернативни копииМожете да спакувате логика во слики или да прибегнете кон помалку следени LoLBin-ови. Бруталното блокирање на крајот создава триење без да обезбеди целосна одбрана.

Чисто анализата од страна на серверот или анализата базирана на облак не го решава проблемот. Без богата телеметрија на крајните точки и без реакција во самиот агентОдлуката доаѓа доцна, а превенцијата не е изводлива бидејќи мора да чекаме надворешна пресуда.

Во меѓувреме, извештаите за пазарот долго време укажуваат на многу значаен раст во оваа област, со врвови каде што Обидите за злоупотреба на PowerShell речиси се дуплираа во кратки периоди, што потврдува дека тоа е повторлива и профитабилна тактика за противниците.

Модерно откривање: од датотека до однесување

Клучот не е кој извршува, туку како и зошто. Мониторинг на однесувањето на процесот и неговите врски Тој е одлучувачки: командна линија, наследување на процеси, чувствителни API повици, излезни конекции, модификации на регистарот и WMI настани.

Овој пристап драстично ја намалува површината за избегнување: дури и ако вклучените бинарни броеви се променат, шемите на напади се повторуваат (скрипти што се преземаат и извршуваат во меморијата, злоупотреба на LoLBins, повикување на интерпретери, итн.). Анализирањето на таа скрипта, а не на „идентитетот“ на датотеката, го подобрува откривањето.

Ефективните EDR/XDR платформи ги корелираат сигналите за да ја реконструираат целосната историја на инциденти, идентификувајќи го главна причина Наместо да се обвинува процесот што „се појавил“, оваа нарација ги поврзува прилозите, макроа, интерпретерите, корисните оптоварувања и упорноста за да го ублажи целиот тек, а не само изолиран дел.

Примената на рамки како што се MITER ATT&CK Помага во мапирањето на набљудуваните тактики и техники (TTP) и го насочува ловот на закани кон однесувања од интерес: извршување, упорност, избегнување на одбрана, пристап до акредитиви, откривање, странично движење и ексфилтрација.

Конечно, оркестрацијата на одговорот на крајната точка мора да биде моментална: изолирајте го уредот, крајни процеси вклучени, вратете ги промените во регистарот или распоредувачот на задачи и блокирајте ги сомнителните појдовни врски без да чекате надворешни потврди.

Корисна телеметрија: што да се погледне и како да се даде приоритет

За да се зголеми веројатноста за откривање без преоптоварување на системот, препорачливо е да се даде приоритет на сигналите со висока вредност. Некои извори и контроли што обезбедуваат контекст. критично за бездатотечен звук:

• Детален PowerShell дневник и други интерпретери: дневник на блокови на скрипти, историја на команди, вчитани модули и AMSI настани, кога се достапни.
• WMI репозиториумИнвентар и известување во врска со креирање или модификација на филтри за настани, потрошувачи и врски, особено во чувствителни именски простори.
• Безбедносни настани и Sysmon: корелација на процеси, интегритет на слики, вчитување на меморија, инјектирање и креирање на закажани задачи.
• Црвена: аномални излезни врски, сигнализирање, шеми на преземање на товар и употреба на тајни канали за ексфилтрација.

Автоматизацијата помага да се одвои пченицата од плевата: правила за детекција базирани на однесување, листи на дозволи за легитимна администрација а збогатувањето со разузнавачка информација за закани ги ограничува лажните позитиви и го забрзува одговорот.

Превенција и намалување на површината

Ниту една поединечна мерка не е доволна, но слоевитата одбрана значително го намалува ризикот. Од превентивна страна, се издвојуваат неколку насоки на дејствување. културни вектори и да му го отежнат животот на непријателот:

• Макро управување: оневозможено по стандард и дозволено само кога е апсолутно неопходно и потпишано; грануларни контроли преку групни политики.
• Ограничување на интерпретери и LoLBin-иПрименете AppLocker/WDAC или еквивалент, контрола на скрипти и шаблони за извршување со сеопфатно евидентирање.
• Поправка и ублажувања: затвори ги експлоатирачките ранливости и активирај ги заштитите на меморијата што го ограничуваат RCE и инјекциите.
• Робусна автентикацијаМНР и принципи на нулта доверба за спречување на злоупотреба на акредитиви и намалување на страничното движење.
• Свесност и симулацииПрактична обука за фишинг, документи со активна содржина и знаци на аномално извршување.

Овие мерки се надополнети со решенија што анализираат сообраќај и меморија за да идентификуваат злонамерно однесување во реално време, како и политики за сегментација и минимални привилегии за да се контролира влијанието кога нешто ќе се протне низ глава.

Услуги и пристапи што функционираат

Во средини со многу крајни точки и висока критичност, услугите за управувано откривање и одговор со 24/7 мониторинг Тие докажаа дека го забрзуваат справувањето со инцидентите. Комбинацијата од SOC, EMDR/MDR и EDR/XDR обезбедува стручни очи, богата телеметрија и можности за координиран одговор.

Најефикасните даватели на услуги го интернализираа преминот кон однесување: лесни агенти кои корелирајте ја активноста на ниво на јадроТие реконструираат комплетна историја на напади и применуваат автоматски ублажувања кога ќе откријат злонамерни синџири, со можност за враќање на претходните податоци за поништување на промените.

Паралелно, пакетите за заштита на крајните точки и XDR платформите интегрираат централизирана видливост и управување со закани низ работните станици, серверите, идентитетите, е-поштата и облакот; целта е да се демонтираат. синџирот на напад без оглед на тоа дали се работи за датотеки или не.

Практични индикатори за лов на закани

Ако треба да ги дадете приоритет на хипотезите за пребарување, фокусирајте се на комбинирање на сигнали: канцелариски процес што стартува интерпретер со необични параметри, Креирање на WMI претплата По отворањето на документот, модификации на стартните клучеви проследени со поврзување со домени со лоша репутација.

Друг ефикасен пристап е да се потпрете на основните линии од вашата околина: што е нормално на вашите сервери и работни станици? Секое отстапување (новопотпишани бинарни датотеки што се појавуваат како родители-интерпретери, ненадејни скокови во перформансите (на скрипти, командни низи со замаглување) заслужува истражување.

Конечно, не заборавајте ја меморијата: ако имате алатки што ги проверуваат регионите што работат или снимаат снимки, наодите во RAM меморијата Тие можат да бидат дефинитивен доказ за активност без датотеки, особено кога нема артефакти во датотечниот систем.

Комбинацијата на овие тактики, техники и контроли не ја елиминира заканата, но ве става во подобра позиција да ја откриете навреме. исечи го ланецот и да се намали влијанието.

Кога сето ова се применува разумно - телеметрија богата со крајни точки, корелација на однесувањето, автоматизиран одговор и селективно зацврстување - тактиката без датотеки губи голем дел од својата предност. И, иако ќе продолжи да се развива, фокусот на однесувањето Наместо во досиеја, тој нуди солидна основа за вашата одбрана да еволуира со него.