Pagkilala sa mga file na walang file: isang kumpletong gabay sa pag-detect at paghinto ng malware sa memorya

Ang mga pag-atake na tumatakbo nang hindi nag-iiwan ng bakas sa disk ay naging isang malaking sakit ng ulo para sa maraming mga pangkat ng seguridad dahil sila ay ganap na gumagana sa memorya at sinasamantala ang mga lehitimong proseso ng system. Kaya ang kahalagahan ng pag-alam kung paano makilala ang mga file na walang file at ipagtanggol ang kanilang sarili laban sa kanila.

Higit pa sa mga headline at trend, ang pag-unawa sa kung paano gumagana ang mga ito, kung bakit napakahirap makuha ng mga ito, at kung anong mga senyales ang nagpapahintulot sa amin na matukoy ang mga ito ang gumagawa ng pagkakaiba sa pagitan ng pagkakaroon ng insidente at pagsisisi sa isang paglabag. Sa mga sumusunod na linya, sinusuri namin ang problema at nagmumungkahi mga solusyon.

Ano ang fileless malware at bakit ito mahalaga?

 

Ang walang file na malware ay hindi isang partikular na pamilya, ngunit isang paraan ng pagpapatakbo: Iwasang magsulat ng mga executable sa disk Gumagamit ito ng mga serbisyo at binary na naroroon na sa system upang magsagawa ng malisyosong code. Sa halip na mag-iwan ng madaling ma-scan na file, inaabuso ng attacker ang mga pinagkakatiwalaang utility at direktang nilo-load ang logic nito sa RAM.

Ang pamamaraang ito ay kadalasang kasama sa pilosopiyang 'Living off the Land': ang mga umaatake ay nakatulong katutubong tool gaya ng PowerShell, WMI, mshta, rundll32 o mga scripting engine tulad ng VBScript at JScript upang makamit ang kanilang mga layunin nang may kaunting ingay.

Kabilang sa mga pinakakinakatawan nitong feature na makikita namin: pagpapatupad sa pabagu-bago ng memorya, kaunti o walang pagtitiyaga sa disk, paggamit ng mga sangkap na nilagdaan ng system at mataas na kapasidad sa pag-iwas laban sa mga makinang nakabatay sa lagda.

Bagama't maraming payload ang nawawala pagkatapos ng pag-reboot, huwag palinlang: ang mga kalaban ay maaaring magtatag ng pagtitiyaga sa pamamagitan ng paggamit ng mga Registry key, WMI subscription, o naka-iskedyul na gawain, lahat nang hindi nag-iiwan ng mga kahina-hinalang binary sa disk.

Bakit napakahirap nating kilalanin ang mga file na walang file?

Ang unang hadlang ay halata: Walang maanomalyang file na susuriinAng mga tradisyunal na antivirus program na batay sa mga lagda at pagsusuri ng file ay may maliit na puwang para sa pagmamaniobra kapag ang pagpapatupad ay nasa wastong mga proseso at ang malisyosong lohika ay nasa memorya.

Ang pangalawa ay mas banayad: ang mga umaatake ay nagtatago sa kanilang sarili sa likuran mga lehitimong proseso ng operating systemKung ang PowerShell o WMI ay ginagamit araw-araw para sa pangangasiwa, paano mo makikilala ang normal na paggamit sa malisyosong paggamit nang walang konteksto at behavioral telemetry?

Higit pa rito, ang walang taros na pagharang sa mga kritikal na tool ay hindi magagawa. Ang hindi pagpapagana ng PowerShell o Office macro sa buong board ay maaaring masira ang mga operasyon at Hindi nito ganap na pinipigilan ang mga pang-aabusodahil mayroong maraming alternatibong mga landas ng pagpapatupad at mga diskarte upang iwasan ang mga simpleng bloke.

Bilang karagdagan, ang cloud-based o server-side detection ay huli na upang maiwasan ang mga problema. Nang walang real-time na lokal na visibility sa isyu... mga linya ng command, mga relasyon sa proseso, at mga kaganapan sa pag-logAng ahente ay hindi maaaring magaan sa mabilisang isang malisyosong daloy na hindi nag-iiwan ng bakas sa disk.

Paano gumagana ang isang walang file na pag-atake mula simula hanggang katapusan

Karaniwang nangyayari ang paunang pag-access sa parehong mga vector gaya ng dati: phishing gamit ang mga dokumento sa opisina na humihiling na paganahin ang aktibong nilalaman, mga link sa mga nakompromisong site, pagsasamantala sa mga kahinaan sa mga nakalantad na application, o pag-abuso sa mga leaked na kredensyal upang ma-access sa pamamagitan ng RDP o iba pang mga serbisyo.

