Identifikimi i skedarëve pa skedarë: një udhëzues i plotë për zbulimin dhe ndalimin e programeve keqdashëse në memorie

Sulmet që veprojnë pa lënë gjurmë në disk janë bërë një dhimbje koke e madhe për shumë ekipe sigurie sepse ato ekzekutohen tërësisht në kujtesë dhe shfrytëzojnë proceset legjitime të sistemit. Prandaj është e rëndësishme të dish... Si të identifikoni skedarët pa skedarë dhe të mbrohen kundër tyre.

Përtej titujve kryesorë dhe trendeve, të kuptuarit se si funksionojnë ato, pse janë kaq të pakapshme dhe cilat shenja na lejojnë t'i zbulojmë ato bën diferencën midis përmbajtjes së një incidenti dhe pendimit për një shkelje. Në rreshtat e mëposhtëm, ne analizojmë problemin dhe propozojmë Zgjidhjet.

Çfarë është malware pa skedarë dhe pse është i rëndësishëm?

 

Malware-i pa skedarë nuk është një familje specifike, por më tepër një mënyrë veprimi: Shmangni shkrimin e skedarëve ekzekutues në disk Ai përdor shërbime dhe skedarë binare që janë tashmë të pranishëm në sistem për të ekzekutuar kodin keqdashës. Në vend që të lërë një skedar që skanohet lehtë, sulmuesi abuzon me shërbimet e besuara dhe ngarkon logjikën e tij direkt në RAM.

Kjo qasje shpesh përfshihet në filozofinë e "Të jetosh nga toka": sulmuesit instrumentalizojnë mjete vendase si PowerShell, WMI, mshta, rundll32 ose motorë skriptimi si VBScript dhe JScript për të arritur qëllimet e tyre me zhurmë minimale.

Ndër tiparet e tij më përfaqësuese gjejmë: ekzekutimi në memorien e paqëndrueshme, pak ose aspak qëndrueshmëri në disk, përdorim i komponentëve të nënshkruar nga sistemi dhe kapacitet i lartë shmangieje kundër motorëve të bazuar në nënshkrime.

Edhe pse shumë ngarkesa zhduken pas një rinisjeje, mos u mashtroni: kundërshtarët mund të krijojnë qëndrueshmëri duke përdorur çelësat e Regjistrit, abonimet WMI ose detyrat e planifikuara, të gjitha pa lënë skedarë binare të dyshimtë në disk.

Pse e kemi kaq të vështirë të identifikojmë skedarët pa skedarë?

Pengesa e parë është e qartë: Nuk ka skedarë anormalë për t'u inspektuarProgramet tradicionale antivirus të bazuara në nënshkrime dhe analizë të skedarëve kanë pak hapësirë ​​për manovrim kur ekzekutimi ndodhet në procese të vlefshme dhe logjika dashakeqe ndodhet në memorie.

E dyta është më delikate: sulmuesit kamuflojnë veten pas proceset legjitime të sistemit operativNëse PowerShell ose WMI përdoren çdo ditë për administrim, si mund ta dalloni përdorimin normal nga përdorimi keqdashës pa telemetri konteksti dhe sjelljeje?

Për më tepër, bllokimi i verbër i mjeteve kritike nuk është i realizueshëm. Çaktivizimi i makrove të PowerShell ose Office në të gjitha formatet mund të prishë operacionet dhe Nuk i parandalon plotësisht abuzimetsepse ekzistojnë shtigje dhe teknika të shumta alternative ekzekutimi për të anashkaluar blloqet e thjeshta.

Për më tepër, zbulimi në cloud ose nga serveri është tepër vonë për të parandaluar problemet. Pa dukshmëri lokale në kohë reale të problemit... linjat e komandave, marrëdhëniet e proceseve dhe ngjarjet e regjistritAgjenti nuk mund të zbutë menjëherë një rrjedhë dashakeqe që nuk lë gjurmë në disk.

Si funksionon një sulm pa skedarë nga fillimi në fund

Qasja fillestare zakonisht ndodh me të njëjtat vektorë si gjithmonë: phishing me dokumente zyre që kërkojnë të aktivizohet përmbajtja aktive, lidhjet me faqet e kompromentuara, shfrytëzimi i dobësive në aplikacionet e ekspozuara ose abuzimi me kredencialet e rrjedhura për të aksesuar nëpërmjet RDP ose shërbimeve të tjera.

