Mengenal pasti fail tanpa fail: panduan lengkap untuk mengesan dan menghentikan perisian hasad dalam ingatan

Serangan yang beroperasi tanpa meninggalkan kesan pada cakera telah menjadi sakit kepala utama bagi banyak pasukan keselamatan kerana mereka melaksanakan sepenuhnya dalam ingatan dan mengeksploitasi proses sistem yang sah. Oleh itu kepentingan mengetahui bagaimana untuk mengenal pasti fail tanpa fail dan mempertahankan diri terhadap mereka.

Di luar tajuk dan arah aliran, memahami cara ia berfungsi, sebab ia sangat sukar difahami, dan tanda yang membolehkan kami mengesannya membuat perbezaan antara menahan insiden dan menyesali pelanggaran. Dalam baris berikut, kami menganalisis masalah dan mencadangkan penyelesaian.

Apakah perisian hasad tanpa fail dan mengapa ia penting?

 

Perisian hasad tanpa fail bukanlah keluarga tertentu, sebaliknya cara pengendalian: Elakkan menulis boleh laku pada cakera Ia menggunakan perkhidmatan dan binari yang sedia ada dalam sistem untuk melaksanakan kod hasad. Daripada meninggalkan fail yang boleh diimbas dengan mudah, penyerang menyalahgunakan utiliti yang dipercayai dan memuatkan logiknya terus ke dalam RAM.

Pendekatan ini sering terkandung dalam falsafah 'Living off the Land': penyerang berperanan alatan asli seperti PowerShell, WMI, mshta, rundll32 atau enjin skrip seperti VBScript dan JScript untuk mencapai matlamat mereka dengan bunyi yang minimum.

Antara ciri yang paling mewakilinya yang kami temui: pelaksanaan dalam ingatan yang tidak menentu, sedikit atau tiada kegigihan pada cakera, penggunaan komponen yang ditandatangani sistem dan kapasiti pengelakan yang tinggi terhadap enjin berasaskan tandatangan.

Walaupun banyak muatan hilang selepas but semula, jangan tertipu: musuh boleh mewujudkan kegigihan dengan memanfaatkan kekunci Registry, langganan WMI atau tugas berjadual, semuanya tanpa meninggalkan binari yang mencurigakan pada cakera.

Mengapa kita merasa sangat sukar untuk mengenal pasti fail tanpa fail?

Halangan pertama adalah jelas: Tiada fail anomali untuk diperiksaProgram antivirus tradisional berdasarkan tandatangan dan analisis fail mempunyai sedikit ruang untuk bergerak apabila pelaksanaan berada dalam proses yang sah dan logik berniat jahat berada dalam ingatan.

Yang kedua adalah lebih halus: penyerang menyamar di belakang proses sistem pengendalian yang sahJika PowerShell atau WMI digunakan setiap hari untuk pentadbiran, bagaimana anda boleh membezakan penggunaan biasa daripada penggunaan berniat jahat tanpa konteks dan telemetri tingkah laku?

Tambahan pula, menyekat alat kritikal secara membuta tuli tidak boleh dilaksanakan. Melumpuhkan makro PowerShell atau Office di seluruh papan boleh memecahkan operasi dan Ia tidak sepenuhnya menghalang penyalahgunaankerana terdapat berbilang laluan dan teknik pelaksanaan alternatif untuk memintas blok mudah.

Selain itu, pengesanan berasaskan awan atau sisi pelayan sudah terlambat untuk mengelakkan masalah. Tanpa keterlihatan tempatan masa nyata terhadap isu tersebut... baris arahan, hubungan proses dan peristiwa logEjen tidak boleh mengurangkan dengan cepat aliran berniat jahat yang tidak meninggalkan kesan pada cakera.

Cara serangan tanpa fail berfungsi dari awal hingga akhir

Akses awal biasanya berlaku dengan vektor yang sama seperti biasa: pancingan data dengan dokumen pejabat yang meminta untuk membolehkan kandungan aktif, pautan ke tapak yang terjejas, eksploitasi kelemahan dalam aplikasi terdedah, atau penyalahgunaan bukti kelayakan yang bocor untuk diakses melalui RDP atau perkhidmatan lain.