Sa sandaling nasa loob, ang kalaban ay naghahangad na i-execute nang hindi hinahawakan ang disc. Upang gawin ito, pinagsama-sama nila ang mga pag-andar ng system: macros o DDE sa mga dokumento na naglulunsad ng mga utos, nagsasamantala ng mga overflow para sa RCE, o nagsasagawa ng mga pinagkakatiwalaang binary na nagbibigay-daan sa pag-load at pag-execute ng code sa memorya.

Kung ang operasyon ay nangangailangan ng pagpapatuloy, ang pagtitiyaga ay maaaring ipatupad nang hindi nagde-deploy ng mga bagong executable: mga startup na entry sa RegistryMga subscription sa WMI na tumutugon sa mga kaganapan sa system o mga naka-iskedyul na gawain na nagpapalitaw ng mga script sa ilalim ng ilang partikular na kundisyon.

Sa naitatag na pagpapatupad, ang layunin ay nagdidikta ng mga sumusunod na hakbang: ilipat sa gilid, i-exfiltrate ang dataKabilang dito ang pagnanakaw ng mga kredensyal, pag-deploy ng RAT, pagmimina ng mga cryptocurrencies, o pag-activate ng pag-encrypt ng file sa kaso ng ransomware. Ginagawa ang lahat ng ito, kapag posible, sa pamamagitan ng paggamit ng mga umiiral na functionality.

Ang pag-alis ng ebidensya ay bahagi ng plano: sa pamamagitan ng hindi pagsusulat ng mga kahina-hinalang binary, makabuluhang binabawasan ng umaatake ang mga artifact na susuriin. paghahalo ng kanilang aktibidad sa pagitan ng mga normal na kaganapan ng system at pagtanggal ng mga pansamantalang bakas kapag posible.

Mga teknik at kasangkapan na karaniwan nilang ginagamit

Ang catalog ay malawak, ngunit ito ay halos palaging umiikot sa mga katutubong kagamitan at pinagkakatiwalaang mga ruta. Ito ang ilan sa mga pinakakaraniwan, palaging may layunin na i-maximize ang in-memory execution at i-blur ang bakas:

• PowerShellNapakahusay na scripting, access sa mga Windows API, at automation. Ang versatility nito ay ginagawa itong paborito para sa parehong administrasyon at nakakasakit na pang-aabuso.
• WMI (Windows Management Instrumentation)Binibigyang-daan ka nitong mag-query at mag-react sa mga kaganapan sa system, pati na rin magsagawa ng mga remote at lokal na aksyon; kapaki-pakinabang para sa pagpupursige at orkestrasyon.
• VBScript at JScript: mga makina na naroroon sa maraming kapaligiran na nagpapadali sa pagpapatupad ng lohika sa pamamagitan ng mga bahagi ng system.
• mshta, rundll32 at iba pang pinagkakatiwalaang binary: ang kilalang LoLBins na, kapag maayos na nakaugnay, maaari execute code nang hindi nag-drop ng mga artifact maliwanag sa disk.
• Mga dokumentong may aktibong nilalamanAng mga Macros o DDE sa Opisina, gayundin ang mga PDF reader na may mga advanced na feature, ay maaaring magsilbi bilang pambuwelo upang ilunsad ang mga command sa memorya.
• Windows Registry: mga self-boot key o naka-encrypt/nakatagong storage ng mga payload na ina-activate ng mga bahagi ng system.
• Pag-agaw at pag-iniksyon sa mga proseso: pagbabago ng memory space ng mga prosesong tumatakbo para sa mag-host ng malisyosong lohika sa loob ng isang lehitimong executable.
• Mga operating kit: pagtuklas ng mga kahinaan sa sistema ng biktima at pag-deploy ng mga iniangkop na pagsasamantala upang makamit ang pagpapatupad nang hindi hinahawakan ang disk.

Ang hamon para sa mga kumpanya (at bakit hindi sapat ang simpleng pagharang sa lahat)

Ang isang walang muwang na diskarte ay nagmumungkahi ng isang matinding hakbang: pagharang sa PowerShell, pagbabawal sa mga macro, pagpigil sa mga binary tulad ng rundll32. Ang katotohanan ay mas nuanced: Marami sa mga tool na ito ay mahalaga. para sa pang-araw-araw na operasyon ng IT at para sa administrative automation.

Bilang karagdagan, ang mga umaatake ay naghahanap ng mga butas: pagpapatakbo ng scripting engine sa ibang mga paraan, gumamit ng mga alternatibong kopyaMaaari kang mag-package ng logic sa mga larawan o gumamit ng hindi gaanong sinusubaybayang LoLBins. Ang brute blocking sa huli ay lumilikha ng alitan nang hindi nagbibigay ng kumpletong depensa.

