Ano ang "malware na walang persistent files" at paano ito matutukoy gamit ang mga libreng tool

Ang hitsura ng malware na walang permanenteng mga file Isa itong tunay na sakit ng ulo para sa mga security team. Hindi natin hinaharap ang tipikal na virus na "nahuhuli" mo kapag binubura ang isang executable mula sa disk, kundi ang mga banta na nananatili sa memorya, umaabuso sa mga lehitimong tool ng system, at, sa maraming pagkakataon, halos walang naiiwang magagamit na forensic trace.

Ang ganitong uri ng pag-atake ay naging lalong popular sa mga advanced na grupo at mga cybercriminal na naghahanap ng umiiwas sa tradisyonal na antivirus software, magnakaw ng data, at manatiling nakatago hangga't maaari. Ang pag-unawa kung paano sila gumagana, kung anong mga pamamaraan ang ginagamit nila, at kung paano matukoy ang mga ito ay mahalaga para sa anumang organisasyon na gustong seryosohin ang cybersecurity ngayon.

Ano ang fileless malware at bakit ito isang malaking problema?

Kapag makipag-usap namin tungkol sa walang file na malware Hindi namin sinasabing walang kahit isang byte na kasangkot, ngunit ang malisyosong code Hindi ito iniimbak bilang isang klasikong executable file sa disk mula sa endpoint. Sa halip, ito ay direktang tumatakbo sa memorya o naka-host sa mga hindi gaanong nakikitang container tulad ng Registry, WMI, o mga naka-iskedyul na gawain.

Sa maraming sitwasyon, ang attacker ay umaasa sa mga tool na mayroon na sa system—PowerShell, WMI, mga script, mga naka-sign na Windows binary—upang mag-load, mag-decrypt, o mag-execute ng mga payload nang direkta sa RAMSa ganitong paraan, naiiwasan nitong mag-iwan ng mga halatang executable na maaaring matukoy ng isang signature-based antivirus sa isang normal na scan.

Bukod pa rito, ang bahagi ng attack chain ay maaaring "walang file" at ang isa pang bahagi ay maaaring gumamit ng file system, kaya pinag-uusapan natin ang higit sa isa saklaw ng mga pamamaraan na walang file na sa iisang pamilya ng malware. Kaya naman walang iisang saradong kahulugan, kundi ilang kategorya depende sa antas ng epektong iniiwan ng mga ito sa makina.

Mga pangunahing katangian ng malware na walang mga persistent file

Ang isang pangunahing katangian ng mga bantang ito ay ang kanilang pagpapatupad na nakasentro sa memoryaAng malisyosong code ay nilo-load sa RAM at isinasagawa sa loob ng mga lehitimong proseso, nang hindi nangangailangan ng isang matatag na malisyosong binary sa hard drive. Sa ilang mga kaso, ito ay inilalagay pa nga sa mga kritikal na proseso ng system para sa mas mahusay na pagbabalatkayo.

Ang isa pang mahalagang tampok ay ang hindi pangkaraniwang pagtitiyagaMaraming mga kampanyang walang file ang pabago-bago at nawawala pagkatapos ng pag-reboot, ngunit ang iba ay nagagawang muling i-activate gamit ang mga Registry Autorun key, mga subscription sa WMI, mga naka-iskedyul na gawain, o BITS, upang ang "nakikitang" artifact ay maging minimal at ang totoong payload ay mabubuhay muli sa memorya sa bawat pagkakataon.

Ang pamamaraang ito ay lubos na nakakabawas sa bisa ng pagtukoy na nakabatay sa lagdaDahil walang nakapirming executable na maaaring suriin, ang madalas mong makita ay isang ganap na lehitimong PowerShell.exe, wscript.exe, o mshta.exe, na inilulunsad na may mga kahina-hinalang parameter o naglo-load ng obfuscated na nilalaman.

Panghuli, maraming aktor ang nagsasama ng mga pamamaraang walang file sa iba pang mga uri ng malware tulad ng Trojans, ransomware, o adware, na nagreresulta sa mga hybrid na kampanya na pinagsasama ang pinakamahusay (at pinakamasama) ng parehong mundo: pagtitiyaga at pagkukunwari.

