"Programu hasidi bila faili zinazoendelea" ni nini na jinsi ya kuigundua kwa kutumia zana za bure

Kuonekana kwa programu hasidi bila faili zinazoendelea Hili limekuwa tatizo kubwa kwa timu za usalama. Hatushughulikii virusi vya kawaida unavyovipata unapofuta kitendakazi kutoka kwenye diski, bali tunakabiliana na vitisho vinavyoishi katika kumbukumbu, vinavyotumia vibaya zana halali za mfumo, na, katika hali nyingi, haviachi alama yoyote ya kiuchunguzi inayoweza kutumika.

Aina hii ya shambulio imekuwa maarufu sana miongoni mwa makundi ya hali ya juu na wahalifu wa mtandaoni wanaotafuta epuka programu ya antivirus ya jadi, kuiba data, na kubaki siri kwa muda mrefu iwezekanavyo. Kuelewa jinsi zinavyofanya kazi, mbinu zipi zinazotumia, na jinsi ya kuzigundua ni muhimu kwa shirika lolote linalotaka kuchukua usalama wa mtandao kwa uzito leo.

Programu hasidi isiyo na faili ni nini na kwa nini inatia wasiwasi sana?

Tunapozungumzia programu hasidi isiyo na faili Hatusemi kwamba hakuna baiti hata moja inayohusika, bali kwamba msimbo hasidi Haihifadhiwi kama faili ya kawaida inayoweza kutekelezwa kwenye diski kutoka mwisho. Badala yake, inaendeshwa moja kwa moja kwenye kumbukumbu au inahifadhiwa katika vyombo visivyoonekana sana kama vile Usajili, WMI, au kazi zilizopangwa.

Katika hali nyingi, mshambuliaji hutegemea zana ambazo tayari zipo kwenye mfumo—PowerShell, WMI, hati, faili mbili za Windows zilizosainiwa—ili pakia, ondoa msimbo, au tekeleza upakiaji wa malipo moja kwa moja kwenye RAMKwa njia hii, inaepuka kuacha vitendaji dhahiri ambavyo antivirus inayotegemea alama inaweza kugundua katika skanisho la kawaida.

Zaidi ya hayo, sehemu ya mnyororo wa mashambulizi inaweza kuwa "isiyo na faili" na sehemu nyingine inaweza kutumia mfumo wa faili, kwa hivyo tunazungumzia zaidi ya moja wigo wa mbinu zisizo na faili ile ya familia moja ya programu hasidi. Ndiyo maana hakuna ufafanuzi mmoja uliofungwa, bali kategoria kadhaa kulingana na kiwango cha athari wanazoacha kwenye mashine.

Sifa kuu za programu hasidi bila faili zinazoendelea

Sifa muhimu ya vitisho hivi ni utekelezaji unaozingatia kumbukumbuMsimbo hasidi hupakiwa kwenye RAM na kutekelezwa ndani ya michakato halali, bila kuhitaji mfumo hasidi thabiti kwenye diski kuu. Katika baadhi ya matukio, hata huingizwa kwenye michakato muhimu ya mfumo kwa ajili ya kuficha vizuri.

Kipengele kingine muhimu ni uvumilivu usio wa kawaidaKampeni nyingi zisizo na faili huwa tete tu na hupotea baada ya kuwasha upya, lakini zingine huweza kuamsha tena kwa kutumia vitufe vya Usajili wa Autorun, usajili wa WMI, kazi zilizopangwa, au BITS, ili kipengee "kinachoonekana" kiwe kidogo na mzigo halisi urudi kwenye kumbukumbu kila wakati.

Mbinu hii hupunguza sana ufanisi wa ugunduzi unaotegemea sainiKwa kuwa hakuna mfumo wa utekelezaji usiobadilika wa kuchanganua, unachokiona mara nyingi ni PowerShell.exe, wscript.exe, au mshta.exe halali kabisa, iliyozinduliwa na vigezo vya kutiliwa shaka au kupakia maudhui yaliyofichwa.

