Prepoznavanje datotek brez datotek: zaznavanje ključev in zaščita

Zlonamerna programska oprema brez datotek se nahaja v pomnilniku in zlorablja legitimna orodja (PowerShell, WMI, LoLBins), zaradi česar jo je težko zaznati na podlagi datotek.
Ključno je spremljanje vedenja: odnosov med procesi, ukaznih vrstic, registra, WMI in omrežja, s takojšnjim odzivom na končni točki.
Večplastna obramba združuje omejevanje interpreterjev, upravljanje makrov, nameščanje popravkov, MFA in EDR/XDR z bogato telemetrijo in 24/7 SOC.

Napadi, ki delujejo brez sledi na disku, so postali velika težava za številne varnostne ekipe, saj se v celoti izvajajo v pomnilniku in izkoriščajo legitimne sistemske procese. Zato je pomembno vedeti, kako prepoznati datoteke brez datotek in se pred njimi branijo.

Poleg naslovov in trendov je pomembno tudi razumevanje njihovega delovanja, zakaj so tako izmuzljivi in kateri znaki nam omogočajo, da jih zaznamo, kar pomeni, da bomo zadržali incident ali obžalovali kršitev. V naslednjih vrsticah analiziramo problem in predlagamo… rešitve.

Kaj je zlonamerna programska oprema brez datotek in zakaj je pomembna?

Zlonamerna programska oprema brez datotek ni posebna družina, temveč način delovanja: Izogibajte se pisanju izvedljivih datotek na disk Za izvajanje zlonamerne kode uporablja storitve in binarne datoteke, ki so že prisotne v sistemu. Namesto da bi pustil enostavno pregledljivo datoteko, napadalec zlorabi zaupanja vredne pripomočke in njihovo logiko naloži neposredno v RAM.

Ta pristop je pogosto zajet v filozofiji »živeti od zemlje«: napadalci instrumentalizirajo izvorna orodja, kot so PowerShell, WMI, mshta, rundll32 ali skriptne mehanizme, kot sta VBScript in JScript, da dosežejo svoje cilje z minimalnim šumom.

Med njegovimi najbolj reprezentativnimi značilnostmi najdemo: izvajanje v hlapnem pomnilniku, majhna ali nična obstojnost na disku, uporaba sistemsko podpisanih komponent in visoka zmogljivost izogibanja mehanizmom, ki temeljijo na podpisih.

Čeprav veliko koristnih tovorov izgine po ponovnem zagonu, ne pustite se zavesti: Nasprotniki lahko vzpostavijo vztrajnost z uporabo ključev registra, naročnin WMI ali načrtovanih opravil, vse brez puščanja sumljivih binarnih datotek na disku.

Težave pri odkrivanju zlonamerne programske opreme brez datotek

Zakaj nam je tako težko prepoznati datoteke brez datotek?

Prva ovira je očitna: Ni anomalnih datotek za pregledTradicionalni protivirusni programi, ki temeljijo na podpisih in analizi datotek, imajo malo manevrskega prostora, ko se izvajanje nahaja v veljavnih procesih, zlonamerna logika pa v pomnilniku.

Drugi je bolj prefinjen: napadalci se kamuflirajo za legitimni procesi operacijskega sistemaČe se PowerShell ali WMI uporabljata vsakodnevno za administracijo, kako lahko ločite običajno uporabo od zlonamerne uporabe brez kontekstne in vedenjske telemetrije?

Poleg tega slepo blokiranje kritičnih orodij ni izvedljivo. Onemogočanje makrov PowerShell ali Office na vseh področjih lahko prekine delovanje in Ne preprečuje popolnoma zlorabker obstaja več alternativnih poti izvajanja in tehnik za izogibanje preprostim blokom.

Poleg tega je zaznavanje v oblaku ali na strani strežnika prepozno za preprečevanje težav. Brez lokalnega vpogleda v težavo v realnem času ... ukazne vrstice, odnosi procesov in dogodki dnevnikaAgent ne more sproti ublažiti zlonamernega toka, ki na disku ne pušča sledi.

Ekskluzivna vsebina - Kliknite tukaj Kako se prepričam, da je Avira Antivirus Pro posodobljen?