Mga uri ng mga banta na walang file ayon sa kanilang bakas ng paa sa sistema

Maraming mga tagagawa ng seguridad Inuuri nila ang mga banta na "walang file" ayon sa bakas na iniiwan nila sa computer. Tinutulungan tayo ng taxonomy na ito na maunawaan kung ano ang nakikita natin at kung paano ito imbestigahan.

Uri I: walang nakikitang aktibidad ng file

Sa pinaka-lihim na bahagi, nakakahanap kami ng malware na Wala itong sinusulat sa file systemAng code ay dumarating, halimbawa, sa pamamagitan ng mga network packet na nagsasamantala sa isang kahinaan (tulad ng EternalBlue), direktang ini-inject sa memorya, at pinapanatili, halimbawa, bilang isang backdoor sa kernel (ang DoublePulsar ay isang simbolong kaso).

Sa ibang mga sitwasyon, ang impeksyon ay nasa BIOS firmware, mga network card, mga USB device, o kahit mga subsystem sa loob ng CPUKayang tiisin ng ganitong uri ng banta ang mga muling pag-install ng operating system, pag-format ng disk, at maging ang ilang kumpletong pag-reboot.

Ang problema ay karamihan sa mga solusyon sa seguridad Hindi nila sinusuri ang firmware o microcodeAt kahit na mangyari man, ang remediation ay kumplikado. Mabuti na lang, ang mga pamamaraang ito ay karaniwang nakalaan para sa mga sopistikadong aktor at hindi karaniwan sa mga malawakang pag-atake.

Uri II: Hindi direktang paggamit ng mga file

Ang pangalawang grupo ay batay sa naglalaman ng malisyosong code sa mga istrukturang nakaimbak sa diskNgunit hindi tulad ng mga tradisyunal na executable, kundi sa mga repository na pinaghahalo ang lehitimo at malisyosong data, mahirap linisin nang hindi nasisira ang sistema.

Ang mga karaniwang halimbawa ay mga script na nakaimbak sa Repositoryo ng WMI, mga nakalilitong kadena sa mga registry key o mga naka-iskedyul na gawain na naglulunsad ng mga mapanganib na utos nang walang malinaw na malisyosong binary. Maaaring i-install ng malware ang mga entry na ito nang direkta mula sa command line o isang script at pagkatapos ay mananatiling halos hindi nakikita.

Bagama't teknikal na may mga file na kasangkot (ang pisikal na file kung saan iniimbak ng Windows ang WMI repository o ang Registry hive), para sa praktikal na layunin ay pinag-uusapan natin ang aktibidad na walang file dahil walang malinaw na executable na basta na lang pwedeng i-quarantine.

Uri III: Nangangailangan ng mga file upang gumana

Kasama sa ikatlong uri ang mga banta na Gumagamit sila ng mga file, ngunit sa paraang hindi gaanong kapaki-pakinabang para sa pag-detect.Isang kilalang halimbawa ay ang Kovter, na nagrerehistro ng mga random na extension sa Registry upang, kapag binuksan ang isang file na may extension na iyon, isang script ang isinasagawa sa pamamagitan ng mshta.exe o isang katulad na native binary.

Ang mga decoy file na ito ay naglalaman ng mga hindi kaugnay na datos, at ang tunay na malisyosong code Ito ay kinukuha mula sa iba pang mga Registry key o mga panloob na repositoryo. Bagama't mayroong "isang bagay" sa disk, hindi ito madaling gamitin bilang isang maaasahang tagapagpahiwatig ng kompromiso, lalo na bilang isang direktang mekanismo ng paglilinis.

Mga pinakakaraniwang vector ng pagpasok at mga punto ng impeksyon

Bukod sa pag-uuri ng bakas ng paa, mahalagang maunawaan kung paano Dito pumapasok ang malware na walang persistent files. Sa pang-araw-araw na buhay, kadalasang pinagsasama ng mga umaatake ang ilang mga vector depende sa kapaligiran at sa target.

Mga pagsasamantala at kahinaan

Isa sa mga pinakadirektang landas ay ang pang-aabuso sa mga kahinaan sa pagpapatupad ng remote code (RCE) sa mga browser, plugin (tulad ng Flash noon), mga web application, o mga serbisyo ng network (SMB, RDP, atbp.). Ang exploit ay nagtutulak ng shellcode na direktang nagda-download o nagde-decode ng malisyosong payload sa memorya.