Hatimaye, watendaji wengi huchanganya mbinu zisizo na faili na zingine aina za programu hasidi kama vile Trojans, ransomware, au adware, na kusababisha kampeni mseto zinazochanganya bora (na mbaya zaidi) za ulimwengu wote: uvumilivu na usiri.

Aina za vitisho visivyo na faili kulingana na alama zao kwenye mfumo

Watengenezaji kadhaa wa usalama Wanaainisha vitisho "visivyo na faili" kulingana na alama wanazoacha kwenye kompyuta. Uainishaji huu unatusaidia kuelewa tunachokiona na jinsi ya kukichunguza.

Aina ya I: hakuna shughuli inayoonekana ya faili

Kwa upande wa siri zaidi tunapata programu hasidi ambayo Haiandiki chochote kwa mfumo wa failiKwa mfano, msimbo hufika kupitia pakiti za mtandao zinazotumia udhaifu (kama vile EternalBlue), huingizwa moja kwa moja kwenye kumbukumbu, na huhifadhiwa, kwa mfano, kama mlango wa nyuma kwenye kiini (DoublePulsar ilikuwa kesi ya nembo).

Katika hali nyingine, maambukizi huishia Programu dhibiti ya BIOS, kadi za mtandao, vifaa vya USB, au hata mifumo midogo ndani ya CPUAina hii ya tishio inaweza kustahimili kusakinisha upya mfumo endeshi, uumbizaji wa diski, na hata kuwasha upya kabisa.

Tatizo ni kwamba suluhisho nyingi za usalama Hawakagui programu dhibiti au msimbo mdogoNa hata kama zikifanya hivyo, urekebishaji ni mgumu. Kwa bahati nzuri, mbinu hizi kwa kawaida huhifadhiwa kwa watendaji wa hali ya juu na si kawaida katika mashambulizi ya halaiki.

Aina ya II: Matumizi yasiyo ya moja kwa moja ya faili

Kundi la pili linategemea vyenye msimbo hasidi katika miundo iliyohifadhiwa kwenye diskiLakini si kama mifumo ya kawaida ya utekelezaji, bali katika hazina zinazochanganya data halali na hasidi, ambazo ni vigumu kusafisha bila kuharibu mfumo.

Mifano ya kawaida ni hati zilizohifadhiwa katika Hifadhi ya WMI, minyororo iliyofichwa ndani Funguo za Usajili au kazi zilizopangwa zinazozindua amri hatari bila jozi dhahiri ya hasidi. Programu hasidi inaweza kusakinisha maingizo haya moja kwa moja kutoka kwa mstari wa amri au hati na kisha kubaki bila kuonekana kabisa.

Ingawa kitaalamu kuna faili zinazohusika (faili halisi ambapo Windows huhifadhi hazina ya WMI au mzinga wa Usajili), kwa madhumuni ya vitendo tunazungumzia shughuli isiyo na faili kwa sababu hakuna kinachoweza kutekelezwa ambacho kinaweza kuwekwa karantini.

Aina ya III: Inahitaji faili ili zifanye kazi

Aina ya tatu inajumuisha vitisho ambavyo Wanatumia faili, lakini kwa njia ambayo si muhimu sana kwa ugunduzi.Mfano unaojulikana sana ni Kovter, ambayo husajili viendelezi nasibu katika Msajili ili, faili yenye kiendelezi hicho inapofunguliwa, hati itekelezwe kupitia mshta.exe au mfumo wa binary unaofanana.

Faili hizi za udanganyifu zina data isiyofaa, na msimbo halisi hasidi Inachukuliwa kutoka kwa funguo zingine za Usajili au hazina za ndani. Ingawa kuna "kitu" kwenye diski, si rahisi kukitumia kama kiashiria cha kuaminika cha maelewano, sembuse kama utaratibu wa kusafisha moja kwa moja.

Vidudu vya kawaida vya kuingia na sehemu za maambukizi

Zaidi ya uainishaji wa nyayo, ni muhimu kuelewa jinsi gani Hapa ndipo programu hasidi bila faili zinazoendelea zinapotumika. Katika maisha ya kila siku, washambuliaji mara nyingi huchanganya vekta kadhaa kulingana na mazingira na shabaha.

