X'inhu "malware mingħajr fajls persistenti" u kif tiskoprih b'għodod b'xejn

Id-dehra ta ' malware mingħajr fajls persistenti Dan kien uġigħ ta’ ras veru għat-timijiet tas-sigurtà. M’aħniex qed nittrattaw il-virus tipiku li “taqbad” meta tħassar fajl eżekutibbli mid-diska, iżda theddid li jgħix fil-memorja, jabbuża minn għodod leġittimi tas-sistema, u, f’ħafna każijiet, iħalli kważi l-ebda traċċa forensika użabbli.

Dan it-tip ta’ attakk sar popolari b’mod speċjali fost gruppi avvanzati u ċiberkriminali li qed ifittxu jevadu s-softwer antivirus tradizzjonali, jisirqu d-dejta, u jibqgħu moħbija għall-itwal żmien possibbli. Il-fehim ta’ kif jaħdmu, liema tekniki jużaw, u kif jiġu identifikati huwa essenzjali għal kwalunkwe organizzazzjoni li trid tieħu ċ-ċibersigurtà bis-serjetà llum.

X'inhu malware mingħajr fajls u għaliex huwa daqshekk ta' tħassib?

Meta nitkellmu dwarhom malware mingħajr fajls Mhux qed ngħidu li lanqas byte wieħed mhu involut, iżda li l-kodiċi malizzjuż Mhuwiex maħżun bħala fajl eżegwibbli klassiku fuq id-diska mill-endpoint. Minflok, jaħdem direttament fil-memorja jew ikun ospitat f'kontenituri inqas viżibbli bħar-Reġistru, il-WMI, jew kompiti skedati.

F'ħafna xenarji, l-attakkant jiddependi fuq għodod diġà preżenti fis-sistema—PowerShell, WMI, skripts, binarji tal-Windows iffirmati—biex ittella', tiddeċifra, jew tesegwixxi payloads direttament fir-RAMB'dan il-mod, jevita li jħalli eżekutibbli ovvji li antivirus ibbażat fuq firma jista' jinduna bihom fi skenn normali.

Barra minn hekk, parti mill-katina tal-attakk tista' tkun "mingħajr fajls" u parti oħra tista' tuża s-sistema tal-fajls, għalhekk qed nitkellmu dwar aktar minn waħda spettru ta' tekniki mingħajr fajls dik ta' familja waħda ta' malware. Huwa għalhekk li m'hemmx definizzjoni waħda u magħluqa, iżda pjuttost diversi kategoriji skont il-grad ta' impatt li jħallu fuq il-magna.

Karatteristiċi ewlenin ta' malware mingħajr fajls persistenti

Proprjetà ewlenija ta’ dawn it-theddid hija l- eżekuzzjoni ċċentrata fuq il-memorjaIl-kodiċi malizzjuż jitgħabba fir-RAM u jiġi eżegwit fi ħdan proċessi leġittimi, mingħajr ma jkun hemm bżonn ta' binarju malizzjuż stabbli fuq il-hard drive. F'xi każijiet, saħansitra jiġi injettat fi proċessi kritiċi tas-sistema għal kamuflaġġ aħjar.

Fattur ieħor importanti huwa l- persistenza mhux konvenzjonaliĦafna kampanji mingħajr fajls huma purament volatili u jisparixxu wara reboot, iżda oħrajn jirnexxilhom jerġgħu jattivaw ruħhom bl-użu ta' ċwievet tar-Reġistru Autorun, abbonamenti tal-WMI, kompiti skedati, jew BITS, sabiex l-artefatt "viżibbli" jkun minimu u l-payload reali jgħix lura fil-memorja kull darba.

Dan l-approċċ inaqqas ħafna l-effettività tal- skoperta bbażata fuq il-firmaPeress li m'hemm l-ebda eżekutibbli fiss biex jiġi analizzat, dak li spiss tara huwa PowerShell.exe, wscript.exe, jew mshta.exe perfettament leġittimu, imniedi b'parametri suspettużi jew qed jitgħabba kontenut offuskat.

Fl-aħħar nett, ħafna atturi jikkombinaw tekniki mingħajr fajls ma’ oħrajn tipi ta' malware bħal Trojans, ransomware, jew adware, li jirriżulta f'kampanji ibridi li jħalltu l-aħjar (u l-agħar) taż-żewġ dinjiet: il-persistenza u l-moħbi.

