Identifikácia súborov bez súborov: kompletný sprievodca detekciou a zastavením škodlivého softvéru v pamäti

Útoky, ktoré fungujú bez zanechania stopy na disku, sa stali pre mnohé bezpečnostné tímy veľkou bolesťou hlavy, pretože sa vykonávajú výlučne v pamäti a zneužívajú legitímne systémové procesy. Preto je dôležité vedieť... ako identifikovať súbory bez súborov a brániť sa pred nimi.

Okrem titulkov a trendov je dôležité pochopiť, ako fungujú, prečo sú také nepolapiteľné a aké signály nám umožňujú ich odhaliť, čo je rozdiel medzi obmedzením incidentu a ľutovaním porušenia. V nasledujúcich riadkoch analyzujeme problém a navrhujeme... riešenia.

Čo je to bezsúborový malware a prečo je dôležitý?

 

Bezsúborový malvér nie je špecifická rodina, ale skôr spôsob fungovania: Vyhnite sa zapisovaniu spustiteľných súborov na disk Na spustenie škodlivého kódu využíva služby a binárne súbory, ktoré sú už v systéme prítomné. Namiesto zanechania ľahko skenovateľného súboru útočník zneužíva dôveryhodné nástroje a načítava ich logiku priamo do pamäte RAM.

Tento prístup je často zahrnutý vo filozofii „Žiť z pôdy“: útočníci využívajú natívne nástroje ako PowerShell, WMI, mshta, rundll32 alebo skriptovacie nástroje ako VBScript a JScript na dosiahnutie svojich cieľov s minimálnym šumom.

Medzi jeho najreprezentatívnejšie vlastnosti patrí: vykonávanie v nestálej pamäti, malá alebo žiadna perzistencia na disku, použitie systémom podpísaných komponentov a vysoká schopnosť úniku proti systémom založeným na podpisoch.

Hoci veľa dát po reštarte zmizne, nenechajte sa oklamať: protivníci môžu preukázať vytrvalosť využitím kľúčov databázy Registry, predplatných služby WMI alebo naplánovaných úloh, a to všetko bez toho, aby na disku zostali podozrivé binárne súbory.

Prečo je pre nás také ťažké identifikovať súbory bez súborov?

Prvá prekážka je zrejmá: Nie sú k dispozícii žiadne anomálne súbory na kontroluTradičné antivírusové programy založené na podpisoch a analýze súborov majú malý priestor na manévrovanie, keď sa vykonávanie nachádza v platných procesoch a škodlivá logika v pamäti.

Druhý je rafinovanejší: útočníci sa maskujú za legitímne procesy operačného systémuAk sa PowerShell alebo WMI používajú denne na administráciu, ako môžete rozlíšiť bežné použitie od škodlivého použitia bez kontextovej a behaviorálnej telemetrie?

Okrem toho nie je možné slepo blokovať kritické nástroje. Plošné zakázanie makier PowerShellu alebo balíka Office môže narušiť prevádzku a Nezabráni to úplne zneužívaniupretože existuje viacero alternatívnych spôsobov vykonávania a techník na obídenie jednoduchých blokov.

A aby toho nebolo málo, detekcia v cloude alebo na strane servera je príliš neskorá na to, aby sa predišlo problémom. Bez lokálneho prehľadu o probléme v reálnom čase... príkazové riadky, vzťahy medzi procesmi a udalosti protokoluAgent nedokáže za chodu zmierniť škodlivý tok, ktorý nezanecháva na disku žiadnu stopu.

Ako funguje útok bez súborov od začiatku do konca

Počiatočný prístup zvyčajne prebieha s rovnakými vektormi ako vždy: phishing s dokumentmi balíka Office ktoré požadujú povolenie aktívneho obsahu, odkazov na napadnuté stránky, zneužívania zraniteľností v exponovaných aplikáciách alebo zneužívania uniknutých prihlasovacích údajov na prístup prostredníctvom RDP alebo iných služieb.