Unyonyaji na udhaifu

Mojawapo ya njia za moja kwa moja ni matumizi mabaya ya udhaifu wa utekelezaji wa msimbo wa mbali (RCE) katika vivinjari, programu-jalizi (kama vile Flash zamani), programu za wavuti, au huduma za mtandao (SMB, RDP, n.k.). Unyonyaji huingiza msimbo wa shell ambao hupakua moja kwa moja au husimbua mzigo hasidi kwenye kumbukumbu.

Katika mfumo huu, faili ya awali inaweza kuwa kwenye mtandao (aina ya matumizi) WannaCryau katika hati ambayo mtumiaji anafungua, lakini Mzigo wa malipo haujaandikwa kamwe kama kitendakazi kinachoweza kutekelezwa kwenye diski: huondolewa kwenye msimbo fiche na kutekelezwa mara moja kutoka RAM.

Nyaraka na makro hasidi

Njia nyingine inayotumiwa vibaya sana ni Hati za ofisi zenye makro au DDEpamoja na PDF zilizoundwa ili kutumia udhaifu wa msomaji. Faili ya Word au Excel inayoonekana kuwa haina madhara inaweza kuwa na msimbo wa VBA unaozindua PowerShell, WMI, au wakalimani wengine ili kupakua msimbo, kutekeleza amri, au kuingiza msimbo wa shell katika michakato inayoaminika.

Hapa faili kwenye diski ni "kituo cha data" pekee, huku vekta halisi ikiwa injini ya ndani ya uandishi wa programuKwa kweli, kampeni nyingi za barua taka zimetumia vibaya mbinu hii kupeleka mashambulizi yasiyo na faili kwenye mitandao ya makampuni.

Hati halali na nakala mbili (Kuishi nje ya Ardhi)

Washambuliaji wanapenda zana ambazo Windows tayari hutoa: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Vifaa vya Usimamizi wa Windows, BITS, n.k. Vifurushi hivi viwili vilivyosainiwa na kuaminiwa vinaweza kutekeleza hati, DLL, au maudhui ya mbali bila kuhitaji "virus.exe" inayotiliwa shaka.

Kwa kupitisha msimbo hasidi kama vigezo vya mstari wa amriKuipachika kwenye picha, kuisimba kwa njia fiche na kuisimbua kwenye kumbukumbu, au kuihifadhi kwenye Usajili, huhakikisha kwamba antivirus huona shughuli kutoka kwa michakato halali pekee, na kufanya ugunduzi kulingana na faili pekee kuwa mgumu zaidi.

Vifaa na programu dhibiti iliyoathiriwa

Katika kiwango cha chini zaidi, washambuliaji wa hali ya juu wanaweza kujipenyeza Programu dhibiti ya BIOS, kadi za mtandao, diski kuu, au hata mifumo midogo ya usimamizi wa CPU (kama vile Intel ME au AMT). Aina hii ya programu hasidi huendesha chini ya mfumo endeshi na inaweza kuingilia au kurekebisha trafiki bila mfumo wa uendeshaji kujua.

Ingawa ni hali iliyokithiri, inaonyesha kiwango ambacho tishio lisilo na faili linaweza Dumisha uvumilivu bila kugusa mfumo wa faili wa OSna kwa nini zana za mwisho za kawaida hupungukiwa katika visa hivi.

Jinsi shambulio la programu hasidi bila faili zinazoendelea linavyofanya kazi

Katika kiwango cha mtiririko, shambulio lisilo na faili linafanana kabisa na shambulio linalotegemea faili, lakini likiwa na tofauti husika katika jinsi mzigo wa malipo unavyotekelezwa na jinsi ufikiaji unavyodumishwa.

1. Ufikiaji wa awali wa mfumo

Yote huanza wakati mshambuliaji anapopata nafasi ya kwanza: a barua pepe ya ulaghai yenye kiungo au kiambatisho hasidi, unyonyaji dhidi ya programu dhaifu, vitambulisho vilivyoibwa vya RDP au VPN, au hata kifaa cha USB kilichoharibiwa.

