Что такое «вредоносное ПО без постоянных файлов» и как его обнаружить с помощью бесплатных инструментов?

Появление вредоносное ПО без постоянных файлов Это стало настоящей головной болью для групп безопасности. Мы имеем дело не с типичным вирусом, который "подхватывается" при удалении исполняемого файла с диска, а с угрозами, которые живут в оперативной памяти, злоупотребляют легитимными системными инструментами и во многих случаях практически не оставляют никаких полезных следов для криминалистического анализа.

Этот тип атак стал особенно популярен среди продвинутых группировок и киберпреступников, стремящихся к совершению подобных действий. обходить традиционные антивирусные программы, красть данные и оставаться незамеченными. Как можно дольше. Понимание того, как они работают, какие методы используют и как их обнаруживать, является ключевым моментом для любой организации, которая сегодня серьезно относится к кибербезопасности.

Что такое вредоносное ПО без файлов и почему оно вызывает такую ​​обеспокоенность?

Когда мы говорим о вредоносное ПО без файлов Мы не утверждаем, что в этом деле не задействован ни один байт, но что вредоносный код Он не хранится на диске в виде классического исполняемого файла. Вместо этого он запускается непосредственно в памяти или размещается в менее заметных контейнерах, таких как реестр, WMI или запланированные задачи.

Во многих случаях злоумышленник использует уже имеющиеся в системе инструменты — PowerShell, WMI, скрипты, подписанные двоичные файлы Windows — для... загружать, расшифровывать или выполнять полезные нагрузки непосредственно в оперативную память.Таким образом, это позволяет избежать оставления очевидных исполняемых файлов, которые антивирус, использующий сигнатурный анализ, мог бы обнаружить при обычном сканировании.

Кроме того, часть цепочки атак может быть "бесфайловой", а другая часть может использовать файловую систему, поэтому речь идёт о нескольких вариантах атаки. спектр безфайловых технологий это относится к одному семейству вредоносных программ. Именно поэтому нет единого, однозначного определения, а есть несколько категорий в зависимости от степени воздействия на компьютер.

Основные характеристики вредоносных программ без постоянных файлов.

Ключевой характеристикой этих угроз является их выполнение, ориентированное на памятьВредоносный код загружается в оперативную память и выполняется внутри легитимных процессов, не требуя наличия стабильного вредоносного исполняемого файла на жестком диске. В некоторых случаях он даже внедряется в критически важные системные процессы для лучшей маскировки.

Еще одной важной особенностью является нетрадиционная настойчивостьМногие кампании, не использующие файлы, являются полностью энергозависимыми и исчезают после перезагрузки, но другие, наоборот, активируются повторно с помощью ключей автозапуска реестра, подписок WMI, запланированных задач или BITS, так что «видимый» след минимален, и реальная полезная нагрузка каждый раз возвращается в память.

Такой подход значительно снижает эффективность обнаружение на основе сигнатурПоскольку нет фиксированного исполняемого файла для анализа, часто вы видите совершенно легитимный PowerShell.exe, wscript.exe или mshta.exe, запущенный с подозрительными параметрами или загружающий обфусцированное содержимое.

Наконец, многие участники рынка сочетают безфайловые технологии с другими. типы вредоносных программ, такие как трояны, программы-вымогатели или рекламное ПОВ результате получаются гибридные кампании, сочетающие в себе лучшие (и худшие) стороны обоих миров: настойчивость и скрытность.

Типы угроз, не связанных с файлами, в зависимости от их влияния на систему.

Несколько производителей систем безопасности Они классифицируют «бесфайловые» угрозы в зависимости от следов, которые они оставляют на компьютере. Эта таксономия помогает нам понять, что мы видим, и как это исследовать.

Тип I: отсутствие видимой активности файлов.

На самом незаметном уровне мы обнаруживаем вредоносное ПО, которое Оно абсолютно ничего не записывает в файловую систему.Код поступает, например, через сетевые пакеты, использующие уязвимость (например, EternalBlue), внедряется непосредственно в память и поддерживается, например, в виде бэкдора в ядре (DoublePulsar был показательным случаем).

В других случаях инфекция локализуется в BIOS-прошивка, сетевые карты, USB-устройства или даже подсистемы внутри центрального процессора.Этот тип угроз может сохраняться даже после переустановки операционной системы, форматирования диска и некоторых полных перезагрузок.

Проблема в том, что большинство решений в области безопасности Они не проверяют прошивку или микрокод.И даже если это произойдет, устранение последствий будет сложным процессом. К счастью, эти методы обычно применяются высококвалифицированными злоумышленниками и не являются нормой при массовых атаках.

