Kutambua faili zisizo na faili: ugunduzi wa ufunguo na ulinzi

Programu hasidi isiyo na faili huishi kwenye kumbukumbu na hutumia vibaya zana halali (PowerShell, WMI, LoLBins), na kuifanya iwe ngumu kugundua kulingana na faili.
Jambo kuu ni kufuatilia tabia: mchakato wa mahusiano, mistari ya amri, Usajili, WMI na mtandao, na majibu ya haraka kwenye mwisho.
Ulinzi wa tabaka unachanganya vizuizi vya mkalimani, usimamizi mkuu, kuweka viraka, MFA na EDR/XDR na telemetry tajiri na 24/7 SOC.

Mashambulizi ambayo hufanya kazi bila kuacha alama kwenye diski yamekuwa maumivu makubwa kwa timu nyingi za usalama kwa sababu hutekeleza kikamilifu katika kumbukumbu na kutumia michakato halali ya mfumo. Hivyo umuhimu wa kujua jinsi ya kutambua faili zisizo na faili na kujilinda dhidi yao.

Zaidi ya vichwa vya habari na mitindo, kuelewa jinsi zinavyofanya kazi, kwa nini hazieleweki, na ni ishara gani huturuhusu kuzigundua hufanya tofauti kati ya kuwa na tukio na kujutia ukiukaji. Katika mistari ifuatayo, tunachambua tatizo na kupendekeza ufumbuzi.

Programu hasidi isiyo na faili ni nini na kwa nini ni muhimu?

Programu hasidi isiyo na faili sio familia maalum, lakini ni njia ya kufanya kazi: Epuka kuandika vitekelezo kwenye diski Inatumia huduma na jozi ambazo tayari zipo kwenye mfumo kutekeleza msimbo hasidi. Badala ya kuacha faili inayoweza kuchanganuliwa kwa urahisi, mshambuliaji hutumia vibaya huduma zinazoaminika na kupakia mantiki yake moja kwa moja kwenye RAM.

Mbinu hii mara nyingi hujumuishwa katika falsafa ya 'Kuishi Nje ya Ardhi': washambuliaji wanapiga vyombo zana asili kama vile PowerShell, WMI, mshta, rundll32 au injini za hati kama VBScript na JScript ili kufikia malengo yao kwa kelele kidogo.

Miongoni mwa sifa zake za uwakilishi zaidi tunapata: utekelezaji katika kumbukumbu tete, uendelevu mdogo au kutokuwepo kabisa kwenye diski, matumizi ya vipengele vilivyotiwa saini na mfumo na uwezo wa juu wa kukwepa dhidi ya injini zinazozingatia saini.

Ingawa mizigo mingi hupotea baada ya kuwasha upya, usidanganywe: wapinzani wanaweza kuanzisha uvumilivu kwa kutumia funguo za Usajili, usajili wa WMI, au kazi zilizoratibiwa, yote bila kuacha jozi zinazotiliwa shaka kwenye diski.

Ugumu wa kugundua programu hasidi isiyo na faili

Kwa nini tunapata ugumu sana kutambua faili zisizo na faili?

Kizuizi cha kwanza ni dhahiri: Hakuna faili zisizo za kawaida za kukaguaProgramu za jadi za kuzuia virusi kulingana na saini na uchanganuzi wa faili zina nafasi ndogo ya kufanya ujanja wakati utekelezaji unakaa katika michakato halali na mantiki hasidi inakaa kwenye kumbukumbu.

Ya pili ni ya hila zaidi: washambuliaji wanajificha nyuma michakato halali ya mfumo wa uendeshajiIkiwa PowerShell au WMI zinatumika kila siku kwa usimamizi, unawezaje kutofautisha matumizi ya kawaida na matumizi mabaya bila muktadha na telemetry ya kitabia?

Zaidi ya hayo, kuzuia kwa upofu zana muhimu haziwezekani. Kuzima PowerShell au macros ya Ofisi kwenye ubao kunaweza kuvunja shughuli na Haizuii kabisa unyanyasajikwa sababu kuna njia nyingi mbadala za utekelezaji na mbinu za kukwepa vizuizi rahisi.

Ili kuongezea yote, utambuzi wa msingi wa wingu au wa upande wa seva umechelewa sana kuzuia matatizo. Bila mwonekano wa ndani wa wakati halisi katika suala hilo... mistari ya amri, uhusiano wa mchakato, na matukio ya kumbukumbuWakala hawezi kupunguza kwenye nzi mtiririko mbaya ambao hauacha alama yoyote kwenye diski.

Maudhui ya kipekee - Bofya Hapa Akaunti zisizo na nenosiri ni nini na zinabadilishaje usalama wa kidijitali?