Sa modelong ito, ang unang file ay maaaring nasa network (uri ng exploits WannaCryo sa isang dokumentong binubuksan ng gumagamit, ngunit Ang payload ay hindi kailanman isinusulat bilang isang executable sa disk: ito ay dine-decrypt at isinasagawa nang mabilisan mula sa RAM.

Mga nakakahamak na dokumento at macro

Isa pang malawakang ginagamit na paraan ay ang Mga dokumento sa opisina na may mga macro o DDEpati na rin ang mga PDF na idinisenyo upang samantalahin ang mga kahinaan ng mambabasa. Ang isang tila hindi nakakapinsalang Word o Excel file ay maaaring maglaman ng VBA code na naglulunsad ng PowerShell, WMI, o iba pang mga interpreter upang mag-download ng code, magpatupad ng mga utos, o magpasok ng shellcode sa mga pinagkakatiwalaang proseso.

Dito, ang file sa disk ay "isa lamang" na lalagyan ng datos, habang ang aktwal na vector ay ang panloob na scripting engine ng aplikasyonSa katunayan, maraming malawakang kampanya ng spam ang inabuso ang taktikang ito upang mag-deploy ng mga pag-atakeng walang file sa mga corporate network.

Mga lehitimong script at binary (Pamumuhay sa Lupa)

Gustung-gusto ng mga umaatake ang mga tool na ibinibigay na ng Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Instrumentasyon sa Pamamahala ng Windows, BITS, atbp. Ang mga nilagdaang at pinagkakatiwalaang binary na ito ay maaaring magpatakbo ng mga script, DLL, o remote na nilalaman nang hindi nangangailangan ng isang kahina-hinalang "virus.exe".

Sa pamamagitan ng pagpasa ng malisyosong code bilang mga parameter ng command lineAng pag-embed nito sa mga imahe, pag-encrypt at pag-decode nito sa memorya, o pag-iimbak nito sa Registry, ay tinitiyak na ang antivirus ay makakakita lamang ng aktibidad mula sa mga lehitimong proseso, kaya mas nagiging mahirap ang pag-detect batay lamang sa mga file.

Nakompromisong hardware at firmware

Sa mas mababang antas pa, maaaring makalusot ang mga advanced attackers BIOS firmware, mga network card, mga hard drive, o kahit mga subsystem ng pamamahala ng CPU (tulad ng Intel ME o AMT). Ang ganitong uri ng malware ay tumatakbo sa ilalim ng operating system at maaaring maharang o baguhin ang trapiko nang hindi ito namamalayan ng OS.

Bagama't isa itong matinding senaryo, inilalarawan nito ang lawak kung saan maaaring maapektuhan ng isang banta na walang file ang... Panatilihin ang pagtitiyaga nang hindi naaapektuhan ang OS file systemat kung bakit nagkukulang ang mga klasikong endpoint tool sa mga kasong ito.

Paano gumagana ang isang pag-atake ng malware nang walang mga persistent file

Sa antas ng daloy, ang isang fileless attack ay halos kapareho ng isang file-based attack, ngunit may mga kaugnay na pagkakaiba sa kung paano ipinapatupad ang payload at kung paano pinapanatili ang access.

1. Unang pag-access sa sistema

Nagsisimula ang lahat kapag ang umaatake ay nakakuha ng unang pagkakataon: isang phishing email na may malisyosong link o attachment, isang pagsasamantala laban sa isang mahinang application, mga ninakaw na kredensyal para sa RDP o VPN, o kahit isang binagong USB device.

Sa yugtong ito, ang mga sumusunod ay ginagamit: engineering sa lipunanmga malisyosong pag-redirect, mga kampanyang nag-ma-malvertise, o mga malisyosong pag-atake ng Wi-Fi upang linlangin ang user na mag-click kung saan hindi dapat o upang pagsamantalahan ang mga serbisyong nakalantad sa Internet.