Ang puro server-side o cloud-based na pagsusuri ay hindi rin malulutas ang problema. Nang walang rich endpoint telemetry at wala pagtugon sa ahente mismoAng desisyon ay dumating sa huli at ang pag-iwas ay hindi magagawa dahil kailangan nating maghintay para sa isang panlabas na hatol.

Samantala, ang mga ulat sa merkado ay matagal nang nagtuturo sa isang napaka makabuluhang paglago sa lugar na ito, na may mga taluktok kung saan ang Halos dumoble ang mga pagtatangkang abusuhin ang PowerShell sa maikling panahon, na nagpapatunay na ito ay isang paulit-ulit at kumikitang taktika para sa mga kalaban.

Modernong pagtuklas: mula sa file hanggang sa pag-uugali

Ang susi ay hindi kung sino ang nagpapatupad, ngunit kung paano at bakit. Pagsubaybay sa proseso ng pag-uugali at mga relasyon nito Ito ay mapagpasyahan: command line, process inheritance, mga sensitibong tawag sa API, mga papalabas na koneksyon, mga pagbabago sa Registry, at mga kaganapan sa WMI.

Ang diskarteng ito ay lubhang binabawasan ang pag-iwas sa ibabaw: kahit na ang mga binary na kasangkot ay magbago, ang paulit-ulit ang mga pattern ng pag-atake (mga script na nagda-download at nagpapatupad sa memorya, pang-aabuso sa LoLBins, panawagan ng mga interpreter, atbp.). Ang pagsusuri sa script na iyon, hindi ang 'pagkakakilanlan' ng file, ay nagpapabuti sa pagtuklas.

Ang mga epektibong platform ng EDR/XDR ay nag-uugnay ng mga signal upang muling buuin ang kumpletong kasaysayan ng insidente, na tinutukoy ang ugat na sanhi Sa halip na sisihin ang prosesong 'lumabas', ang salaysay na ito ay nag-uugnay ng mga attachment, macro, interpreter, payload, at pagtitiyaga upang pagaanin ang buong daloy, hindi lamang isang nakahiwalay na piraso.

Ang paglalapat ng mga balangkas tulad ng MITER ATT&CK Nakakatulong ito sa pagmapa ng mga sinusunod na taktika at diskarte (TTPs) at gabayan ang pangangaso ng pagbabanta patungo sa mga gawi ng interes: pagpapatupad, pagpupursige, pag-iwas sa pagtatanggol, pag-access sa kredensyal, pagtuklas, paggalaw sa gilid at pag-exfiltration.

Panghuli, ang endpoint response orchestration ay dapat na agaran: ihiwalay ang device, pagtatapos ng mga proseso kasangkot, ibalik ang mga pagbabago sa Registry o task scheduler at harangan ang mga kahina-hinalang papalabas na koneksyon nang hindi naghihintay ng mga panlabas na kumpirmasyon.

Kapaki-pakinabang na telemetry: kung ano ang titingnan at kung paano uunahin

Upang madagdagan ang posibilidad ng pagtuklas nang hindi nabubusog ang system, ipinapayong unahin ang mga signal na may mataas na halaga. Ilang source at kontrol na nagbibigay ng konteksto. kritikal para sa walang file tunog:

• Detalyadong PowerShell Log at iba pang mga interpreter: script block log, command history, load modules, at AMSI event, kapag available.
• WMI RepositoryImbentaryo at alerto tungkol sa paggawa o pagbabago ng mga filter ng kaganapan, mga consumer, at mga link, lalo na sa mga sensitibong namespace.
• Mga kaganapan sa seguridad at Sysmon: ugnayan ng proseso, integridad ng imahe, pag-load ng memorya, iniksyon, at paglikha ng mga naka-iskedyul na gawain.
• pula: mga maanomalyang papalabas na koneksyon, beaconing, mga pattern ng pag-download ng payload, at paggamit ng mga tago na channel para sa exfiltration.

Tinutulungan ng automation na ihiwalay ang trigo mula sa ipa: mga panuntunan sa pagtuklas na nakabatay sa gawi, mga allowlist para sa lehitimong administrasyon at ang pagpapayaman na may pananakot na intelligence ay naglilimita sa mga maling positibo at nagpapabilis sa pagtugon.