Keď je súper vo vnútri, snaží sa vykonať útok bez toho, aby sa dotkol disku. Aby to dosiahol, prepojí funkcie systému: makrá alebo DDE v dokumentoch ktoré spúšťajú príkazy, využívajú pretečenia pre RCE alebo volajú dôveryhodné binárne súbory, ktoré umožňujú načítanie a vykonávanie kódu v pamäti.

Ak operácia vyžaduje kontinuitu, perzistenciu je možné implementovať bez nasadenia nových spustiteľných súborov: položky pri spustení v registriPredplatné WMI, ktoré reagujú na systémové udalosti alebo naplánované úlohy, ktoré za určitých podmienok spúšťajú skripty.

Po stanovení prevedenia cieľ diktuje nasledujúce kroky: pohyb do strán, exfiltrovať dátaPatria sem krádeže prihlasovacích údajov, nasadenie RAT, ťažba kryptomien alebo aktivácia šifrovania súborov v prípade ransomvéru. Toto všetko sa, pokiaľ je to možné, vykonáva s využitím existujúcich funkcií.

Odstránenie dôkazov je súčasťou plánu: tým, že útočník nezapisuje podozrivé binárne súbory, výrazne znižuje počet artefaktov, ktoré sa majú analyzovať. miešanie ich aktivity medzi bežnými udalosťami systému a odstránenie dočasných stôp, ak je to možné.

Techniky a nástroje, ktoré zvyčajne používajú

Katalóg je rozsiahly, ale takmer vždy sa zameriava na natívne nástroje a dôveryhodné trasy. Toto sú niektoré z najbežnejších, vždy s cieľom maximalizovať vykonávanie v pamäti a rozmazať stopu:

• PowerShellVýkonné skriptovanie, prístup k rozhraniam API systému Windows a automatizácia. Jeho všestrannosť z neho robí obľúbeného používateľa pre administráciu aj pre útočné zneužívanie.
• WMI (Windows Management Instrumentation)Umožňuje vám dotazovať sa na systémové udalosti a reagovať na ne, ako aj vykonávať vzdialené a lokálne akcie; užitočné pre vytrvalosť a orchestrácia.
• VBScript a JScript: enginy prítomné v mnohých prostrediach, ktoré uľahčujú vykonávanie logiky prostredníctvom systémových komponentov.
• mshta, rundll32 a ďalšie dôveryhodné binárne súboryznáme LoLBiny, ktoré pri správnom prepojení dokážu spustiť kód bez straty artefaktov zrejmé na disku.
• Dokumenty s aktívnym obsahomMakrá alebo DDE v balíku Office, ako aj čítačky PDF s pokročilými funkciami, môžu slúžiť ako odrazový mostík na spustenie príkazov v pamäti.
• Register systému Windows: kľúče pre automatické spustenie alebo šifrované/skryté úložisko údajov, ktoré sú aktivované systémovými komponentmi.
• Zaistenie a vstreknutie do procesov: úprava pamäťového priestoru spustených procesov pre škodlivú logiku hostiteľa v rámci legitímneho spustiteľného súboru.
• Operačné súpravy: detekcia zraniteľností v systéme obete a nasadenie prispôsobených exploitov na dosiahnutie vykonania bez dotyku disku.

Výzva pre spoločnosti (a prečo nestačí len zablokovať všetko)

Naivný prístup naznačuje drastické opatrenie: blokovanie PowerShellu, zákaz makier, zabránenie binárnym súborom ako rundll32. Realita je však zložitejšia: Mnohé z týchto nástrojov sú nevyhnutné. pre každodenné IT operácie a pre administratívnu automatizáciu.

Okrem toho útočníci hľadajú medzery v systéme: spúšťanie skriptovacieho enginu inými spôsobmi, použiť alternatívne kópieLogiku môžete zabaliť do obrázkov alebo sa uchýliť k menej monitorovaným LoLBins. Blokovanie hrubým spôsobom v konečnom dôsledku vytvára trenie bez toho, aby poskytovalo úplnú obranu.