Pasi hyn brenda, kundërshtari kërkon të ekzekutojë pa e prekur diskun. Për ta bërë këtë, ata i lidhin së bashku funksionalitetet e sistemit: makro ose DDE në dokumente që lëshojnë komanda, shfrytëzojnë tejmbushjet për RCE ose thirrin skedarë binare të besuar që lejojnë ngarkimin dhe ekzekutimin e kodit në memorie.

Nëse operacioni kërkon vazhdimësi, persistenca mund të zbatohet pa vendosur ekzekutues të rinj: hyrjet e fillimit në RegjistërAbonimet WMI që reagojnë ndaj ngjarjeve të sistemit ose detyrave të planifikuara që shkaktojnë skripte në kushte të caktuara.

Me ekzekutimin e vendosur, objektivi dikton hapat e mëposhtëm: lëvizni anash, të dhëna të nxjerraKjo përfshin vjedhjen e kredencialeve, vendosjen e një RAT, minierimin e kriptovalutave ose aktivizimin e enkriptimit të skedarëve në rastin e ransomware. E gjithë kjo bëhet, kur është e mundur, duke shfrytëzuar funksionalitetet ekzistuese.

Heqja e provave është pjesë e planit: duke mos shkruar skedarë binare të dyshimtë, sulmuesi i zvogëlon ndjeshëm objektet që duhen analizuar. përzierja e aktivitetit të tyre midis ngjarjeve normale të sistemit dhe fshirjen e gjurmëve të përkohshme kur është e mundur.

Teknikat dhe mjetet që ata përdorin zakonisht

Katalogu është i gjerë, por pothuajse gjithmonë sillet rreth shërbimeve lokale dhe rrugëve të besueshme. Këto janë disa nga më të zakonshmet, gjithmonë me qëllimin e maksimizon ekzekutimin në memorie dhe turbulloni gjurmën:

• PowerShellSkriptim i fuqishëm, qasje në API-të e Windows dhe automatizim. Shumëllojshmëria e tij e bën atë një të preferuar si për administrim ashtu edhe për abuzim ofensiv.
• WMI (Instrumenti i Menaxhimit të Windows)Ju lejon të kërkoni dhe të reagoni ndaj ngjarjeve të sistemit, si dhe të kryeni veprime në distancë dhe lokale; i dobishëm për këmbëngulje dhe orkestrim.
• VBScript dhe JScriptMotorë të pranishëm në shumë mjedise që lehtësojnë ekzekutimin e logjikës përmes komponentëve të sistemit.
• mshta, rundll32 dhe skedarë të tjerë binare të besueshëmLoLBin-et e njohura të cilat, kur lidhen siç duhet, mund të ekzekuto kodin pa lëshuar objekte të dukshme në disk.
• Dokumente me përmbajtje aktiveMakrot ose DDE në Office, si dhe lexuesit PDF me veçori të përparuara, mund të shërbejnë si një trampolinë për të nisur komandat në memorie.
• Regjistri i Windowsçelësa vetë-nisjeje ose ruajtje e enkriptuar/e fshehur e ngarkesave që aktivizohen nga komponentët e sistemit.
• Sekuestrimi dhe injektimi në procese: modifikim i hapësirës së memories së proceseve në ekzekutim për logjikë keqdashëse e strehuesit brenda një skedari të ekzekutueshëm legjitim.
• Kite operativezbulimi i dobësive në sistemin e viktimës dhe vendosja e shfrytëzimeve të përshtatura për të arritur ekzekutimin pa prekur diskun.

Sfida për kompanitë (dhe pse thjesht bllokimi i gjithçkaje nuk është i mjaftueshëm)

Një qasje naive sugjeron një masë drastike: bllokimin e PowerShell, ndalimin e makrove, parandalimin e skedarëve binare si rundll32. Realiteti është më i nuancuar: Shumë nga këto mjete janë thelbësore. për operacionet e përditshme të IT-së dhe për automatizimin administrativ.

Përveç kësaj, sulmuesit kërkojnë boshllëqe: duke e drejtuar motorin e skriptimit në mënyra të tjera, përdorni kopje alternativeMund të paketoni logjikën në imazhe ose të përdorni LoLBin-e më pak të monitoruara. Bllokimi brutal në fund të fundit krijon fërkime pa ofruar një mbrojtje të plotë.