Kako deluje napad brez datotek od začetka do konca

Začetni dostop se običajno zgodi z istimi vektorji kot vedno: lažno predstavljanje z dokumenti Office ki zahtevajo omogočanje aktivne vsebine, povezav do ogroženih spletnih mest, izkoriščanja ranljivosti v izpostavljenih aplikacijah ali zlorabe razkritih poverilnic za dostop prek RDP ali drugih storitev.

Ko je nasprotnik enkrat notri, poskuša izvesti napad, ne da bi se dotaknil diska. Da bi to dosegel, združuje sistemske funkcionalnosti: makri ali DDE v dokumentih ki zaženejo ukaze, izkoriščajo prekoračitve za RCE ali kličejo zaupanja vredne binarne datoteke, ki omogočajo nalaganje in izvajanje kode v pomnilniku.

Če operacija zahteva kontinuiteto, je mogoče vztrajnost implementirati brez nameščanja novih izvedljivih datotek: zagonski vnosi v registruNaročnine WMI, ki se odzivajo na sistemske dogodke ali načrtovana opravila, ki pod določenimi pogoji sprožijo skripte.

Ko je izvedba določena, cilj narekuje naslednje korake: premikanje vstran, izvleči podatkeTo vključuje krajo poverilnic, uporabo programa RAT, rudarjenje kriptovalut ali aktiviranje šifriranja datotek v primeru izsiljevalske programske opreme. Vse to se, kadar je to mogoče, izvaja z izkoriščanjem obstoječih funkcionalnosti.

Odstranjevanje dokazov je del načrta: če napadalec ne zapiše sumljivih binarnih datotek, znatno zmanjša število artefaktov, ki jih je treba analizirati. mešanje njihove dejavnosti med običajnimi dogodki sistema in brisanje začasnih sledi, kadar je to mogoče.

prepoznati datoteke brez datotek

Tehnike in orodja, ki jih običajno uporabljajo

Katalog je obsežen, vendar se skoraj vedno vrti okoli izvornih orodij in zaupanja vrednih poti. To so nekatere najpogostejše, vedno s ciljem maksimiranje izvajanja v pomnilniku in zabrisati sled:

PowerShellZmogljivo skriptanje, dostop do Windows API-jev in avtomatizacija. Zaradi svoje vsestranskosti je priljubljen tako za administracijo kot za napadalno uporabo.
WMI (Windows Management Instrumentation)Omogoča vam poizvedovanje in odzivanje na sistemske dogodke ter izvajanje oddaljenih in lokalnih dejanj; uporabno za vztrajnost in orkestracija.
VBScript in JScript: mehanizmi, prisotni v številnih okoljih, ki omogočajo izvajanje logike prek sistemskih komponent.
mshta, rundll32 in druge zaupanja vredne binarne datoteke: dobro znani LoLBins, ki lahko, če so pravilno povezani, izvajati kodo brez izgube artefaktov vidno na disku.
Dokumenti z aktivno vsebinoMakri ali DDE v Officeu, pa tudi bralniki PDF-jev z naprednimi funkcijami, lahko služijo kot odskočna deska za zagon ukazov v pomnilniku.
Windows Registry: ključi za samodejni zagon ali šifrirano/skrito shranjevanje koristnih tovorov, ki jih aktivirajo sistemske komponente.
Zaseg in vbrizgavanje v procese: modifikacija pomnilniškega prostora delujočih procesov za zlonamerna logika gostitelja znotraj legitimne izvedljive datoteke.
Operativni kompleti: odkrivanje ranljivosti v sistemu žrtve in uporaba prilagojenih izkoriščanj za dosego izvedbe brez dotikanja diska.

Izziv za podjetja (in zakaj preprosto blokiranje vsega ni dovolj)

Naiven pristop predlaga drastičen ukrep: blokiranje PowerShella, prepoved makrov, preprečevanje binarnih datotek, kot je rundll32. Resničnost je bolj niansirana: Mnoga od teh orodij so bistvena. za vsakodnevno IT-postopek in za administrativno avtomatizacijo.

Ekskluzivna vsebina - Kliknite tukaj Izsiljevalska programska oprema Akira trdi, da je iz Apache OpenOffice ukradla 23 GB podatkov

Poleg tega napadalci iščejo vrzeli: izvajanje skriptnega mehanizma na druge načine, uporabite alternativne kopijeLogiko lahko zapakirate v slike ali pa se zatečete k manj nadzorovanim LoLBins. Blokiranje z brute sistemom na koncu ustvari trenje, ne da bi zagotovilo popolno obrambo.