Katika awamu hii, yafuatayo hutumika: uhandisi wa kijamiiuelekezaji upya hasidi, kampeni za kupotosha, au mashambulizi hasidi ya Wi-Fi ili kumdanganya mtumiaji abonyeze mahali ambapo hawapaswi au kutumia vibaya huduma zinazoonekana kwenye mtandao.

2. Utekelezaji wa msimbo hasidi kwenye kumbukumbu

Mara tu ingizo hilo la kwanza likipatikana, sehemu isiyo na faili huanzishwa: Ofisi ya Macro inazindua PowerShell, unyonyaji huingiza msimbo wa ganda, usajili wa WMI unaanzisha hati, n.k. Lengo ni pakia msimbo hasidi moja kwa moja kwenye RAMama kwa kuipakua kutoka kwenye mtandao au kwa kuijenga upya kutoka kwa data iliyopachikwa.

Kutoka hapo, programu hasidi inaweza huongeza marupurupu, husogeza pembeni, huiba vitambulisho, husambaza maganda ya wavuti, husakinisha RAT, au husimba data kwa njia ficheYote haya yanaungwa mkono na michakato halali ya kupunguza kelele.

3. Kuanzisha uthabiti

Miongoni mwa mbinu za kawaida ni:

• Funguo za Kuendesha Kiotomatiki katika Msajili unaotekeleza amri au hati wakati wa kuingia.
• Kazi zilizopangwa zinazozindua hati, jozi halali zenye vigezo, au amri za mbali.
• Usajili wa WMI ambayo husababisha msimbo wakati matukio fulani ya mfumo yanapotokea.
• Matumizi ya BITS kwa upakuaji wa mara kwa mara wa mizigo kutoka kwa seva za amri na udhibiti.

Katika hali kama hizo, sehemu inayoendelea ni ndogo na hutumika tu kwa ingiza tena programu hasidi kwenye kumbukumbu kila wakati mfumo unapoanza au sharti maalum linapotimizwa.

4. Vitendo dhidi ya malengo na uchujaji

Kwa uhakika wa kuendelea, mshambuliaji anazingatia kile kinachomvutia sana: kuiba taarifa, kuzificha, kudanganya mifumo, au kupeleleza kwa miezi kadhaaKuchuja kunaweza kufanywa kupitia HTTPS, DNS, njia za siri, au huduma halali. Katika matukio halisi, kujua Nini cha kufanya katika saa 24 za kwanza baada ya uvamizi Inaweza kuleta tofauti zote.

Katika mashambulizi ya APT, ni kawaida kwa programu hasidi kubaki kimya na kwa siri kwa muda mrefu, kujenga milango ya ziada ya nyuma ili kuhakikisha ufikiaji hata kama sehemu ya miundombinu itagunduliwa na kusafishwa.

Uwezo na aina za programu hasidi ambazo zinaweza kutotumika kwenye faili

Karibu kazi yoyote hasidi ambayo programu hasidi ya kawaida inaweza kufanya inaweza kutekelezwa kwa kufuata mbinu hii isiyo na faili au isiyo na faili nusuMabadiliko gani si lengo, bali jinsi msimbo unavyotumika.

Programu hasidi inayohifadhiwa kwenye kumbukumbu pekee

Jamii hii inajumuisha mizigo ambayo Wanaishi pekee katika kumbukumbu ya mchakato au kiini.Rootkits za kisasa, milango ya nyuma ya hali ya juu, au programu chafu zinaweza kupakia kwenye nafasi ya kumbukumbu ya mchakato halali na kubaki hapo hadi mfumo uanzishwe upya.

Vipengele hivi ni vigumu sana kuonekana kwa kutumia vifaa vinavyolenga diski, na hulazimisha matumizi ya uchambuzi wa kumbukumbu ya moja kwa moja, EDR yenye ukaguzi wa wakati halisi au uwezo wa hali ya juu wa uchunguzi wa kisayansi.