Analiza thjesht nga serveri ose nga cloud nuk e zgjidh problemin. Pa telemetri të pasur të pikës fundore dhe pa reagimi në vetë agjentinVendimi vjen vonë dhe parandalimi nuk është i realizueshëm sepse duhet të presim për një vendim të jashtëm.

Ndërkohë, raportet e tregut kanë treguar prej kohësh një rritje shumë të konsiderueshme në këtë fushë, me kulme ku Përpjekjet për të abuzuar me PowerShell pothuajse u dyfishuan në periudha të shkurtra, gjë që konfirmon se është një taktikë e përsëritur dhe fitimprurëse për kundërshtarët.

Zbulimi modern: nga skedari te sjellja

Çelësi nuk është kush ekzekuton, por si dhe pse. Monitorimi i sjellja e procesit dhe marrëdhëniet e saj Është vendimtare: rreshti i komandës, trashëgimia e proceseve, thirrjet e ndjeshme të API-t, lidhjet dalëse, modifikimet e Regjistrit dhe ngjarjet WMI.

Kjo qasje e zvogëlon në mënyrë drastike sipërfaqen e shmangies: edhe nëse binaret e përfshira ndryshojnë, Modelet e sulmit përsëriten (skripte që shkarkohen dhe ekzekutohen në memorie, abuzim me LoLBin-et, thirrja e interpretuesve, etj.). Analizimi i atij skripti, jo i 'identitetit' të skedarit, përmirëson zbulimin.

Platformat efektive EDR/XDR lidhin sinjalet për të rindërtuar historinë e plotë të incidentit, duke identifikuar shkaku rrënjësor Në vend që të fajësojë procesin që 'u shfaq', ky rrëfim lidh bashkëngjitjet, makrot, interpretuesit, ngarkesat dhe këmbënguljen për të zbutur të gjithë rrjedhën, jo vetëm një pjesë të izoluar.

Zbatimi i kornizave të tilla si MITER AT&CK Ndihmon në hartëzimin e taktikave dhe teknikave të vëzhguara (TTP) dhe udhëzon gjuetinë e kërcënimeve drejt sjelljeve me interes: ekzekutimi, këmbëngulja, shmangia e mbrojtjes, qasja në kredenciale, zbulimi, lëvizja anësore dhe nxjerrja jashtë.

Së fundmi, orkestrimi i përgjigjes së pikës fundore duhet të jetë i menjëhershëm: izoloni pajisjen, proceset e fundit të përfshirë, të rikthejnë ndryshimet në Regjistër ose planifikuesin e detyrave dhe të bllokojnë lidhjet dalëse të dyshimta pa pritur për konfirmime të jashtme.

Telemetri e dobishme: çfarë të shikoni dhe si të përcaktoni përparësitë

Për të rritur probabilitetin e zbulimit pa e mbingarkuar sistemin, këshillohet të prioritizohen sinjalet me vlerë të lartë. Disa burime dhe kontrolle që ofrojnë kontekst. kritike për skedarët pa skedarë shëndoshë:

• Regjistri i detajuar i PowerShell dhe interpretues të tjerë: regjistri i bllokut të skripteve, historiku i komandave, modulet e ngarkuara dhe ngjarjet AMSI, kur janë të disponueshme.
• Depozita WMIInventar dhe njoftim në lidhje me krijimin ose modifikimin e filtrave të ngjarjeve, konsumatorëve dhe lidhjeve, veçanërisht në hapësirat e emrave të ndjeshme.
• Ngjarjet e sigurisë dhe Sysmon: korrelacioni i procesit, integriteti i imazhit, ngarkimi i memories, injektimi dhe krijimi i detyrave të planifikuara.
• e kuqe: lidhje dalëse anomale, sinjalizim, modele shkarkimi të ngarkesës dhe përdorim i kanaleve të fshehta për nxjerrje.

Automatizimi ndihmon në ndarjen e grurit nga byku: rregulla zbulimi të bazuara në sjellje, lista lejimesh për administratë legjitime dhe pasurimi me inteligjencën e kërcënimeve kufizon pozitivet e rreme dhe përshpejton reagimin.