Jinsi shambulio lisilo na faili linavyofanya kazi kutoka mwanzo hadi mwisho

Ufikiaji wa awali kwa kawaida hutokea na vekta sawa na kawaida: kuhadaa kwa kutumia nyaraka za ofisi zinazoomba kuwezesha maudhui amilifu, viungo vya tovuti zilizoathiriwa, matumizi ya udhaifu katika programu zilizofichuliwa, au matumizi mabaya ya kitambulisho kilichovuja kufikia kupitia RDP au huduma zingine.

Mara tu ndani, mpinzani anatafuta kutekeleza bila kugusa diski. Ili kufanya hivyo, huunganisha pamoja utendaji wa mfumo: macros au DDE katika hati zinazozindua amri, kutumia vifurushi vya RCE, au kuomba jozi zinazoaminika ambazo huruhusu upakiaji na kutekeleza msimbo kwenye kumbukumbu.

Ikiwa operesheni inahitaji mwendelezo, uendelevu unaweza kutekelezwa bila kupeleka utekelezo mpya: maingizo ya kuanza kwenye UsajiliUsajili wa WMI ambao huguswa na matukio ya mfumo au kazi zilizoratibiwa ambazo huanzisha hati chini ya hali fulani.

Pamoja na utekelezaji ulioanzishwa, lengo linaamuru hatua zifuatazo: songa kando, kuchuja dataHii ni pamoja na kuiba vitambulisho, kupeleka RAT, sarafu za siri za uchimbaji madini, au kuwezesha usimbaji fiche wa faili katika kesi ya ransomware. Yote hii inafanywa, inapowezekana, kwa kutumia utendaji uliopo.

Kuondoa ushahidi ni sehemu ya mpango: kwa kutoandika jozi zinazotiliwa shaka, mshambulizi hupunguza kwa kiasi kikubwa vizalia vya kuchunguzwa. kuchanganya shughuli zao kati ya matukio ya kawaida ya mfumo na kufuta athari za muda inapowezekana.

tambua faili zisizo na faili

Mbinu na zana ambazo kwa kawaida hutumia

Katalogi ni pana, lakini karibu kila mara inahusu huduma za asili na njia zinazoaminika. Haya ni baadhi ya yale ya kawaida, daima na lengo la kuongeza utekelezaji wa kumbukumbu na ufiche ufuatiliaji:

PowerShellUandishi wenye nguvu, ufikiaji wa API za Windows, na uwekaji otomatiki. Uwezo wake mwingi unaifanya kuwa kipendwa kwa utawala na matumizi mabaya ya kukera.
WMI (Ala za Usimamizi wa Windows)Inakuruhusu kuuliza na kujibu matukio ya mfumo, na pia kufanya vitendo vya mbali na vya ndani; muhimu kwa kuendelea na orchestration.
VBScript na JScript: injini zilizopo katika mazingira mengi ambayo huwezesha utekelezaji wa mantiki kupitia vipengele vya mfumo.
mshta, rundll32 na jozi zingine zinazoaminika: LoLBins zinazojulikana ambazo, zinapounganishwa vizuri, zinaweza tekeleza msimbo bila kuacha mabaki inaonekana kwenye diski.
Nyaraka zilizo na maudhui amilifuMacros au DDE katika Ofisi, na vile vile visomaji vya PDF vilivyo na vipengele vya kina, vinaweza kutumika kama ubao wa kuzindua amri katika kumbukumbu.
Usajili wa Windows: funguo za kujiendesha au hifadhi iliyosimbwa/iliyofichwa ya mizigo ya malipo ambayo imeamilishwa na vipengele vya mfumo.
Kukamata na sindano katika michakato: marekebisho ya nafasi ya kumbukumbu ya michakato inayoendesha kwa mwenyeji mantiki hasidi ndani ya inayoweza kutekelezwa.
Seti za uendeshaji: ugunduzi wa udhaifu katika mfumo wa mwathiriwa na utumiaji wa matumizi maalum ili kufikia utekelezaji bila kugusa diski.

Changamoto kwa makampuni (na kwa nini kuzuia kila kitu haitoshi)

Mbinu isiyo na maana inapendekeza hatua kali: kuzuia PowerShell, kukataza macros, kuzuia jozi kama rundll32. Ukweli ni tofauti zaidi: Wengi wa zana hizi ni muhimu. kwa shughuli za kila siku za IT na kwa automatisering ya kiutawala.

Maudhui ya kipekee - Bofya Hapa Jinsi ya kujua kama Whatsapp yangu ni upelelezi juu yangu

Kwa kuongezea, washambuliaji hutafuta mianya: kuendesha injini ya uandishi kwa njia zingine, tumia nakala mbadalaUnaweza kufunga mantiki katika picha au kutumia LoLBins zisizofuatiliwa sana. Uzuiaji wa kinyama hatimaye huleta msuguano bila kutoa ulinzi kamili.