Tipi ta' theddid mingħajr fajls skont l-impatt tagħhom fuq is-sistema

Diversi manifatturi tas-sigurtà Huma jikklassifikaw it-theddid "bla fajls" skont it-traċċa li jħallu fuq il-kompjuter. Din it-tassonomija tgħinna nifhmu x'qed naraw u kif ninvestigawh.

Tip I: l-ebda attività viżibbli tal-fajl

Fl-aktar tarf moħbi nsibu malware li Ma jikteb assolutament xejn fis-sistema tal-fajlsIl-kodiċi jasal, pereżempju, permezz ta' pakketti tan-netwerk li jisfruttaw vulnerabbiltà (bħal EternalBlue), jiġi injettat direttament fil-memorja, u jinżamm, pereżempju, bħala backdoor fil-kernel (DoublePulsar kien każ emblematiku).

F'xenarji oħra, l-infezzjoni tinsab fi Firmware tal-BIOS, karti tan-netwerk, apparati USB, jew saħansitra sottosistemi fis-CPUDan it-tip ta' theddida jista' jgħaddi minn installazzjonijiet mill-ġdid tas-sistema operattiva, ifformattjar tad-diski, u anke minn xi reboots kompleti.

Il-problema hi li l-biċċa l-kbira tas-soluzzjonijiet tas-sigurtà Ma jispezzjonawx il-firmware jew il-mikrokodiċiU anke jekk jagħmlu dan, ir-rimedju huwa kumpless. Fortunatament, dawn it-tekniki ġeneralment huma riżervati għal atturi sofistikati ħafna u mhumiex in-norma f'attakki tal-massa.

Tip II: Użu indirett ta' fajls

It-tieni grupp huwa bbażat fuq fihom il-kodiċi malizzjuż fi strutturi maħżuna fuq id-diskaImma mhux bħala eżekutibbli tradizzjonali, imma f'repożitorji li jħalltu dejta leġittima u malizzjuża, diffiċli biex jitnaddfu mingħajr ma ssir ħsara lis-sistema.

Eżempji tipiċi huma skripts maħżuna fil- Repożitorju tal-WMI, ktajjen mgħottija fi Ċwievet tar-Reġistru jew kompiti skedati li jniedu kmandi perikolużi mingħajr binarju malizzjuż ċar. Il-malware jista' jinstalla dawn l-entrati direttament mil-linja tal-kmand jew minn skript u mbagħad jibqa' prattikament inviżibbli.

Għalkemm teknikament hemm fajls involuti (il-fajl fiżiku fejn il-Windows jaħżen ir-repożitorju tal-WMI jew ir-Reġistru tal-ħnej), għal skopijiet prattiċi qed nitkellmu dwar attività mingħajr fajls għax m'hemm l-ebda eżekutibbli ovvju li jista' sempliċement jitqiegħed fi kwarantina.

Tip III: Jeħtieġ fajls biex jiffunzjonaw

It-tielet tip jinkludi theddid li Huma jużaw fajls, iżda b'mod li mhux utli ħafna għad-detezzjoni.Eżempju magħruf sew huwa Kovter, li jirreġistra estensjonijiet każwali fir-Reġistru sabiex, meta jinfetaħ fajl b'dik l-estensjoni, jiġi eżegwit skript permezz ta' mshta.exe jew binarju nattiv simili.

Dawn il-fajls tan-nassa fihom dejta irrilevanti, u l-kodiċi malizzjuż reali Jinġabar minn ċwievet oħra tar-Reġistru jew repożitorji interni. Għalkemm hemm "xi ħaġa" fuq id-diska, mhux faċli li tużaha bħala indikatur affidabbli ta' kompromess, wisq inqas bħala mekkaniżmu dirett ta' tindif.

L-aktar vettori tad-dħul komuni u punti ta' infezzjoni

Lil hinn mill-klassifikazzjoni tal-impronta, huwa importanti li nifhmu kif Hawnhekk jidħol fis-seħħ malware mingħajr fajls persistenti. Fil-ħajja ta' kuljum, l-attakkanti spiss jikkombinaw diversi vetturi skont l-ambjent u l-mira.