2. Pagpapatupad ng malisyosong code sa memorya

Kapag nakuha na ang unang entry na iyon, ang fileless component ay mati-trigger: isang Office macro ang maglulunsad ng PowerShell, isang exploit ang mag-i-inject ng shellcode, isang WMI subscription ang magti-trigger ng script, atbp. Ang layunin ay Mag-load ng malisyosong code nang direkta sa RAMalinman sa pamamagitan ng pag-download nito mula sa Internet o sa pamamagitan ng muling pagbuo nito mula sa naka-embed na data.

Mula roon, maaari nang dagdagan ang mga pribilehiyo, gumalaw nang pahilig, magnakaw ng mga kredensyal, mag-deploy ng mga webshell, mag-install ng mga RAT, o mag-encrypt ng datalahat ng ito ay sinusuportahan ng mga lehitimong proseso upang mabawasan ang ingay.

3. Pagtatatag ng pagtitiyaga

Kabilang sa mga karaniwang pamamaraan ay:

• Mga Autorun Key sa Registry na nagpapatupad ng mga command o script kapag nagla-log in.
• Mga naka-iskedyul na gawain na naglulunsad ng mga script, lehitimong binary na may mga parameter, o mga remote command.
• Mga Subscription sa WMI na nagti-trigger code kapag may ilang partikular na kaganapan sa sistema.
• Paggamit ng BITS para sa pana-panahong pag-download ng mga payload mula sa mga command at control server.

Sa mga pagkakataon, ang persistent component ay minimal at nagsisilbi lamang sa muling ipasok ang malware sa memorya sa tuwing magsisimula ang sistema o matutugunan ang isang partikular na kondisyon.

4. Mga aksyon sa mga target at exfiltration

Taglay ang katiyakan ng pagtitiyaga, ang umaatake ay nakatuon sa kung ano talaga ang kanyang kinagigiliwan: pagnanakaw ng impormasyon, pag-encrypt nito, pagmamanipula ng mga sistema, o pag-eespiya nang ilang buwanMaaaring gawin ang exfiltration sa pamamagitan ng HTTPS, DNS, mga covert channel, o mga lehitimong serbisyo. Sa mga insidente sa totoong mundo, ang pag-alam Ano ang gagawin sa unang 24 na oras pagkatapos ng isang hack maaaring gumawa ng pagkakaiba.

Sa mga pag-atake ng APT, karaniwan na nananatili ang malware tahimik at palihim sa mahabang panahon, pagtatayo ng mga karagdagang pinto sa likod upang matiyak ang pag-access kahit na may bahagi ng imprastraktura na matukoy at ma-clear.

Mga kakayahan at uri ng malware na maaaring maging walang file

Halos anumang malisyosong tungkulin na kayang gampanan ng klasikong malware ay maaaring ipatupad sa pamamagitan ng pagsunod sa pamamaraang ito. walang file o kalahating-walang fileAng nagbabago ay hindi ang layunin, kundi ang paraan ng pag-deploy ng code.

Malware na naninirahan lamang sa memorya

Kasama sa kategoryang ito ang mga kargamento na Nabubuhay lamang sila sa memorya ng proseso o ng kernel.Ang mga modernong rootkit, advanced backdoor, o spyware ay maaaring mag-load sa memory space ng isang lehitimong proseso at manatili doon hanggang sa ma-restart ang system.

Ang mga bahaging ito ay lalong mahirap makita gamit ang mga disk-oriented na tool, at pinipilit ang paggamit ng pagsusuri ng buhay na memorya, EDR na may real-time na inspeksyon o mga advanced na kakayahan sa forensic.

Malware na nakabatay sa Windows Registry

Ang isa pang paulit-ulit na pamamaraan ay ang pag-iimbak naka-encrypt o natatakpang code sa mga Registry key at gumamit ng lehitimong binary (tulad ng PowerShell, MSHTA, o rundll32) upang basahin, i-decode, at isagawa ito sa memorya.

Ang unang dropper ay maaaring kusang masira pagkatapos magsulat sa Registry, kaya ang natitira na lang ay isang halo ng tila hindi nakakapinsalang data na Ina-activate nila ang banta sa tuwing magsisimula ang sistema o sa tuwing bubuksan ang isang partikular na file.