Uchanganuzi wa upande wa seva au wa msingi wa wingu hausuluhishi shida pia. Bila telemetry tajiri ya mwisho na bila mwitikio katika wakala yenyeweUamuzi unakuja kwa kuchelewa na kuzuia haiwezekani kwa sababu tunapaswa kusubiri hukumu ya nje.

Wakati huo huo, ripoti za soko zimeonyesha kwa muda mrefu ukuaji mkubwa katika eneo hili, na vilele ambapo Majaribio ya kutumia PowerShell vibaya yalikaribia maradufu katika muda mfupi, ambayo inathibitisha kwamba ni mbinu ya mara kwa mara na yenye faida kwa wapinzani.

Ugunduzi wa kisasa: kutoka faili hadi tabia

Jambo kuu sio nani anatekeleza, lakini jinsi gani na kwa nini. Ufuatiliaji wa mchakato wa tabia na mahusiano yake Ni uamuzi: mstari wa amri, urithi wa mchakato, simu nyeti za API, miunganisho ya nje, marekebisho ya Usajili, na matukio ya WMI.

Mbinu hii inapunguza kwa kiasi kikubwa uso wa ukwepaji: hata kama jozi zinazohusika zitabadilika, mifumo ya mashambulizi hurudiwa (hati zinazopakua na kutekeleza katika kumbukumbu, matumizi mabaya ya LoLBins, maombi ya wakalimani, nk). Kuchanganua hati hiyo, si 'kitambulisho' cha faili, huboresha utambuzi.

Majukwaa yanayofaa ya EDR/XDR huunganisha mawimbi ili kuunda upya historia kamili ya tukio, kubainisha sababu kuu Badala ya kulaumu mchakato 'uliojitokeza', simulizi hili huunganisha viambatisho, makro, wakalimani, mizigo, na uvumilivu ili kupunguza mtiririko mzima, si tu kipande kilichojitenga.

Utumiaji wa mifumo kama vile MITER AT&CK Husaidia ramani ya mbinu na mbinu zilizozingatiwa (TTPs) na kuelekeza uwindaji wa vitisho kuelekea tabia zinazovutia: utekelezaji, ustahimilivu, ukwepaji wa ulinzi, ufikiaji wa hati miliki, ugunduzi, harakati za upande na utiririshaji.

Hatimaye, orchestration ya majibu ya mwisho lazima iwe mara moja: tenga kifaa, mwisho wa michakato inayohusika, rudisha mabadiliko katika Usajili au kipanga kazi na uzuie miunganisho ya kutiliwa shaka inayotoka bila kusubiri uthibitisho wa nje.

Telemetry muhimu: nini cha kuangalia na jinsi ya kuweka kipaumbele

Ili kuongeza uwezekano wa kugundua bila kueneza mfumo, inashauriwa kuweka kipaumbele ishara za thamani ya juu. Baadhi ya vyanzo na vidhibiti vinavyotoa muktadha. muhimu kwa wasio na faili sauti:

Logi ya kina ya PowerShell na wakalimani wengine: logi ya kuzuia hati, historia ya amri, moduli zilizopakiwa, na matukio ya AMSI, yanapopatikana.
Hifadhi ya WMIOrodha na arifa kuhusu uundaji au urekebishaji wa vichujio vya matukio, watumiaji na viungo, hasa katika nafasi nyeti za majina.
Matukio ya usalama na Sysmon: uunganisho wa mchakato, uadilifu wa picha, upakiaji wa kumbukumbu, sindano, na uundaji wa kazi zilizopangwa.
Nyekundu: miunganisho ya nje isiyo ya kawaida, mwangaza, mifumo ya upakuaji wa upakiaji, na matumizi ya njia fiche kwa uchujaji.

Otomatiki husaidia kutenganisha ngano kutoka kwa makapi: sheria za utambuzi kulingana na tabia, orodha za ruhusa za utawala halali na uboreshaji na akili ya vitisho hupunguza chanya za uwongo na kuharakisha mwitikio.