Pag-iwas at pagbabawas ng ibabaw

Walang sapat na sukat, ngunit ang isang layered na depensa ay lubos na nakakabawas ng panganib. Sa panig ng pag-iwas, namumukod-tangi ang ilang linya ng pagkilos crop vectors at gawing mas mahirap ang buhay para sa kalaban:

• Pamamahala ng macro: huwag paganahin bilang default at payagan lamang kapag talagang kinakailangan at nilagdaan; butil na mga kontrol sa pamamagitan ng mga patakaran ng grupo.
• Paghihigpit sa mga interpreter at LoLBins: Ilapat ang AppLocker/WDAC o katumbas, kontrol ng mga script at execution template na may komprehensibong pag-log.
• Patching at pagpapagaan: isara ang mga mapagsamantalang kahinaan at i-activate ang mga proteksyon sa memorya na naglilimita sa RCE at mga iniksyon.
• Malakas na pagpapatunayMFA at zero trust principles para pigilan ang pang-aabuso sa kredensyal at bawasan ang lateral na paggalaw.
• Kamalayan at simulationPraktikal na pagsasanay sa phishing, mga dokumentong may aktibong nilalaman, at mga palatandaan ng maanomalyang pagpapatupad.

Ang mga hakbang na ito ay kinukumpleto ng mga solusyon na nagsusuri ng trapiko at memorya upang matukoy ang malisyosong gawi sa real time, gayundin mga patakaran sa segmentasyon at kaunting mga pribilehiyo na maglaman ng epekto kapag may dumaan.

Mga serbisyo at diskarte na gumagana

Sa mga kapaligirang may maraming mga endpoint at mataas ang pagiging kritikal, pinamamahalaang mga serbisyo sa pagtuklas at pagtugon na may 24/7 na pagsubaybay Napatunayan nilang mapabilis ang pagpigil sa insidente. Ang kumbinasyon ng SOC, EMDR/MDR, at EDR/XDR ay nagbibigay ng mga ekspertong mata, rich telemetry, at coordinated na mga kakayahan sa pagtugon.

Ang pinaka-epektibong provider ay nag-internalize ng pagbabago sa pag-uugali: mga lightweight na ahente na iugnay ang aktibidad sa antas ng kernelBinubuo nila ang kumpletong kasaysayan ng pag-atake at naglalapat ng mga awtomatikong pagpapagaan kapag natukoy nila ang mga nakakahamak na chain, na may kakayahang mag-rollback upang i-undo ang mga pagbabago.

Kasabay nito, pinagsasama ng mga endpoint protection suite at XDR platform ang sentralisadong visibility at pamamahala ng pagbabanta sa mga workstation, server, pagkakakilanlan, email, at cloud; ang layunin ay lansagin ang kadena ng pag-atake hindi alintana kung ang mga file ay kasangkot o hindi.

Mga praktikal na tagapagpahiwatig para sa pangangaso ng pagbabanta

Kung kailangan mong unahin ang mga hypotheses sa paghahanap, tumuon sa pagsasama-sama ng mga signal: isang proseso ng opisina na naglulunsad ng isang interpreter na may mga hindi pangkaraniwang parameter, Paglikha ng subscription sa WMI Pagkatapos magbukas ng dokumento, ang mga pagbabago sa mga startup key ay sinusundan ng mga koneksyon sa mga domain na may mahinang reputasyon.

Ang isa pang epektibong diskarte ay ang umasa sa mga baseline mula sa iyong kapaligiran: ano ang normal sa iyong mga server at workstation? Anumang paglihis (mga bagong nilagdaang binary na lumalabas bilang mga magulang ng mga interpreter, biglaang mga spike sa performance (ng mga script, command string na may obfuscation) ay nararapat sa pagsisiyasat.

Panghuli, huwag kalimutan ang memorya: kung mayroon kang mga tool na nagsusuri ng mga tumatakbong rehiyon o kumukuha ng mga snapshot, ang mga natuklasan sa RAM Maaari silang maging tiyak na patunay ng aktibidad na walang file, lalo na kapag walang mga artifact sa file system.

Ang kumbinasyon ng mga taktika, diskarte, at kontrol na ito ay hindi nag-aalis ng banta, ngunit inilalagay ka nito sa isang mas mahusay na posisyon upang matukoy ito sa oras. putulin ang kadena at bawasan ang epekto.

Kapag ang lahat ng ito ay inilapat nang wasto—mayaman sa endpoint na telemetry, ugnayan sa pag-uugali, automated na tugon, at selective hardening—nawawala ng walang file na taktika ang malaking bentahe nito. At, kahit na ito ay patuloy na mag-evolve, ang pokus sa pag-uugali Sa halip na sa mga file, nag-aalok ito ng matibay na pundasyon para sa iyong depensa na umunlad kasama nito.