Tudi zgolj analiza na strani strežnika ali v oblaku ne reši problema. Brez bogate telemetrije končnih točk in brez odzivnost samega agentaOdločitev pride pozno in preprečevanje ni izvedljivo, ker moramo čakati na zunanjo razsodbo.

Medtem tržna poročila že dolgo kažejo na zelo znatno rast na tem področju, z vrhunci, ko Poskusi zlorabe PowerShella so se skoraj podvojili v kratkih obdobjih, kar potrjuje, da gre za ponavljajočo se in donosno taktiko za nasprotnike.

Sodobno zaznavanje: od datoteke do vedenja

Ključno ni, kdo izvaja, ampak kako in zakaj. Spremljanje vedenje procesa in njegovi odnosi Odločilno je: ukazna vrstica, dedovanje procesov, občutljivi klici API-ja, odhodne povezave, spremembe registra in dogodki WMI.

Ta pristop drastično zmanjša površino izogibanja: tudi če se binarne datoteke spremenijo, vzorci napadov se ponavljajo (skripte, ki se prenesejo in izvajajo v pomnilniku, zloraba LoLBins, klic interpreterjev itd.). Analiza te skripte, ne pa »identitete« datoteke, izboljša zaznavanje.

Učinkovite platforme EDR/XDR povezujejo signale za rekonstrukcijo celotne zgodovine incidentov in identifikacijo glavni vzrok Namesto da bi krivili proces, ki se je »pojavil«, ta pripoved povezuje priloge, makre, interpreterje, koristne obremenitve in vztrajnost, da bi ublažila celoten tok, ne le posamezen del.

Uporaba okvirov, kot so MITRE ATT & CK Pomaga pri preslikavi opaženih taktik in tehnik (TTP) ter usmerja lov na grožnje k vedenjem, ki nas zanimajo: izvedba, vztrajanje, izogibanje obrambi, dostop do poverilnic, odkrivanje, lateralno gibanje in izstopanje.

Končno mora biti orkestracija odziva končne točke takojšnja: izolirati napravo, končni procesi vpleteni, razveljavijo spremembe v registru ali razporejevalniku opravil in blokirajo sumljive odhodne povezave brez čakanja na zunanje potrditve.

Koristna telemetrija: na kaj je treba biti pozoren in kako določiti prioritete

Za povečanje verjetnosti zaznavanja brez preobremenitve sistema je priporočljivo dati prednost signalom z visoko vrednostjo. Nekateri viri in kontrole, ki zagotavljajo kontekst. kritično za brezfiletno Zvok:

Podroben dnevnik PowerShell-a in drugi interpreterji: dnevnik blokov skriptov, zgodovina ukazov, naloženi moduli in dogodki AMSI, če so na voljo.
Repozitorij WMIPopis in opozorila glede ustvarjanja ali spreminjanja filtrov dogodkov, porabnikov in povezav, zlasti v občutljivih imenskih prostorih.
Varnostni dogodki in Sysmon: korelacija procesov, integriteta slike, nalaganje pomnilnika, vbrizgavanje in ustvarjanje načrtovanih nalog.
Rdeča: anomalne odhodne povezave, odkrivanje, vzorci prenosa koristnega tovora in uporaba prikritih kanalov za izkrcanje.

Avtomatizacija pomaga ločiti zrnje od plev: pravila zaznavanja na podlagi vedenja, seznami dovoljenih za legitimna uprava in obogatitev z obveščevalnimi podatki o grožnjah omejuje lažno pozitivne rezultate in pospešuje odziv.

Preprečevanje in zmanjšanje površinskih

Noben posamezen ukrep ni zadosten, vendar večplastna obramba močno zmanjša tveganje. Na preventivni strani izstopa več načinov delovanja. vektorji pridelkov in otežiti življenje nasprotniku:

Upravljanje makrov: privzeto onemogočeno in dovoljeno le, kadar je to nujno potrebno in podpisano; natančen nadzor prek skupinskih pravilnikov.
Omejitve tolmačev in LoLBinsUporabite AppLocker/WDAC ali enakovredno orodje, nadzor nad skripti in predlogami izvajanja s celovitim beleženjem.
Popravljanje in blažitve: zapreti izkoriščevalne ranljivosti in aktivirati zaščite pomnilnika, ki omejujejo RCE in injekcije.
Močna avtentikacijaNačela večstranske finančne pomoči in ničelnega zaupanja za preprečevanje zlorabe poverilnic in zmanjšati bočno gibanje.
Ozaveščenost in simulacijePraktično usposabljanje o lažnem predstavljanju, dokumentih z aktivno vsebino in znakih nepravilnega izvajanja.

