Выявление бесфайловых файлов: полное руководство по обнаружению и остановке вредоносных программ в памяти

Атаки, не оставляющие следов на диске, стали серьёзной проблемой для многих служб безопасности, поскольку они выполняются исключительно в памяти и используют легитимные системные процессы. Поэтому важно знать как определить файлы без файлов и защищаться от них.

Помимо заголовков и тенденций, понимание того, как они работают, почему они так неуловимы и какие признаки позволяют нам их обнаружить, определяет разницу между локализацией инцидента и сожалением о нарушении. В следующих строках мы анализируем проблему и предлагаем решения.

Что такое безфайловое вредоносное ПО и почему это важно?

 

Бесфайловые вредоносные программы — это не конкретное семейство, а скорее способ работы: Избегайте записи исполняемых файлов на диск Он использует уже имеющиеся в системе службы и исполняемые файлы для выполнения вредоносного кода. Вместо того, чтобы оставить легко сканируемый файл, злоумышленник использует доверенные утилиты и загружает свою логику непосредственно в оперативную память.

Этот подход часто включается в философию «жизни за счет земли»: злоумышленники используют собственные инструменты, такие как PowerShell, WMI, mshta, rundll32 или скриптовые движки, такие как VBScript и JScript, чтобы достигать своих целей с минимальным шумом.

Среди его наиболее представительных особенностей мы находим: выполнение в энергозависимой памяти, незначительное или нулевое сохранение на диске, использование компонентов с системной подписью и высокая способность уклонения от механизмов на основе сигнатур.

Хотя многие полезные данные исчезают после перезагрузки, не обманывайтесь: противники могут установить настойчивость используя ключи реестра, подписки WMI или запланированные задачи, и все это без сохранения подозрительных двоичных файлов на диске.

Почему нам так сложно идентифицировать файлы без файлов?

Первое препятствие очевидно: Нет никаких аномальных файлов для проверки.Традиционные антивирусные программы, основанные на сигнатурах и анализе файлов, имеют мало возможностей для маневра, когда выполнение происходит в допустимых процессах, а вредоносная логика находится в памяти.

Второй вариант более тонкий: нападавшие маскируются за законные процессы операционной системыЕсли PowerShell или WMI используются ежедневно для администрирования, как можно отличить нормальное использование от вредоносного без контекста и поведенческой телеметрии?

Более того, слепое блокирование критически важных инструментов нецелесообразно. Полное отключение PowerShell или макросов Office может привести к сбоям в работе и Это не полностью предотвращает злоупотребления.поскольку существует множество альтернативных путей выполнения и методов обхода простых блокировок.

В довершение всего, обнаружение на уровне облака или сервера слишком запоздало для предотвращения проблем. Без локального отслеживания проблемы в режиме реального времени... командные строки, связи процессов и события журналаАгент не может «на лету» нейтрализовать вредоносный поток, не оставляющий следов на диске.

Как работает атака без файлов от начала до конца

Первоначальный доступ обычно осуществляется с теми же векторами, что и всегда: фишинг с офисными документами запрашивающие разрешение на включение активного контента, ссылок на скомпрометированные сайты, эксплуатацию уязвимостей в открытых приложениях или злоупотребление утечкой учетных данных для доступа через RDP или другие службы.

Оказавшись внутри, противник стремится выполнить удар, не касаясь диска. Для этого он объединяет в цепочку системные функции: макросы или DDE в документах которые запускают команды, используют переполнения для RCE или вызывают доверенные двоичные файлы, позволяющие загружать и выполнять код в памяти.

Если операция требует непрерывности, сохранение можно реализовать без развертывания новых исполняемых файлов: записи автозагрузки в реестреПодписки WMI, реагирующие на системные события или запланированные задачи, которые запускают сценарии при определенных условиях.

После того, как исполнение установлено, цель диктует следующие шаги: двигаться вбок, данные эксфильтратаЭто включает в себя кражу учётных данных, использование RAT, майнинг криптовалют или активацию шифрования файлов в случае программ-вымогателей. Всё это, по возможности, делается с использованием существующих функций.

Частью плана является удаление улик: не записывая подозрительные двоичные файлы, злоумышленник значительно сокращает количество артефактов, подлежащих анализу. смешивая свою активность между обычными событиями системы и по возможности удаляя временные следы.