Sfruttamenti u vulnerabbiltajiet

Wieħed mill-aktar mogħdijiet diretti huwa l-abbuż ta' vulnerabbiltajiet ta' eżekuzzjoni ta' kodiċi remot (RCE) fil-browsers, plugins (bħal Flash lura fiż-żmien), applikazzjonijiet tal-web, jew servizzi tan-netwerk (SMB, RDP, eċċ.). L-isfruttament jinjetta shellcode li jniżżel jew jiddekodifika direttament il-payload malizzjuż fil-memorja.

F'dan il-mudell, il-fajl inizjali jista' jkun fuq in-netwerk (tip ta' exploits WannaCryjew f'dokument li l-utent jiftaħ, iżda Il-payload qatt ma jinkiteb bħala eżekutibbli fuq id-diska: jiġi deċifrat u eżegwit immedjatament mir-RAM.

Dokumenti u makros malizzjużi

Mod ieħor sfruttat ħafna huwa l- Dokumenti tal-Uffiċċju b'makros jew DDEkif ukoll PDFs iddisinjati biex jisfruttaw vulnerabbiltajiet tal-qarrejja. Fajl Word jew Excel li jidher li ma jagħmilx ħsara jista' jkun fih kodiċi VBA li jniedi PowerShell, WMI, jew interpreti oħra biex iniżżlu l-kodiċi, jesegwixxu kmandi, jew jinjettaw shellcode fi proċessi fdati.

Hawnhekk il-fajl fuq id-diska huwa "biss" kontenitur tad-dejta, filwaqt li l-vettur attwali huwa l- il-magna tal-iskrittjar interna tal-applikazzjoniFil-fatt, ħafna kampanji ta' spam tal-massa abbużaw minn din it-tattika biex jużaw attakki mingħajr fajls fuq netwerks korporattivi.

Skripts u binarji leġittimi (Ngħixu mill-Art)

L-attakkanti jħobbu l-għodod li Windows diġà jipprovdi: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Strumentazzjoni tal-Ġestjoni tal-Windows, BITS, eċċ. Dawn il-binarji ffirmati u fdati jistgħu jesegwixxu skripts, DLLs, jew kontenut remot mingħajr il-ħtieġa ta' "virus.exe" suspettuż.

Billi tgħaddi kodiċi malizzjuż bħala parametri tal-linja tal-kmandL-inkorporazzjoni tagħha f'immaġini, il-kriptaġġ u d-dekodifikazzjoni tagħha fil-memorja, jew il-ħażna tagħha fir-Reġistru, tiżgura li l-antivirus jara biss attività minn proċessi leġittimi, u b'hekk tagħmel l-iskoperta bbażata biss fuq fajls ħafna aktar diffiċli.

Ħardwer u firmware kompromessi

F'livell saħansitra aktar baxx, attakkanti avvanzati jistgħu jinfiltraw Firmware tal-BIOS, karti tan-netwerk, hard drives, jew saħansitra sottosistemi tal-ġestjoni tas-CPU (bħal Intel ME jew AMT). Dan it-tip ta’ malware jaħdem taħt is-sistema operattiva u jista’ jinterċetta jew jimmodifika t-traffiku mingħajr ma s-sistema operattiva tkun konxja ta’ dan.

Għalkemm huwa xenarju estrem, juri sa liema punt theddida mingħajr fajl tista' Żomm il-persistenza mingħajr ma tmiss is-sistema tal-fajls tal-OSu għaliex l-għodod klassiċi tal-endpoint ma jaħdmux biżżejjed f'dawn il-każijiet.

Kif jaħdem attakk ta' malware mingħajr fajls persistenti

Fil-livell tal-fluss, attakk mingħajr fajl huwa pjuttost simili għal wieħed ibbażat fuq fajl, iżda b' differenzi rilevanti f'kif tiġi implimentata l-merkanzija u kif jinżamm l-aċċess.

1. Aċċess inizjali għas-sistema

Kollox jibda meta l-attakkant jikseb l-ewwel bażi: a email ta' phishing b'link jew anness malizzjuż, sfruttament kontra applikazzjoni vulnerabbli, kredenzjali misruqa għal RDP jew VPN, jew saħansitra apparat USB imbagħbas.