Čisto serverová alebo cloudová analýza problém tiež nerieši. Bez bohatej telemetrie koncových bodov a bez... responzívnosť samotného agentaRozhodnutie prichádza neskoro a prevencia nie je uskutočniteľná, pretože musíme čakať na externý verdikt.

Medzitým správy z trhu dlhodobo poukazujú na veľmi výrazný rast v tejto oblasti s vrcholmi, keď Pokusy o zneužitie PowerShellu sa takmer zdvojnásobili v krátkych obdobiach, čo potvrdzuje, že ide o opakujúcu sa a ziskovú taktiku protivníkov.

Moderná detekcia: od súboru k správaniu

Kľúčom nie je, kto to vykoná, ale ako a prečo. Monitorovanie správanie procesu a jeho vzťahy Rozhodujúce je: príkazový riadok, dedenie procesov, citlivé volania API, odchádzajúce pripojenia, úpravy registra a udalosti WMI.

Tento prístup drasticky znižuje únikovú plochu: aj keď sa zmenia príslušné binárne súbory, útoky sa opakujú (skripty, ktoré sa sťahujú a spúšťajú v pamäti, zneužívanie LoLBins, volanie interpretov atď.). Analýza daného skriptu, nie „identity“ súboru, zlepšuje detekciu.

Efektívne platformy EDR/XDR korelujú signály na rekonštrukciu kompletnej histórie incidentov a identifikáciu príčina Namiesto obviňovania procesu, ktorý sa „objavil“, tento príbeh spája prílohy, makrá, interprete, užitočné zaťaženie a perzistenciu, aby zmiernil celý tok, nielen jeho izolovanú časť.

Aplikácia rámcov, ako napríklad MITRE ATT&CK Pomáha mapovať pozorované taktiky a techniky (TTP) a usmerňovať lov hrozieb smerom k zaujímavému správaniu: prevedenie, vytrvalosť, vyhýbanie sa obrane, prístup k povereniam, objavenie, laterálny pohyb a únik.

Nakoniec, orchestrácia odpovede koncového bodu musí byť okamžitá: izolovať zariadenie, ukončiť procesy zapojené, vrátiť zmeny v registri alebo plánovači úloh a blokovať podozrivé odchádzajúce pripojenia bez čakania na externé potvrdenia.

Užitočná telemetria: na čo sa zamerať a ako stanoviť priority

Pre zvýšenie pravdepodobnosti detekcie bez preťaženia systému je vhodné uprednostniť signály s vysokou hodnotou. Niektoré zdroje a kontroly poskytujú kontext. kritické pre bezsúborové Sú to:

• Podrobný protokol PowerShellu a ďalšie interpretery: protokol blokov skriptov, história príkazov, načítané moduly a udalosti AMSI, ak sú k dispozícii.
• Úložisko WMIInventarizácia a upozornenia týkajúce sa vytvárania alebo úpravy filtrov udalostí, spotrebiteľov a odkazov, najmä v citlivých menných priestoroch.
• Bezpečnostné udalosti a Sysmonkorelácia procesov, integrita obrazu, načítanie pamäte, vstrekovanie a vytváranie naplánovaných úloh.
• červenáanomálne odchádzajúce pripojenia, beacoing, vzorce sťahovania užitočného zaťaženia a používanie skrytých kanálov na únik údajov.

Automatizácia pomáha oddeliť zrno od pliev: pravidlá detekcie založené na správaní, zoznamy povolených položiek pre legitímna správa a obohatenie o informácie o hrozbách obmedzuje falošne pozitívne výsledky a urýchľuje reakciu.