Тип II: Непрямое использование файлов

Вторая группа основана на содержит вредоносный код в структурах, хранящихся на диске.Но не в виде традиционных исполняемых файлов, а в репозиториях, где смешиваются легитимные и вредоносные данные, которые трудно очистить, не повредив систему.

Типичными примерами являются скрипты, хранящиеся в Репозиторий WMIзавуалированные цепочки в ключи реестра или запланированные задачи, запускающие опасные команды без явного вредоносного исполняемого файла. Вредоносное ПО может устанавливать эти записи непосредственно из командной строки или скрипта, оставаясь при этом практически невидимым.

Хотя технически задействованы файлы (физический файл, где Windows хранит репозиторий WMI, или раздел реестра), в практических целях мы говорим о деятельность без файлов потому что нет очевидного исполняемого файла, который можно было бы просто поместить в карантин.

Тип III: Для функционирования требуются файлы.

Третий тип включает угрозы, которые Они используют файлы, но таким образом, что это не очень эффективно для обнаружения.Известным примером является Kovter, который регистрирует случайные расширения в реестре, так что при открытии файла с таким расширением выполняется скрипт через mshta.exe или аналогичный собственный исполняемый файл.

Эти файлы-приманки содержат нерелевантные данные и настоящий вредоносный код. Она извлекается из других ключей реестра. или внутренних репозиториях. Хотя на диске и есть «что-то», использовать это в качестве надежного индикатора компрометации непросто, тем более в качестве прямого механизма очистки.

Наиболее распространенные пути проникновения и точки инфицирования

Помимо классификации следов, важно понимать, как Вот тут-то и вступает в игру вредоносное ПО, не имеющее постоянных файлов. В повседневной жизни злоумышленники часто комбинируют несколько методов в зависимости от окружающей среды и цели.

Эксплойты и уязвимости

Один из самых прямых путей — это злоупотребление Уязвимости удаленного выполнения кода (RCE) В браузерах, плагинах (например, Flash в те времена), веб-приложениях или сетевых службах (SMB, RDP и т. д.). Эксплойт внедряет шеллкод, который напрямую загружает или декодирует вредоносную полезную нагрузку в память.

В этой модели исходный файл может находиться в сети (тип эксплойта). WannaCryили в документе, который открывает пользователь, но Полезная нагрузка никогда не записывается на диск в виде исполняемого файла.: он расшифровывается и выполняется на лету из оперативной памяти.

Вредоносные документы и макросы

Ещё одним широко используемым направлением является Офисные документы с макросами или DDEа также PDF-файлы, предназначенные для использования уязвимостей в программах чтения. Казалось бы, безобидный файл Word или Excel может содержать код VBA, который запускает PowerShell, WMI или другие интерпретаторы для загрузки кода, выполнения команд или внедрения шеллкода в доверенные процессы.

В данном случае файл на диске представляет собой «всего лишь» контейнер данных, тогда как фактический вектор — это... Внутренний механизм написания сценариев приложенияНа самом деле, многие массовые спам-кампании злоупотребляли этой тактикой для проведения бесфайловых атак на корпоративные сети.

Легитимные скрипты и бинарные файлы (Жизнь за счет земли)

Злоумышленники обожают инструменты, которые уже предоставляет Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Инструментарий управления Windows (BITS) и т. д. Эти подписанные и доверенные бинарные файлы могут выполнять скрипты, DLL-библиотеки или удаленный контент без необходимости использования подозрительного файла "virus.exe".

Передавая вредоносный код в качестве параметры командной строкиВстраивание его в изображения, шифрование и декодирование в памяти или хранение в реестре гарантируют, что антивирус будет видеть активность только от легитимных процессов, что значительно затрудняет обнаружение, основанное исключительно на файлах.

Компрометация аппаратного и программного обеспечения.

На ещё более низком уровне продвинутые злоумышленники могут проникнуть в систему. BIOS-прошивка, сетевые карты, жесткие диски или даже подсистемы управления процессором. (например, Intel ME или AMT). Этот тип вредоносного ПО работает под управлением операционной системы и может перехватывать или изменять трафик без ведома ОС.

Хотя это экстремальный сценарий, он иллюстрирует, насколько серьёзной может быть угроза, не связанная с файлами. Обеспечьте сохранение состояния без изменения файловой системы операционной системы.и почему классические инструменты для защиты конечных точек оказываются неэффективными в таких случаях.

Как работает атака вредоносного ПО без постоянных файлов

На уровне потока данных бесфайловая атака очень похожа на файловую, но с некоторыми особенностями. соответствующие различия в том, как реализована полезная нагрузка и как поддерживается доступ.

1. Первоначальный доступ к системе

Все начинается с момента, когда злоумышленник получает первую точку опоры: фишинговое электронное письмо со вредоносной ссылкой или вложениемнапример, использование уязвимости в приложении, кража учетных данных для RDP или VPN или даже модификация USB-устройства.