Sebaik sahaja di dalam, pihak lawan berusaha untuk melaksanakan tanpa menyentuh cakera. Untuk melakukan ini, mereka merantai bersama fungsi sistem: makro atau DDE dalam dokumen yang melancarkan arahan, mengeksploitasi limpahan untuk RCE, atau menggunakan binari dipercayai yang membenarkan memuatkan dan melaksanakan kod dalam ingatan.

Jika operasi memerlukan kesinambungan, ketekunan boleh dilaksanakan tanpa menggunakan boleh laku baharu: entri permulaan dalam PendaftaranLangganan WMI yang bertindak balas kepada peristiwa sistem atau tugas berjadual yang mencetuskan skrip di bawah syarat tertentu.

Dengan pelaksanaan ditetapkan, objektif menentukan langkah-langkah berikut: bergerak ke sisi, keluarkan dataIni termasuk mencuri bukti kelayakan, menggunakan RAT, melombong mata wang kripto atau mengaktifkan penyulitan fail dalam kes perisian tebusan. Semua ini dilakukan, apabila boleh, dengan memanfaatkan fungsi sedia ada.

Mengalih keluar bukti adalah sebahagian daripada rancangan: dengan tidak menulis binari yang mencurigakan, penyerang mengurangkan dengan ketara artifak untuk dianalisis. mencampurkan aktiviti mereka antara kejadian biasa sistem dan memadamkan jejak sementara apabila boleh.

Teknik dan alatan yang biasa mereka gunakan

Katalog ini luas, tetapi ia hampir selalu berkisar pada utiliti asli dan laluan yang dipercayai. Ini adalah antara yang paling biasa, sentiasa dengan matlamat memaksimumkan pelaksanaan dalam ingatan dan kaburkan jejak:

• PowerShellSkrip berkuasa, akses kepada API Windows dan automasi. Fleksibilitinya menjadikannya kegemaran untuk pentadbiran dan penyalahgunaan yang menyinggung perasaan.
• WMI (Instrumentasi Pengurusan Windows)Ia membolehkan anda membuat pertanyaan dan bertindak balas terhadap peristiwa sistem, serta melakukan tindakan jauh dan setempat; berguna untuk kegigihan dan orkestrasi.
• VBScript dan JScript: enjin hadir dalam banyak persekitaran yang memudahkan pelaksanaan logik melalui komponen sistem.
• mshta, rundll32 dan binari lain yang dipercayai: LoLBins terkenal yang, apabila dikaitkan dengan betul, boleh laksanakan kod tanpa menjatuhkan artifak jelas pada cakera.
• Dokumen dengan kandungan aktifMakro atau DDE dalam Office, serta pembaca PDF dengan ciri lanjutan, boleh berfungsi sebagai batu loncatan untuk melancarkan arahan dalam ingatan.
• Windows Registry: kunci but sendiri atau storan muatan yang disulitkan/tersembunyi yang diaktifkan oleh komponen sistem.
• Penyitaan dan suntikan ke dalam proses: pengubahsuaian ruang ingatan proses menjalankan untuk tuan rumah logik jahat dalam laksana yang sah.
• Kit pengendalian: pengesanan kelemahan dalam sistem mangsa dan penggunaan eksploitasi yang disesuaikan untuk mencapai pelaksanaan tanpa menyentuh cakera.

Cabaran untuk syarikat (dan mengapa hanya menyekat semuanya tidak mencukupi)

Pendekatan naif mencadangkan langkah drastik: menyekat PowerShell, melarang makro, menghalang perduaan seperti rundll32. Realitinya lebih bernuansa: Banyak alat ini penting. untuk operasi IT harian dan untuk automasi pentadbiran.

Di samping itu, penyerang mencari kelemahan: menjalankan enjin skrip dengan cara lain, gunakan salinan alternatifAnda boleh membungkus logik dalam imej atau menggunakan LoLBins yang kurang dipantau. Sekatan kasar akhirnya mewujudkan geseran tanpa memberikan pertahanan yang lengkap.