Prevencia a redukcia povrchových

Žiadne samostatné opatrenie nie je postačujúce, ale viacvrstvová obrana výrazne znižuje riziko. Z preventívneho hľadiska vyniká niekoľko akčných línií. vektory plodín a sťažiť život protivníkovi:

• Správa makier: predvolene zakázané a povolené iba v nevyhnutných prípadoch a po podpísaní; podrobné kontroly prostredníctvom skupinových politík.
• Obmedzenie tlmočníkov a LoLBinsPoužite AppLocker/WDAC alebo ekvivalent, kontrolujte skripty a šablóny vykonávania s komplexným protokolovaním.
• Opravy a zmierňovanie problémov: uzavrieť zneužiteľné zraniteľnosti a aktivovať ochranu pamäte, ktorá obmedzuje RCE a injekcie.
• Silná autentifikáciaPrincípy MFA a nulovej dôvery na obmedzenie zneužívania poverení a znížiť laterálny pohyb.
• Povedomie a simuláciePraktické školenie o phishingu, dokumentoch s aktívnym obsahom a znakoch anomálneho spustenia.

Tieto opatrenia dopĺňajú riešenia, ktoré analyzujú prevádzku a pamäť s cieľom identifikovať škodlivé správanie v reálnom čase, ako aj segmentačné politiky a minimálne privilégiá na obmedzenie dopadu, keď niečo prepadne.

Služby a prístupy, ktoré fungujú

V prostrediach s mnohými koncovými bodmi a vysokou kritickosťou sú potrebné spravované služby detekcie a reakcie s Monitorovanie 24/7 Preukázalo sa, že urýchľujú zvládanie incidentov. Kombinácia SOC, EMDR/MDR a EDR/XDR poskytuje expertný pohľad, bohatú telemetriu a koordinované možnosti reakcie.

Najefektívnejší poskytovatelia internalizovali posun k správaniu: ľahkí agenti, ktorí korelovať aktivitu na úrovni jadraRekonštruujú kompletnú históriu útokov a pri detekcii škodlivých reťazcov aplikujú automatické zmierňovacie opatrenia s možnosťou vrátenia zmien späť.

Súčasne balíky ochrany koncových bodov a platformy XDR integrujú centralizovaný prehľad a správu hrozieb naprieč pracovnými stanicami, servermi, identitami, e-mailom a cloudom; cieľom je odstrániť reťaz útokov bez ohľadu na to, či ide o súbory alebo nie.

Praktické indikátory pre lov hrozieb

Ak musíte uprednostniť vyhľadávacie hypotézy, zamerajte sa na kombinovanie signálov: kancelársky proces, ktorý spúšťa interpret s nezvyčajnými parametrami, Vytvorenie predplatného WMI Po otvorení dokumentu, úpravy spúšťacích kľúčov, po ktorých nasledujú pripojenia k doménam so zlou reputáciou.

Ďalším efektívnym prístupom je spoliehať sa na základné hodnoty z vášho prostredia: čo je normálne na vašich serveroch a pracovných staniciach? Akékoľvek odchýlky (novo podpísané binárne súbory zobrazujúce sa ako rodičia interpretov, náhle výkyvy výkonu (skriptov, príkazových reťazcov s obfuskáciou) si zaslúži preskúmanie.

Nakoniec nezabudnite na pamäť: ak máte nástroje, ktoré kontrolujú bežiace oblasti alebo zachytávajú snímky, zistenia v RAM Môžu byť definitívnym dôkazom aktivity bez súborov, najmä ak v súborovom systéme nie sú žiadne artefakty.

Kombinácia týchto taktík, techník a kontrolných opatrení hrozbu neodstráni, ale umožní vám ju včas odhaliť. prerezať reťaz a znížiť dopad.

Keď sa toto všetko aplikuje rozumne – telemetria bohatá na koncové body, behaviorálna korelácia, automatizovaná reakcia a selektívne posilňovanie – taktika bez súborov stráca veľkú časť svojej výhody. A hoci sa bude naďalej vyvíjať, zameranie na správanie Namiesto uchovávania v spisoch ponúka pevný základ pre vývoj vašej obhajoby.