F'din il-fażi, jintuża dan li ġej: inġinerija soċjaliridirezzjonijiet malizzjużi, kampanji ta' reklamar ħażin, jew attakki malizzjużi tal-Wi-Fi biex iqarrqu bl-utent u jikklikkja fejn m'għandux jew biex jisfruttaw servizzi esposti fuq l-Internet.

2. Eżekuzzjoni ta' kodiċi malizzjuż fil-memorja

Ladarba tinkiseb dik l-ewwel entrata, il-komponent mingħajr fajls jiġi attivat: makro tal-Office iniedi PowerShell, exploit jinjetta shellcode, sottoskrizzjoni WMI tattiva skript, eċċ. L-għan huwa ittella' kodiċi malizzjuż direttament fir-RAMjew billi tniżżlu mill-Internet jew billi tirrikostruwixxih minn dejta inkorporata.

Minn hemm, il-malware jista' eskala l-privileġġi, iċċaqlaq lateralment, jisraq il-kredenzjali, juża webshells, jinstalla RATs, jew jikkripta d-dejtaDan kollu huwa appoġġjat minn proċessi leġittimi biex jitnaqqas l-istorbju.

3. L-istabbiliment tal-persistenza

Fost it-tekniki tas-soltu Dawn huma:

• Ċwievet tal-Awtorizzazzjoni fir-Reġistru li jesegwixxu kmandi jew skripts meta tidħol.
• Kompiti skedati li jniedu skripts, binarji leġittimi b'parametri, jew kmandi remoti.
• Abbonamenti tal-WMI li jattivaw il-kodiċi meta jseħħu ċerti avvenimenti tas-sistema.
• Użu tal-BITS għal downloads perjodiċi ta' payloads minn servers ta' kmand u kontroll.

F'każijiet, il-komponent persistenti huwa minimu u jservi biss biex erġa' injetta l-malware fil-memorja kull darba li s-sistema tibda jew tintlaħaq kundizzjoni speċifika.

4. Azzjonijiet fuq miri u esfiltrazzjoni

Bil-persistenza assigurata, l-attakkant jiffoka fuq dak li verament jinteressah: jisirqu informazzjoni, jikkriptawha, jimmanipulaw sistemi, jew jispjunaw għal xhur sħaħL-esfiltrazzjoni tista' ssir permezz ta' HTTPS, DNS, kanali sigrieti, jew servizzi leġittimi. F'inċidenti tad-dinja reali, li tkun taf X'għandek tagħmel fl-ewwel 24 siegħa wara hack jista’ jagħmel differenza.

Fl-attakki tal-APT, huwa komuni li l-malware jibqa' sieket u moħbi għal perjodi twal, il-bini ta’ bibien ta’ wara addizzjonali biex jiġi żgurat l-aċċess anke jekk parti mill-infrastruttura tiġi skoperta u mnaddfa.

Kapaċitajiet u tipi ta' malware li jistgħu jkunu mingħajr fajls

Prattikament kull funzjoni malizzjuża li jista' jwettaq malware klassiku tista' tiġi implimentata billi jiġi segwit dan l-approċċ mingħajr fajl jew semi-mingħajr fajlDak li jinbidel mhux l-objettiv, iżda l-mod kif jiġi skjerat il-kodiċi.

Malware li jgħix biss fil-memorja

Din il-kategorija tinkludi tagħbijiet li Jgħixu esklussivament fil-memorja tal-proċess jew tal-kernel.Rootkits moderni, backdoors avvanzati, jew spyware jistgħu jitgħabbew fl-ispazju tal-memorja ta' proċess leġittimu u jibqgħu hemm sakemm is-sistema terġa' tinbeda.

Dawn il-komponenti huma partikolarment diffiċli biex wieħed jarahom b'għodod orjentati lejn id-diski, u jġiegħlu l-użu ta' analiżi tal-memorja ħajja, EDR b'spezzjoni f'ħin reali jew kapaċitajiet forensiċi avvanzati.

Malware bbażat fuq ir-Reġistru tal-Windows

Teknika oħra rikorrenti hija li taħżen kodiċi kriptat jew offuskat fiċ-ċwievet tar-Reġistru u uża binarju leġittimu (bħal PowerShell, MSHTA, jew rundll32) biex taqrah, tiddekodifikah, u tesegwixxih fil-memorja.