Методы и инструменты, которые они обычно используют

Каталог обширен, но почти всегда он основан на собственных утилитах и ​​доверенных маршрутах. Вот некоторые из наиболее распространённых, всегда предназначенных для максимизировать выполнение в памяти и размыть след:

• PowerShellМощные скрипты, доступ к API Windows и автоматизация. Универсальность делает его популярным инструментом как для администрирования, так и для агрессивных действий.
• WMI (инструментарий управления Windows)Позволяет запрашивать и реагировать на системные события, а также выполнять удаленные и локальные действия; полезно для настойчивость и оркестровка.
• VBScript и JScript: механизмы, присутствующие во многих средах, которые облегчают выполнение логики посредством системных компонентов.
• mshta, rundll32 и другие доверенные двоичные файлы: известные LoLBins, которые при правильном подключении могут выполнять код без потери артефактов очевидно на диске.
• Документы с активным содержимымМакросы или DDE в Office, а также программы для чтения PDF-файлов с расширенными функциями могут служить отправной точкой для запуска команд в памяти.
• Реестр Windows: ключи самозагрузки или зашифрованное/скрытое хранилище полезных нагрузок, активируемых компонентами системы.
• Изъятие и внедрение в процессы: изменение пространства памяти запущенных процессов для вредоносная логика хоста в законном исполняемом файле.
• Операционные комплекты: обнаружение уязвимостей в системе жертвы и развертывание специально разработанных эксплойтов для выполнения кода без доступа к диску.

Проблема для компаний (и почему просто заблокировать все недостаточно)

Наивный подход предполагает радикальные меры: блокировку PowerShell, запрет макросов, предотвращение запуска двоичных файлов вроде rundll32. В реальности всё сложнее: Многие из этих инструментов крайне необходимы. для ежедневных ИТ-операций и административной автоматизации.

Кроме того, злоумышленники ищут лазейки: запуск скриптового движка другими способами, использовать альтернативные копииВы можете упаковать логику в изображения или прибегнуть к менее контролируемым LoLBins. Грубая блокировка в конечном итоге создаёт помехи, не обеспечивая полной защиты.

Анализ исключительно на стороне сервера или в облаке также не решает проблему. Без расширенной телеметрии конечных точек и без отзывчивость самого агентаРешение принимается поздно, и предотвращение не представляется возможным, поскольку нам приходится ждать внешнего вердикта.

Между тем, рыночные отчеты уже давно указывают на весьма значительный рост в этой области, с пиками, когда Число попыток злоупотребления PowerShell почти удвоилось в короткие периоды времени, что подтверждает, что это повторяющаяся и прибыльная тактика для противников.

Современное обнаружение: от файла к поведению

Главное не в том, кто исполняет, а в том, как и почему. Мониторинг поведение процесса и его взаимосвязи Решающее значение имеют: командная строка, наследование процессов, конфиденциальные вызовы API, исходящие соединения, изменения реестра и события WMI.

Такой подход радикально уменьшает поверхность уклонения: даже если используемые двоичные значения изменяются, модели атак повторяются (скрипты, загружаемые и выполняемые в памяти, злоупотребление LoLBins, вызов интерпретаторов и т. д.). Анализ самого скрипта, а не «идентификация» файла, повышает эффективность обнаружения.

Эффективные платформы EDR/XDR сопоставляют сигналы для реконструкции полной истории инцидента, идентифицируя первопричина Вместо того чтобы обвинять процесс, который «проявился», этот рассказ связывает вложения, макросы, интерпретаторы, полезные данные и постоянство для смягчения всего потока, а не только изолированной его части.

Применение таких фреймворков, как MITRE ATT & CK Он помогает отображать наблюдаемые тактики и методы (ТТП) и направлять поиск угроз в соответствии с интересующим поведением: исполнение, настойчивость, уклонение от защиты, доступ к учетным данным, обнаружение, боковое перемещение и эвакуация.

Наконец, оркестровка ответа конечной точки должна быть немедленной: изолировать устройство, конечные процессы отменять изменения в реестре или планировщике задач и блокировать подозрительные исходящие соединения, не дожидаясь внешних подтверждений.