Programu hasidi inayotegemea Usajili wa Windows

Mbinu nyingine inayojirudia ni kuhifadhi msimbo uliosimbwa au kufichwa katika funguo za Usajili na utumie mfumo halali wa binary (kama vile PowerShell, MSHTA, au rundll32) ili kusoma, kusimbua, na kuitekeleza katika kumbukumbu.

Kitoneshi cha awali kinaweza kujiharibu baada ya kuandika kwa Msajili, kwa hivyo kilichobaki ni mchanganyiko wa data inayoonekana kuwa haina madhara ambayo Huwasha tishio kila wakati mfumo unapoanza au kila wakati faili maalum inafunguliwa.

Ransomware na Trojans zisizo na faili

Mbinu ya kutotumia faili haiendani na mbinu kali sana za upakiaji kama vile ransomwareKuna kampeni zinazopakua, huondoa usimbaji fiche, na kutekeleza usimbaji fiche wote katika kumbukumbu kwa kutumia PowerShell au WMI, bila kuacha kitendakazi cha ransomware kwenye diski.

Vivyo hivyo, Trojans za ufikiaji wa mbali (RATs)Wawekaji funguo au wezi wa sifa wanaweza kufanya kazi kwa njia isiyo na faili nyingi, wakipakia moduli kwa mahitaji na kuhifadhi mantiki kuu katika michakato halali ya mfumo.

Vifaa vya unyonyaji na vitambulisho vilivyoibiwa

Vifaa vya kutumia mtandao ni sehemu nyingine ya fumbo: hugundua programu zilizosakinishwa, Wanachagua matumizi yanayofaa na kuingiza mzigo wa malipo moja kwa moja kwenye kumbukumbu., mara nyingi bila kuhifadhi chochote kwenye diski.

Kwa upande mwingine, matumizi ya vitambulisho vilivyoibiwa Ni vekta inayoendana vyema na mbinu zisizo na faili: mshambuliaji huthibitisha kama mtumiaji halali na, kuanzia hapo, hutumia vibaya zana asilia za utawala (PowerShell Remoting, WMI, PsExec) ili kusambaza hati na amri ambazo haziachi alama yoyote ya programu hasidi.

Kwa nini programu hasidi isiyo na faili ni ngumu sana kugundua?

Sababu ya msingi ni kwamba aina hii ya tishio imeundwa mahususi kwa pita tabaka za ulinzi za kitamadunikulingana na sahihi, orodha nyeupe, na uchanganuzi wa faili wa mara kwa mara.

Ikiwa msimbo hasidi hautahifadhiwa kamwe kama kitendakazi kinachoweza kutekelezwa kwenye diski, au ikiwa unajificha kwenye vyombo mchanganyiko kama vile WMI, Usajili, au programu dhibiti, programu ya antivirus ya kitamaduni haina mengi ya kuchanganua. Badala ya "faili inayotiliwa shaka," uliyo nayo ni michakato halali inayofanya kazi kwa njia isiyo ya kawaida.

Zaidi ya hayo, huzuia kwa kiasi kikubwa zana kama vile PowerShell, Office macros, au WMI. Haiwezekani katika mashirika mengiKwa sababu ni muhimu kwa utawala, otomatiki, na shughuli za kila siku. Hii inalazimisha kutetea kuchukua hatua kwa uangalifu sana.

Baadhi ya wachuuzi wamejaribu kufidia marekebisho ya haraka (uzuiaji wa PowerShell wa jumla, kuzima jumla ya makro, ugunduzi wa wingu pekee, n.k.), lakini hatua hizi kwa kawaida huwa haitoshi au inavuruga kupita kiasi kwa ajili ya biashara.

Mikakati ya kisasa ya kugundua na kuzuia programu hasidi isiyo na faili

Ili kukabiliana na vitisho hivi, ni muhimu kwenda zaidi ya kuchanganua faili tu na kutumia mbinu inayolenga. tabia, telemetri ya wakati halisi, na mwonekano wa kina ya hoja ya mwisho.