Kuzuia na kupunguza uso

Hakuna hatua moja ya kutosha, lakini ulinzi wa safu hupunguza hatari. Kwa upande wa kuzuia, mistari kadhaa ya hatua inasimama upunguzaji wa vekta na kufanya maisha kuwa magumu zaidi kwa adui:

Usimamizi wa jumla: zima kwa chaguo-msingi na ruhusu tu inapobidi kabisa na kusainiwa; vidhibiti vya punjepunje kupitia sera za kikundi.
Vizuizi vya wakalimani na LoLBins: Tumia AppLocker/WDAC au kitu sawia, udhibiti wa hati na violezo vya utekelezaji kwa ukataji wa kina wa kina.
Patching na kupunguza: funga udhaifu unaoweza kutumiwa na uwashe ulinzi wa kumbukumbu ambao unazuia RCE na sindano.
Uthibitishaji thabitiMFA na kanuni sifuri za uaminifu ili kuzuia matumizi mabaya ya hati na kupunguza harakati za upande.
Ufahamu na masimuliziMafunzo ya vitendo juu ya hadaa, hati zilizo na maudhui amilifu, na ishara za utekelezaji usio wa kawaida.

Maudhui ya kipekee - Bofya Hapa Jinsi ya kulinda akaunti yako ya Shopee kutoka kwa wadukuzi?

Hatua hizi zinakamilishwa na suluhisho zinazochanganua trafiki na kumbukumbu ili kubaini tabia mbaya katika wakati halisi, na vile vile. sera za ugawaji na fursa ndogo za kudhibiti athari wakati kitu kinapita.

Huduma na mbinu zinazofanya kazi

Katika mazingira yenye ncha nyingi na umuhimu wa hali ya juu, huduma za utambuzi na majibu zinazodhibitiwa na Ufuatiliaji wa 24/7 Wamethibitisha kuharakisha kuzuia matukio. Mchanganyiko wa SOC, EMDR/MDR, na EDR/XDR hutoa macho ya kitaalam, telemetry tele, na uwezo wa kujibu ulioratibiwa.

Watoa huduma wanaofaa zaidi wameweka ndani mabadiliko ya tabia: mawakala wepesi ambao unganisha shughuli katika kiwango cha kernelWanaunda upya historia kamili za uvamizi na kutumia upunguzaji wa kiotomatiki wanapogundua minyororo hasidi, wakiwa na uwezo wa kurudisha nyuma kutengua mabadiliko.

Sambamba, vyumba vya ulinzi vya mwisho na majukwaa ya XDR hujumuisha mwonekano wa kati na udhibiti wa vitisho kwenye vituo vya kazi, seva, vitambulisho, barua pepe na wingu; lengo ni kusambaratisha mlolongo wa mashambulizi bila kujali kama faili zinahusika au la.

Viashiria vya vitendo vya uwindaji wa vitisho

Iwapo itabidi utangulize dhana za utafutaji, zingatia kuchanganya ishara: mchakato wa ofisi ambao huzindua mkalimani na vigezo visivyo vya kawaida, Uundaji wa usajili wa WMI Baada ya kufungua hati, marekebisho ya vitufe vya kuanzisha ikifuatiwa na miunganisho ya vikoa vyenye sifa mbaya.

Njia nyingine nzuri ni kutegemea misingi kutoka kwa mazingira yako: ni nini kawaida kwenye seva zako na vituo vya kazi? Mkengeuko wowote (jozi mpya zilizotiwa saini zinazoonekana kama wazazi wa wakalimani, spikes za ghafla katika utendaji (ya maandishi, kamba za amri zilizo na upotoshaji) inastahili uchunguzi.

Hatimaye, usisahau kumbukumbu: ikiwa una zana zinazokagua mikoa inayoendesha au kunasa vijipicha, matokeo katika RAM Wanaweza kuwa uthibitisho dhahiri wa shughuli zisizo na faili, haswa wakati hakuna mabaki katika mfumo wa faili.

Mchanganyiko wa mbinu, mbinu, na udhibiti huu hauondoi tishio, lakini hukuweka katika nafasi nzuri zaidi ya kugundua kwa wakati. kata mnyororo na kupunguza athari.

Haya yote yanapotumiwa kwa busara— telemetry-tajiri ya mwisho, uwiano wa kitabia, majibu ya kiotomatiki, na ugumu wa kuchagua—mbinu isiyo na faili inapoteza manufaa yake mengi. Na, ingawa itaendelea kubadilika, kuzingatia tabia Badala ya faili, inatoa msingi thabiti wa utetezi wako kubadilika nayo.

Daniel Terrasa

Mhariri aliyebobea katika masuala ya teknolojia na intaneti akiwa na tajriba ya zaidi ya miaka kumi katika midia tofauti ya dijiti. Nimefanya kazi kama mhariri na muundaji wa maudhui kwa biashara ya mtandaoni, mawasiliano, uuzaji mtandaoni na makampuni ya utangazaji. Pia nimeandika kwenye tovuti za uchumi, fedha na sekta nyinginezo. Kazi yangu pia ni shauku yangu. Sasa, kupitia makala yangu katika Tecnobits, Ninajaribu kuchunguza habari zote na fursa mpya ambazo ulimwengu wa teknolojia hutupatia kila siku ili kuboresha maisha yetu.