Полезная телеметрия: на что обратить внимание и как расставить приоритеты

Чтобы повысить вероятность обнаружения, не перегружая систему, рекомендуется отдавать приоритет высокозначимым сигналам. Некоторые источники и элементы управления предоставляют контекст. критически важно для безфайловых являются:

• Подробный журнал PowerShell и другие интерпретаторы: журнал блоков скриптов, история команд, загруженные модули и события AMSI, если они доступны.
• Репозиторий WMIИнвентаризация и оповещения относительно создания или изменения фильтров событий, потребителей и ссылок, особенно в конфиденциальных пространствах имен.
• События безопасности и Sysmon: корреляция процессов, целостность изображений, загрузка памяти, инъекция и создание запланированных задач.
• Red: аномальные исходящие соединения, маяки, шаблоны загрузки полезной нагрузки и использование скрытых каналов для эксфильтрации.

Автоматизация помогает отделить зерна от плевел: правила обнаружения на основе поведения, списки разрешенных действий законная администрация а обогащение данными об угрозах ограничивает ложные срабатывания и ускоряет реагирование.

Предотвращение и уменьшение поверхностных

Ни одна мера не является достаточной, но многоуровневая защита значительно снижает риск. В плане профилактики выделяется несколько направлений действий. урожай векторов и усложнить жизнь противнику:

• Макроуправление: отключить по умолчанию и разрешить только при крайней необходимости и наличии подписи; детальный контроль через групповые политики.
• Ограничение переводчиков и LoLBins: применение AppLocker/WDAC или эквивалента, управление скриптами и шаблонами выполнения с полным протоколированием.
• Исправление и смягчение последствий: закрыть эксплуатируемые уязвимости и активировать защиту памяти, ограничивающую RCE и инъекции.
• Строгая аутентификацияПринципы многофакторной идентификации и нулевого доверия для предотвращения злоупотреблений учетными данными и уменьшить боковое движение.
• Осведомленность и моделированиеПрактические занятия по фишингу, документам с активным содержимым и признакам аномального выполнения.

Эти меры дополняются решениями, которые анализируют трафик и память для выявления вредоносного поведения в режиме реального времени, а также политики сегментации и минимальные привилегии, чтобы сдержать последствия, если что-то проскальзывает.

Услуги и подходы, которые работают

В средах с большим количеством конечных точек и высокой степенью критичности управляемые службы обнаружения и реагирования с Круглосуточный мониторинг Они доказали свою эффективность в ускорении локализации инцидентов. Сочетание SOC, EMDR/MDR и EDR/XDR обеспечивает экспертные возможности, расширенные телеметрические данные и скоординированное реагирование.

Наиболее эффективные поставщики усвоили переход к поведению: легкие агенты, которые коррелировать активность на уровне ядраОни реконструируют полную историю атак и применяют автоматические меры по смягчению последствий при обнаружении вредоносных цепочек, а также имеют возможность отката для отмены изменений.

Параллельно с этим, комплексы защиты конечных точек и платформы XDR интегрируют централизованную видимость и управление угрозами на рабочих станциях, серверах, идентификаторах, электронной почте и в облаке; цель состоит в том, чтобы демонтировать цепь атаки независимо от того, задействованы ли файлы.

Практические индикаторы для обнаружения угроз

Если вам нужно расставить приоритеты в гипотезах поиска, сосредоточьтесь на комбинировании сигналов: офисный процесс, который запускает интерпретатор с необычными параметрами, Создание подписки WMI После открытия документа вносятся изменения в ключи запуска, после чего происходит подключение к доменам с плохой репутацией.

Другой эффективный подход — опираться на базовые показатели вашей среды: что является нормой на ваших серверах и рабочих станциях? Любое отклонение (недавно подписанные двоичные файлы, появляющиеся как родительские интерпретаторы, внезапные скачки производительности (скриптов, командных строк с обфускацией) заслуживает исследования.

Наконец, не забывайте о памяти: если у вас есть инструменты, которые проверяют работающие регионы или делают снимки, результаты в оперативной памяти Они могут служить неопровержимым доказательством отсутствия файловой активности, особенно если в файловой системе нет никаких артефактов.

Сочетание этих тактик, методов и средств контроля не устраняет угрозу, но дает вам больше возможностей обнаружить ее вовремя. перерезать цепь и уменьшить воздействие.

При разумном применении всех этих технологий — телеметрии конечных точек, поведенческой корреляции, автоматизированного реагирования и выборочного усиления защиты — тактика без файлов теряет значительную часть своих преимуществ. И, хотя она будет продолжать развиваться, фокус на поведении Вместо того, чтобы хранить данные в файлах, он предлагает прочную основу для вашей защиты, которая будет развиваться вместе с ней.