Ekskluzivna vsebina - Kliknite tukaj Kako ukrasti fotografije iz drugega telefona Android

Te ukrepe dopolnjujejo rešitve, ki analizirajo promet in pomnilnik za prepoznavanje zlonamernega vedenja v realnem času, pa tudi politike segmentacije in minimalne privilegije za omejitev vpliva, če kaj zdrsne skozi.

Storitve in pristopi, ki delujejo

V okoljih z veliko končnimi točkami in visoko kritičnostjo so upravljane storitve zaznavanja in odzivanja z 24/7 spremljanje Dokazano je, da pospešujejo omejevanje incidentov. Kombinacija SOC, EMDR/MDR in EDR/XDR zagotavlja strokovno oko, bogato telemetrijo in usklajene zmogljivosti odzivanja.

Najučinkovitejši ponudniki so ponotranjili premik k vedenju: lahki agenti, ki korelirajo aktivnost na ravni jedraRekonstruirajo celotno zgodovino napadov in ob zaznavi zlonamernih verig uporabijo samodejne ukrepe za ublažitev, z možnostjo razveljavitve sprememb.

Vzporedno paketi za zaščito končnih točk in platforme XDR integrirajo centralizirano vidljivost in upravljanje groženj na delovnih postajah, strežnikih, identitetah, e-pošti in v oblaku; cilj je odpraviti veriga napadov ne glede na to, ali so datoteke vključene ali ne.

Praktični kazalniki za iskanje groženj

Če morate določiti prioritete iskalnih hipotez, se osredotočite na kombiniranje signalov: pisarniški postopek, ki zažene interpreter z nenavadnimi parametri, Ustvarjanje naročnine na WMI Po odprtju dokumenta so sledile spremembe zagonskih ključev, ki jim sledijo povezave z domenami s slabim ugledom.

Drug učinkovit pristop je, da se zanesete na izhodiščne vrednosti iz svojega okolja: kaj je normalno na vaših strežnikih in delovnih postajah? Kakršna koli odstopanja (novo podpisane binarne datoteke, ki se pojavljajo kot nadrejeni interpreterjev, nenadne skoke v učinkovitosti (skriptov, ukaznih nizov z zakrivanjem) si zasluži preiskavo.

Nenazadnje ne pozabite na pomnilnik: če imate orodja, ki pregledujejo delujoča območja ali zajemajo posnetke, ugotovitve v RAM-u Lahko so dokončen dokaz dejavnosti brez datotek, še posebej, če v datotečnem sistemu ni artefaktov.

Kombinacija teh taktik, tehnik in kontrol ne odpravi grožnje, vendar vas postavi v boljši položaj, da jo pravočasno zaznate. prerezati verigo in zmanjšati vpliv.

Ko se vse to uporabi preudarno – telemetrija, bogata s končnimi točkami, vedenjska korelacija, avtomatiziran odziv in selektivno utrjevanje – taktika brez datotek izgubi veliko svoje prednosti. In čeprav se bo še naprej razvijala, osredotočenost na vedenje Namesto v datotekah ponuja trdno podlago za razvoj vaše obrambe.

Daniel Terrasa

Urednik, specializiran za tehnološka in internetna vprašanja, z več kot desetletnimi izkušnjami v različnih digitalnih medijih. Delal sem kot urednik in ustvarjalec vsebin za podjetja za e-trgovino, komunikacije, spletni marketing in oglaševanje. Pisal sem tudi na spletnih straneh s področja ekonomije, financ in drugih sektorjev. Moje delo je tudi moja strast. Zdaj pa skozi moje članke v Tecnobits, poskušam raziskati vse novosti in nove priložnosti, ki nam jih svet tehnologije ponuja vsak dan za izboljšanje našega življenja.