Id-dropper inizjali jista' jeqred lilu nnifsu wara li jikteb fir-Reġistru, għalhekk kull ma jibqa' huwa taħlita ta' dejta li tidher li ma tagħmilx ħsara li Huma jattivaw it-theddida kull darba li s-sistema tibda taħdem jew kull darba li jinfetaħ fajl speċifiku.

Ransomware u Trojans mingħajr fajls

L-approċċ mingħajr fajls mhuwiex inkompatibbli ma' metodi ta' tagħbija aggressivi ħafna bħal ransomwareHemm kampanji li jniżżlu, jiddeċifraw, u jesegwixxu l-kriptaġġ kollu fil-memorja bl-użu ta' PowerShell jew WMI, mingħajr ma jħallu l-eżekutibbli tar-ransomware fuq id-diska.

Bl-istess mod, trojans ta' aċċess remot (RATs)Il-keyloggers jew il-ħallelin tal-kredenzjali jistgħu joperaw b'mod semi-mingħajr fajls, billi jgħabbu moduli fuq talba u jospitaw il-loġika ewlenija fi proċessi leġittimi tas-sistema.

Kits ta' sfruttament u kredenzjali misruqa

Il-kits tal-isfruttament tal-web huma biċċa oħra tal-puzzle: dawn jiskopru s-softwer installat, Huma jagħżlu l-isfruttament xieraq u jinjettaw il-payload direttament fil-memorja., ħafna drabi mingħajr ma ssalva xejn fuq id-diska.

Min-naħa l-oħra, l-użu ta ' kredenzjali misruqa Huwa vettur li jaqbel tajjeb ħafna mat-tekniki mingħajr fajls: l-attakkant jawtentika bħala utent leġittimu u, minn hemm, jabbuża minn għodod amministrattivi nattivi (PowerShell Remoting, WMI, PsExec) biex juża skripts u kmandi li ma jħallu l-ebda traċċa klassika ta' malware.

Għaliex il-malware mingħajr fajls huwa daqshekk diffiċli biex jiġi skopert?

Ir-raġuni sottostanti hija li dan it-tip ta’ theddida hija mfassla speċifikament biex tevita s-saffi tradizzjonali tad-difiżaibbażat fuq firem, whitelists, u skens perjodiċi ta' fajls.

Jekk il-kodiċi malizzjuż qatt ma jiġi ssejvjat bħala eżekutibbli fuq id-diska, jew jekk jinħeba f'kontenituri mħallta bħal WMI, ir-Reġistru, jew firmware, is-softwer antivirus tradizzjonali ftit li xejn ikollu x'janalizza. Minflok "fajl suspettuż," dak li għandek huma proċessi leġittimi li jġibu ruħhom b'mod anomalu.

Barra minn hekk, jimblokka radikalment għodod bħal PowerShell, macros tal-Office, jew WMI. Mhuwiex vijabbli f'ħafna organizzazzjonijietGħax huma essenzjali għall-amministrazzjoni, l-awtomazzjoni, u l-operazzjonijiet ta' kuljum. Dan iġiegħel lill-avukati jimxu b'attenzjoni kbira.

Xi bejjiegħa ppruvaw jikkumpensaw b'soluzzjonijiet rapidi (imblukkar ġeneriku ta' PowerShell, diżattivazzjoni totali tal-makro, skoperta biss fil-cloud, eċċ.), iżda dawn il-miżuri ġeneralment ikunu insuffiċjenti jew eċċessivament diżruptiv għan-negozju.

Strateġiji moderni għall-iskoperta u t-twaqqif ta' malware mingħajr fajls

Biex niffaċċjaw dawn it-theddidiet, huwa neċessarju li mmorru lil hinn minn sempliċi skennjar ta' fajls u nadottaw approċċ iffukat. imġieba, telemetrija f'ħin reali, u viżibilità profonda tal-punt finali.