Analisis sisi pelayan atau berasaskan awan semata-mata tidak menyelesaikan masalah sama ada. Tanpa telemetri titik akhir yang kaya dan tanpa responsif dalam ejen itu sendiriKeputusan datang lewat dan pencegahan tidak dapat dilaksanakan kerana kita perlu menunggu keputusan pihak luar.

Sementara itu, laporan pasaran telah lama menunjukkan pertumbuhan yang sangat ketara dalam bidang ini, dengan puncak di mana Percubaan untuk menyalahgunakan PowerShell hampir dua kali ganda dalam tempoh yang singkat, yang mengesahkan bahawa ia adalah taktik yang berulang dan menguntungkan untuk musuh.

Pengesanan moden: dari fail ke tingkah laku

Kuncinya bukan siapa yang melaksanakan, tetapi bagaimana dan mengapa. Memantau tingkah laku proses dan hubungannya Ia adalah penentu: baris arahan, pewarisan proses, panggilan API sensitif, sambungan keluar, pengubahsuaian Pendaftaran dan acara WMI.

Pendekatan ini secara drastik mengurangkan permukaan pengelakan: walaupun binari yang terlibat berubah, yang corak serangan diulang (skrip yang memuat turun dan melaksanakan dalam ingatan, penyalahgunaan LoLBins, permohonan jurubahasa, dsb.). Menganalisis skrip itu, bukan 'identiti' fail, meningkatkan pengesanan.

Platform EDR/XDR yang berkesan mengaitkan isyarat untuk membina semula sejarah kejadian yang lengkap, mengenal pasti punca punca Daripada menyalahkan proses yang 'muncul', naratif ini memautkan lampiran, makro, penterjemah, muatan dan kegigihan untuk mengurangkan keseluruhan aliran, bukan hanya sekeping terpencil.

Aplikasi rangka kerja seperti MITRE ATT&CK Ia membantu memetakan taktik dan teknik yang diperhatikan (TTP) dan membimbing pemburuan ancaman ke arah tingkah laku yang diminati: pelaksanaan, kegigihan, pengelakan pertahanan, akses kelayakan, penemuan, pergerakan sisi dan penyusupan.

Akhir sekali, orkestrasi tindak balas titik akhir mestilah segera: asingkan peranti, proses tamat terlibat, kembalikan perubahan dalam Pendaftaran atau penjadual tugas dan sekat sambungan keluar yang mencurigakan tanpa menunggu pengesahan luaran.

Telemetri berguna: apa yang perlu dilihat dan bagaimana untuk memberi keutamaan

Untuk meningkatkan kebarangkalian pengesanan tanpa memenuhi sistem, adalah dinasihatkan untuk mengutamakan isyarat bernilai tinggi. Beberapa sumber dan kawalan yang menyediakan konteks. kritikal untuk tanpa fail bunyi:

• Log PowerShell Terperinci dan jurubahasa lain: log blok skrip, sejarah arahan, modul dimuatkan dan acara AMSI, apabila tersedia.
• Repositori WMIInventori dan makluman mengenai penciptaan atau pengubahsuaian penapis acara, pengguna dan pautan, terutamanya dalam ruang nama yang sensitif.
• Acara keselamatan dan Sysmon: korelasi proses, integriti imej, pemuatan memori, suntikan, dan penciptaan tugas yang dijadualkan.
• Merah: sambungan keluar anomali, suar, corak muat turun muatan dan penggunaan saluran rahsia untuk penyusutan.

Automasi membantu memisahkan gandum daripada sekam: peraturan pengesanan berasaskan tingkah laku, senarai yang dibenarkan untuk pentadbiran yang sah dan pengayaan dengan perisikan ancaman mengehadkan positif palsu dan mempercepatkan tindak balas.