На этом этапе используется следующее: социальная инженерияВредоносные перенаправления, вредоносные рекламные кампании или вредоносные атаки по Wi-Fi с целью обманом заставить пользователя кликать туда, куда не следует, или использовать уязвимости сервисов, доступных в Интернете.

2. Выполнение вредоносного кода в памяти.

Как только будет получена первая запись, запускается компонент, работающий без файлов: макрос Office запускает PowerShell, эксплойт внедряет шеллкод, подписка WMI запускает скрипт и т. д. Цель состоит в следующем: загрузка вредоносного кода непосредственно в оперативную памятьлибо путем загрузки из интернета, либо путем восстановления из встроенных данных.

Оттуда вредоносное ПО может повышать привилегии, перемещаться по сети, красть учетные данные, развертывать веб-оболочки, устанавливать RAT-программы или шифровать данные.Всё это подкрепляется законными мерами по снижению уровня шума.

3. Обеспечение устойчивости

Среди обычных методов являются:

• Ключи автозапуска в реестре, которые выполняют команды или скрипты при входе в систему.
• запланированные задачи которые запускают скрипты, легитимные исполняемые файлы с параметрами или удаленные команды.
• Подписки WMI которые запускают выполнение кода при возникновении определенных системных событий.
• Использование BITS для периодической загрузки полезной нагрузки с серверов управления и контроля.

В некоторых случаях постоянная составляющая минимальна и служит лишь для повторно внедрить вредоносное ПО в память Каждый раз при запуске системы или при выполнении определенного условия.

4. Действия по целям и эвакуация

Убедившись в своей правоте, злоумышленник сосредотачивает внимание на том, что его действительно интересует: кража информации, ее шифрование, манипулирование системами или слежка в течение нескольких месяцев.Эксфильтрация данных может осуществляться через HTTPS, DNS, скрытые каналы или легитимные сервисы. В реальных ситуациях знание этого может оказаться очень полезным. Что делать в первые 24 часа после взлома? может иметь значение.

При APT-атаках вредоносное ПО часто остается в сети. бесшумно и незаметно в течение длительного временистроительство дополнительных «черных ходов» для обеспечения доступа даже в случае обнаружения и обезвреживания части инфраструктуры.

Возможности и типы вредоносных программ, которые могут быть бесфайловыми.

Практически любую вредоносную функцию, которую могут выполнять классические вредоносные программы, можно реализовать, следуя этому подходу. без напильника или полубез напильникаМеняется не цель, а способ развертывания кода.

Вредоносное ПО, находящееся только в оперативной памяти.

В эту категорию входят полезные нагрузки, которые Они существуют исключительно в памяти процесса или ядра.Современные руткиты, сложные бэкдоры или шпионское ПО могут загружаться в память легитимного процесса и оставаться там до перезагрузки системы.

Эти компоненты особенно сложно обнаружить с помощью инструментов, ориентированных на работу с дисками, и они вынуждают использовать... анализ живой памяти, EDR с возможностью проверки в реальном времени или расширенными возможностями криминалистического анализа.

Вредоносное ПО, основанное на реестре Windows.

Еще один часто используемый метод — это хранение зашифрованный или обфусцированный код в ключах реестра и использовать легитимный исполняемый файл (например, PowerShell, MSHTA или rundll32) для чтения, декодирования и выполнения его в памяти.

Первоначальный загрузчик может самоуничтожиться после записи в реестр, поэтому остается лишь смесь, казалось бы, безобидных данных, которые Они активируют угрозу каждый раз при запуске системы. или каждый раз при открытии определенного файла.

Программы-вымогатели и бесфайловые трояны

Бесфайловый подход не противоречит очень агрессивным методам загрузки, таким как... вымогателейСуществуют кампании, которые загружают, расшифровывают и выполняют весь зашифрованный код в памяти с помощью PowerShell или WMI, не оставляя исполняемый файл программы-вымогателя на диске.

Кроме того, Трояны удаленного доступа (RAT)Кейлоггеры или программы для кражи учетных данных могут работать в полубесфайловом режиме, загружая модули по запросу и размещая основную логику в легитимных системных процессах.

Наборы для взлома и украденные учетные данные

Наборы инструментов для эксплуатации веб-угроз — это еще один элемент головоломки: они обнаруживают установленное программное обеспечение. Они выбирают подходящий эксплойт и внедряют полезную нагрузку непосредственно в память.Зачастую без сохранения каких-либо данных на диск.

С другой стороны, использование украденные учетные данные Это вектор атаки, который очень хорошо сочетается с бесфайловыми технологиями: злоумышленник аутентифицируется как легитимный пользователь и, исходя из этого, использует встроенные административные инструменты (PowerShell Remoting, WMI, PsExec) для развертывания скриптов и команд, которые не оставляют классических следов вредоносного ПО.