Ufuatiliaji wa tabia na kumbukumbu

Mbinu bora inahusisha kuchunguza kile ambacho michakato hufanya: ni amri gani wanazotekeleza, rasilimali gani wanazofikia, miunganisho gani wanayoanzishajinsi zinavyohusiana, n.k. Ingawa maelfu ya aina za programu hasidi zipo, mifumo ya tabia hasidi ni midogo zaidi. Hii inaweza pia kuongezewa na Ugunduzi wa hali ya juu na YARA.

Suluhisho za kisasa huchanganya telemetri hii na uchanganuzi wa ndani ya kumbukumbu, heuristics ya hali ya juu, na kujifunza mashine kutambua minyororo ya mashambulizi, hata wakati msimbo umefichwa sana au haujawahi kuonekana hapo awali.

Matumizi ya violesura vya mfumo kama vile AMSI na ETW

Windows hutoa teknolojia kama vile Kiolesura cha Kuchanganua Programu Hasidi (AMSI) y Ufuatiliaji wa Matukio kwa Windows (ETW) Vyanzo hivi huruhusu ukaguzi wa hati na matukio ya mfumo kwa kiwango cha chini sana. Kuunganisha vyanzo hivi katika suluhisho za usalama hurahisisha ugunduzi. msimbo hasidi kabla au wakati wa utekelezaji wake.

Zaidi ya hayo, kuchambua maeneo muhimu—kazi zilizopangwa, usajili wa WMI, funguo za usajili wa kuwasha, n.k.—husaidia kutambua uendelevu wa siri usio na faili ambayo inaweza kupotea bila kutambuliwa kwa uchanganuzi rahisi wa faili.

Uwindaji wa vitisho na viashiria vya mashambulizi (IoA)

Kwa kuwa viashiria vya kawaida (hashi, njia za faili) havipo, inashauriwa kutegemea viashiria vya shambulio (IoA), ambayo inaelezea tabia za kutiliwa shaka na mfuatano wa vitendo vinavyoendana na mbinu zinazojulikana.

Timu za uwindaji hatari—za ndani au kupitia huduma zinazosimamiwa—zinaweza kutafuta kwa makini mifumo ya harakati za pembeni, matumizi mabaya ya zana asilia, kasoro katika matumizi ya PowerShell au ufikiaji usioidhinishwa wa data nyeti, kugundua vitisho visivyo na faili kabla ya kusababisha janga.

EDR, XDR na SOC 24/7

Majukwaa ya kisasa ya EDR na XDR (Ugunduzi na mwitikio wa sehemu ya mwisho kwa kiwango kilichopanuliwa) hutoa mwonekano na uhusiano unaohitajika ili kujenga upya historia kamili ya tukio, kuanzia barua pepe ya kwanza ya ulaghai hadi uchujaji wa mwisho.

Imechanganywa na SOC ya uendeshaji masaa 24 kwa siku, siku 7 kwa wikiHaziruhusu tu kugundua, lakini pia huzuia na hurekebisha kiotomatiki shughuli hasidi: kutenganisha kompyuta, kuzuia michakato, kurejesha mabadiliko kwenye Usajili, au kutendua usimbaji fiche inapowezekana.

Mbinu za programu hasidi zisizo na faili zimebadilisha mchezo: kuendesha tu skani ya antivirus na kufuta kitendakazi kinachotiliwa shaka haitoshi tena. Leo, ulinzi unahusisha kuelewa jinsi washambuliaji wanavyotumia udhaifu kwa kuficha msimbo kwenye kumbukumbu, Usajili, WMI, au programu dhibiti, na kutumia mchanganyiko wa ufuatiliaji wa tabia, uchambuzi wa ndani ya kumbukumbu, EDR/XDR, uwindaji wa vitisho, na mbinu bora. Punguza athari kihalisia Mashambulizi ambayo, kwa muundo, hayajaribu kuacha alama yoyote ambapo suluhisho za kitamaduni zaidi zinahitaji mkakati kamili na unaoendelea. Katika kesi ya maelewano, kujua Rekebisha Windows baada ya virusi vikali ni muhimu.