Monitoraġġ tal-imġieba u l-memorja

Approċċ effettiv jinvolvi l-osservazzjoni ta' x'jagħmlu fil-fatt il-proċessi: liema kmandi jesegwixxu, liema riżorsi jaċċessaw, liema konnessjonijiet jistabbilixxukif jirrelataw ma' xulxin, eċċ. Għalkemm jeżistu eluf ta' varjanti ta' malware, ix-xejriet ta' mġiba malizzjuża huma ħafna aktar limitati. Dan jista' jiġi kkomplementat ukoll bil- Sejbien avvanzat b'YARA.

Soluzzjonijiet moderni jikkombinaw din it-telemetrija ma' analitika fil-memorja, ewristika avvanzata, u tagħlim bil-magna biex jiġu identifikati ktajjen ta' attakk, anke meta l-kodiċi jkun offuskat ħafna jew qatt ma jkun deher qabel.

Użu ta' interfejsijiet tas-sistema bħal AMSI u ETW

Il-Windows joffri teknoloġiji bħal Interface ta' Skanjar Antimalware (AMSI) y Traċċar ta' Avvenimenti għall-Windows (ETW) Dawn is-sorsi jippermettu l-ispezzjoni ta' skripts u avvenimenti tas-sistema f'livell baxx ħafna. L-integrazzjoni ta' dawn is-sorsi f'soluzzjonijiet ta' sigurtà tiffaċilita l-iskoperta. kodiċi malizzjuż eżatt qabel jew waqt l-eżekuzzjoni tiegħu.

Barra minn hekk, l-analiżi ta' oqsma kritiċi—kompiti skedati, abbonamenti WMI, ċwievet tar-reġistru tal-boot, eċċ.—tgħin biex tidentifika persistenza mingħajr fajls moħbija li jista' ma jindunax bi skenn sempliċi ta' fajl.

Kaċċa għat-theddid u indikaturi ta' attakk (IoA)

Peress li l-indikaturi klassiċi (hashes, mogħdijiet tal-fajls) mhumiex biżżejjed, huwa rakkomandabbli li wieħed joqgħod fuq indikaturi ta' attakk (IoA), li jiddeskrivu mġiba suspettuża u sekwenzi ta' azzjonijiet li jaqblu ma' tattiċi magħrufa.

It-timijiet tal-kaċċa għat-theddid—interni jew permezz ta’ servizzi ġestiti—jistgħu jfittxu b’mod proattiv mudelli ta' moviment laterali, abbuż ta' għodod nattivi, anomaliji fl-użu ta' PowerShell jew aċċess mhux awtorizzat għal dejta sensittiva, billi jidentifika theddid mingħajr fajls qabel ma dawn jikkawżaw diżastru.

EDR, XDR u SOC 24/7

Pjattaformi moderni ta' EDR u XDR (Id-detezzjoni u r-rispons tal-endpoints f'livell estiż) jipprovdu l-viżibilità u l-korrelazzjoni meħtieġa biex tinbena mill-ġdid l-istorja sħiħa ta' inċident, mill-ewwel email ta' phishing sal-esfiltrazzjoni finali.

Flimkien ma' SOC operattiv 24/7Dawn jippermettu mhux biss l-iskoperta, iżda wkoll jikkontjenu u jirrimedjaw awtomatikament attività malizzjuża: iżola l-kompjuters, imblokka l-proċessi, irrevoka l-bidliet fir-Reġistru, jew tneħħi l-kriptaġġ meta jkun possibbli.

It-tekniki tal-malware mingħajr fajls biddlu l-logħba: is-sempliċi tħaddim ta' skennjar tal-antivirus u t-tħassir ta' eżekutibbli suspettuż m'għadux biżżejjed. Illum, id-difiża tinvolvi l-fehim ta' kif l-attakkanti jisfruttaw il-vulnerabbiltajiet billi jaħbu l-kodiċi fil-memorja, fir-Reġistru, fil-WMI, jew fil-firmware, u jużaw taħlita ta' monitoraġġ tal-imġiba, analiżi fil-memorja, EDR/XDR, tiftix għat-theddid, u l-aħjar prattiki. Naqqas l-impatt b'mod realistiku Attakki li, skont id-disinn, jippruvaw ma jħallu l-ebda traċċa fejn jidhru soluzzjonijiet aktar tradizzjonali jeħtieġu strateġija olistika u kontinwa. F'każ ta' kompromess, li tkun taf Tiswija tal-Windows wara virus serju huwa essenzjali.