Pencegahan dan pengurangan permukaan

Tiada langkah tunggal yang mencukupi, tetapi pertahanan berlapis sangat mengurangkan risiko. Dari segi pencegahan, beberapa baris tindakan menonjol vektor tanaman dan membuat hidup lebih sukar bagi musuh:

• Pengurusan makro: lumpuhkan secara lalai dan benarkan hanya apabila perlu dan ditandatangani; kawalan berbutir melalui dasar kumpulan.
• Sekatan penterjemah dan LoLBins: Guna AppLocker/WDAC atau setara, kawalan skrip dan templat pelaksanaan dengan pengelogan komprehensif.
• Tampalan dan mitigasi: tutup kelemahan yang boleh dieksploitasi dan aktifkan perlindungan memori yang mengehadkan RCE dan suntikan.
• Pengesahan yang kukuhMFA dan prinsip amanah sifar untuk membendung penyalahgunaan kelayakan dan mengurangkan pergerakan sisi.
• Kesedaran dan simulasiLatihan praktikal mengenai pancingan data, dokumen dengan kandungan aktif dan tanda-tanda pelaksanaan anomali.

Langkah-langkah ini dilengkapi dengan penyelesaian yang menganalisis trafik dan ingatan untuk mengenal pasti tingkah laku berniat jahat dalam masa nyata, serta dasar pembahagian dan keistimewaan minimum untuk membendung kesan apabila sesuatu tergelincir.

Perkhidmatan dan pendekatan yang berfungsi

Dalam persekitaran yang mempunyai banyak titik akhir dan kritikal yang tinggi, perkhidmatan pengesanan dan tindak balas terurus dengan Pemantauan 24/7 Mereka telah terbukti mempercepatkan pembendungan insiden. Gabungan SOC, EMDR/MDR dan EDR/XDR menyediakan mata pakar, telemetri kaya dan keupayaan tindak balas yang diselaraskan.

Penyedia yang paling berkesan telah menghayati peralihan kepada tingkah laku: agen ringan yang mengaitkan aktiviti pada peringkat kernelMereka membina semula sejarah serangan yang lengkap dan menggunakan pengurangan automatik apabila mereka mengesan rantaian berniat jahat, dengan keupayaan rollback untuk membuat asal perubahan.

Secara selari, suite perlindungan titik akhir dan platform XDR menyepadukan keterlihatan terpusat dan pengurusan ancaman merentas stesen kerja, pelayan, identiti, e-mel dan awan; matlamatnya adalah untuk membongkar rantaian serangan tidak kira sama ada fail terlibat atau tidak.

Penunjuk praktikal untuk memburu ancaman

Jika anda perlu mengutamakan hipotesis carian, fokus pada menggabungkan isyarat: proses pejabat yang melancarkan penterjemah dengan parameter luar biasa, Penciptaan langganan WMI Selepas membuka dokumen, pengubahsuaian pada kunci permulaan diikuti dengan sambungan ke domain dengan reputasi yang buruk.

Satu lagi pendekatan yang berkesan ialah bergantung pada garis dasar dari persekitaran anda: apakah yang biasa pada pelayan dan stesen kerja anda? Sebarang penyelewengan (perduaan yang baru ditandatangani muncul sebagai ibu bapa jurubahasa, lonjakan mendadak dalam prestasi (daripada skrip, rentetan arahan dengan kekeliruan) patut disiasat.

Akhir sekali, jangan lupa ingatan: jika anda mempunyai alatan yang memeriksa kawasan yang sedang berjalan atau menangkap syot kilat, penemuan dalam RAM Mereka boleh menjadi bukti muktamad aktiviti tanpa fail, terutamanya apabila tiada artifak dalam sistem fail.

Gabungan taktik, teknik dan kawalan ini tidak menghapuskan ancaman, tetapi ia meletakkan anda dalam kedudukan yang lebih baik untuk mengesannya tepat pada masanya. potong rantai dan mengurangkan kesannya.

Apabila semua ini digunakan dengan bijak—telemetri kaya titik akhir, korelasi tingkah laku, tindak balas automatik dan pengerasan terpilih—taktik tanpa fail kehilangan banyak kelebihannya. Dan, walaupun ia akan terus berkembang, tumpuan kepada tingkah laku Daripada dalam fail, ia menawarkan asas yang kukuh untuk pertahanan anda berkembang dengannya.