Parandalimi dhe zvogëlimi i sipërfaqes

Asnjë masë e vetme nuk është e mjaftueshme, por një mbrojtje e shtresuar e zvogëlon shumë rrezikun. Nga ana parandaluese, dallohen disa linja veprimi. vektorët e kulturave dhe ia bëjnë jetën më të vështirë kundërshtarit:

• Menaxhimi i makrove: çaktivizohet si parazgjedhje dhe lejohet vetëm kur është absolutisht e nevojshme dhe e nënshkruar; kontrolle të hollësishme nëpërmjet politikave të grupit.
• Kufizimi i interpretuesve dhe LoLBin-aveAplikoni AppLocker/WDAC ose ekuivalentin e tij, kontrollin e skripteve dhe shablloneve të ekzekutimit me regjistrim gjithëpërfshirës.
• Rregullimi dhe zbutjetMbyll dobësitë e shfrytëzueshme dhe aktivizo mbrojtjet e memories që kufizojnë RCE dhe injeksionet.
• Vërtetim i fortëMFA dhe parimet e besimit zero për të frenuar abuzimin me kredencialet dhe zvogëlon lëvizjen anësore.
• Ndërgjegjësimi dhe simulimetTrajnim praktik mbi phishing-un, dokumentet me përmbajtje aktive dhe shenjat e ekzekutimit anormal.

Këto masa plotësohen nga zgjidhje që analizojnë trafikun dhe memorien për të identifikuar sjelljen keqdashëse në kohë reale, si dhe politikat e segmentimit dhe privilegje minimale për të përmbajtur ndikimin kur diçka rrëshqet.

Shërbimet dhe qasjet që funksionojnë

Në mjedise me shumë pika fundore dhe kritikalitet të lartë, shërbimet e zbulimit dhe reagimit të menaxhuar me Monitorim 24/7 Ato kanë provuar se përshpejtojnë përmbajtjen e incidenteve. Kombinimi i SOC, EMDR/MDR dhe EDR/XDR ofron sy ekspertësh, telemetri të pasur dhe aftësi reagimi të koordinuar.

Ofruesit më efektivë e kanë përvetësuar ndryshimin në sjellje: agjentë të lehtë që korrelojnë aktivitetin në nivelin e bërthamësAta rindërtojnë historitë e plota të sulmeve dhe aplikojnë zbutje automatike kur zbulojnë zinxhirë keqdashës, me aftësi rikthimi për të zhbërë ndryshimet.

Paralelisht, paketat e mbrojtjes së pikave fundore dhe platformat XDR integrojnë dukshmëri të centralizuar dhe menaxhim të kërcënimeve në të gjitha stacionet e punës, serverat, identitetet, email-in dhe cloud-in; qëllimi është çmontimi i tyre. zinxhiri i sulmit pavarësisht nëse janë të përfshira apo jo skedarët.

Tregues praktikë për gjueti kërcënimesh

Nëse duhet të përparësoni hipotezat e kërkimit, përqendrohuni në kombinimin e sinjaleve: një proces zyre që nis një interpretues me parametra të pazakontë, Krijimi i abonimit WMI Pas hapjes së një dokumenti, modifikime në çelësat e fillimit të ndjekura nga lidhjet me domene me reputacion të dobët.

Një qasje tjetër efektive është të mbështeteni në linjat bazë nga mjedisi juaj: çfarë është normale në serverat dhe stacionet tuaja të punës? Çdo devijim (binarë të sapo nënshkruar që shfaqen si prindër të interpretuesve), rritje të papritura të performancës (e skripteve, vargjeve të komandave me errësim) meriton hetim.

Së fundmi, mos harroni kujtesën: nëse keni mjete që inspektojnë rajonet në ekzekutim ose kapin pamje të çastit, gjetjet në RAM Ato mund të jenë prova përfundimtare e aktivitetit pa skedarë, veçanërisht kur nuk ka artefakte në sistemin e skedarëve.

Kombinimi i këtyre taktikave, teknikave dhe kontrolleve nuk e eliminon kërcënimin, por ju vendos në një pozicion më të mirë për ta zbuluar atë në kohë. prit zinxhirin dhe të zvogëlojë ndikimin.

Kur e gjithë kjo zbatohet me mençuri - telemetria e pasur me pika fundore, korrelacioni i sjelljes, përgjigja e automatizuar dhe forcimi selektiv - taktika pa skedarë humbet shumë nga avantazhi i saj. Dhe, megjithëse do të vazhdojë të evoluojë, fokusi në sjellje Në vend që të jetë në dosje, ai ofron një bazë të fortë që mbrojtja juaj të evoluojë bashkë me të.