Почему вредоносное ПО без файлов так сложно обнаружить?

Основная причина заключается в том, что этот тип угроз специально разработан для... обойти традиционные уровни защитына основе сигнатур, белых списков и периодического сканирования файлов.

Если вредоносный код никогда не сохраняется в виде исполняемого файла на диске или скрывается в смешанных контейнерах, таких как WMI, реестр или микропрограмма, традиционному антивирусному программному обеспечению практически нечего анализировать. Вместо «подозрительного файла» вы получаете не «подозрительный файл», а нечто другое. легитимные процессы, которые ведут себя аномально.

Кроме того, это радикально блокирует такие инструменты, как PowerShell, макросы Office или WMI. Во многих организациях это нецелесообразно.Поскольку они необходимы для администрирования, автоматизации и повседневной работы, сторонникам этой идеи приходится действовать очень осторожно.

Некоторые поставщики пытались компенсировать это быстрыми решениями (общая блокировка PowerShell, полное отключение макросов, обнаружение только в облаке и т. д.), но эти меры обычно оказываются неэффективными. недостаточный или чрезмерно деструктивный для бизнеса.

Современные стратегии обнаружения и остановки вредоносного ПО, не содержащего файлов.

Для противостояния этим угрозам необходимо выйти за рамки простого сканирования файлов и применить целенаправленный подход. поведение, телеметрия в реальном времени и глубокая аналитика заключительного пункта.

Мониторинг поведения и памяти

Эффективный подход предполагает наблюдение за тем, что эти процессы делают на самом деле: Какие команды они выполняют, к каким ресурсам получают доступ, какие связи устанавливают.как они взаимодействуют друг с другом и т. д. Хотя существуют тысячи вариантов вредоносного ПО, модели вредоносного поведения гораздо более ограничены. Это также может быть дополнено Расширенное обнаружение с помощью YARA.

Современные решения сочетают в себе эти телеметрические данные с анализом в оперативной памяти, передовыми эвристическими алгоритмами и автоматическое обучение для выявления цепочек атак, даже если код сильно обфусцирован или никогда ранее не встречался.

Использование системных интерфейсов, таких как AMSI и ETW.

Windows предлагает такие технологии, как... Интерфейс сканирования на вредоносное ПО (AMSI) y Трассировка событий для Windows (ETW) Эти источники позволяют проводить анализ системных скриптов и событий на очень низком уровне. Интеграция этих источников в решения по обеспечению безопасности облегчает обнаружение угроз. вредоносный код непосредственно перед или во время его выполнения.

Кроме того, анализ критически важных областей — запланированных задач, подписок WMI, ключей реестра загрузки и т. д. — помогает выявить скрытое бесфайловое сохранение Это может остаться незамеченным при простом сканировании файла.

Поиск угроз и индикаторы атак (IoA)

Поскольку классические индикаторы (хеши, пути к файлам) недостаточны, целесообразно полагаться на индикаторы атаки (IoA)которые описывают подозрительное поведение и последовательности действий, соответствующие известным тактикам.

Группы по поиску угроз — как внутренние, так и использующие управляемые сервисы — могут проводить упреждающий поиск. схемы боковых перемещений, злоупотребление встроенными инструментами, аномалии в использовании PowerShell. или несанкционированный доступ к конфиденциальным данным, обнаружение угроз без файлов до того, как они приведут к катастрофе.

EDR, XDR и SOC круглосуточно и без выходных

Современные платформы EDR и XDR (Система обнаружения и реагирования на конечных устройствах на расширенном уровне) обеспечивает необходимую видимость и корреляцию для восстановления полной истории инцидента, от первого фишингового письма до окончательной утечки данных.

В сочетании с Круглосуточный центр оперативного управления безопасностью (SOC)Они позволяют не только обнаружить, но и автоматически локализовать и устранить проблему Вредоносная деятельность: изоляция компьютеров, блокировка процессов, отмена изменений в реестре или, по возможности, расшифровка данных.

Технологии вредоносного ПО без использования файлов изменили правила игры: простого запуска антивирусного сканирования и удаления подозрительного исполняемого файла уже недостаточно. Сегодня защита включает в себя понимание того, как злоумышленники используют уязвимости, скрывая код в памяти, реестре, WMI или микропрограмме, и развертывание комбинации поведенческого мониторинга, анализа в памяти, EDR/XDR, поиска угроз и передовых методов. Реалистично уменьшить воздействие Атаки, которые по своей сути стремятся не оставлять следов там, где ищут более традиционные решения, требуют целостной и непрерывной стратегии. В случае взлома необходимо знать... Восстановление Windows после серьезного вируса необходимо.