Ransomware at mga Trojan na walang file

Ang pamamaraang walang file ay hindi tugma sa mga napakaagresibong pamamaraan ng paglo-load tulad ng ransomwareMay mga kampanyang nagda-download, nagde-decrypt, at nagsasagawa ng buong encryption sa memory gamit ang PowerShell o WMI, nang hindi iniiwan ang executable ng ransomware sa disk.

Katulad nito, mga remote access trojan (RAT)Ang mga keylogger o mga magnanakaw ng kredensyal ay maaaring gumana sa isang semi-fileless na paraan, naglo-load ng mga module kapag hiniling at nagho-host ng pangunahing lohika sa mga lehitimong proseso ng system.

Mga exploitation kit at mga ninakaw na kredensyal

Ang mga web exploit kit ay isa pang bahagi ng palaisipan: natutukoy ng mga ito ang naka-install na software, Pinipili nila ang naaangkop na exploit at direktang ini-inject ang payload sa memory., kadalasan nang walang anumang sine-save sa disk.

Sa kabilang banda, ang paggamit ng ninakaw na mga kredensyal Ito ay isang vector na akmang-akma sa mga pamamaraang walang file: ang attacker ay nagpapatotoo bilang isang lehitimong user at, mula roon, inaabuso ang mga katutubong administratibong tool (PowerShell Remoting, WMI, PsExec) upang mag-deploy ng mga script at command na hindi nag-iiwan ng mga klasikong bakas ng malware.

Bakit napakahirap matukoy ang fileless malware?

Ang pinagbabatayang dahilan ay ang ganitong uri ng banta ay partikular na idinisenyo upang laktawan ang mga tradisyonal na patong ng depensabatay sa mga lagda, whitelist, at pana-panahong pag-scan ng file.

Kung ang malisyosong code ay hindi kailanman na-save bilang isang executable sa disk, o kung ito ay nagtatago sa magkahalong container tulad ng WMI, ang Registry, o firmware, ang tradisyonal na antivirus software ay walang gaanong kailangang suriin. Sa halip na isang "kahina-hinalang file," ang mayroon ka ay mga lehitimong proseso na kumikilos nang hindi normal.

Bukod pa rito, radikal nitong hinaharangan ang mga tool tulad ng PowerShell, Office macros, o WMI. Hindi ito praktikal sa maraming organisasyonDahil mahalaga ang mga ito para sa administrasyon, automation, at pang-araw-araw na operasyon. Pinipilit nito ang mga tagapagtaguyod na maging maingat.

Sinubukan ng ilang vendor na makabawi gamit ang mga mabilisang solusyon (generic PowerShell blocking, total macro disabled, cloud-only detection, atbp.), ngunit ang mga hakbang na ito ay karaniwang hindi sapat o labis na nakakagambala para sa negosyo.

Mga modernong estratehiya para sa pagtuklas at paghinto ng fileless malware

Upang harapin ang mga bantang ito, kinakailangang lumampas pa sa simpleng pag-scan ng mga file at gumamit ng isang nakatutok na diskarte. pag-uugali, real-time telemetry, at malalim na kakayahang makita ng huling punto.

Pagsubaybay sa pag-uugali at memorya

Ang isang epektibong pamamaraan ay kinabibilangan ng pagmamasid sa kung ano talaga ang ginagawa ng mga proseso: anong mga utos ang kanilang isinasagawa, anong mga mapagkukunan ang kanilang ina-access, anong mga koneksyon ang kanilang itinatatagkung paano sila nauugnay sa isa't isa, atbp. Bagama't libu-libong variant ng malware ang umiiral, mas limitado ang mga pattern ng malisyosong pag-uugali. Maaari rin itong dagdagan ng Mas mataas na pag-detect gamit ang YARA.

Pinagsasama ng mga modernong solusyon ang telemetry na ito sa in-memory analytics, advanced heuristics, at pag-aaral ng makina upang matukoy ang mga kadena ng pag-atake, kahit na ang code ay lubhang nalilito o hindi pa nakikita noon.

Paggamit ng mga interface ng sistema tulad ng AMSI at ETW

Nag-aalok ang Windows ng mga teknolohiya tulad ng Antimalware Scan Interface (AMSI) y Pagsubaybay sa Kaganapan para sa Windows (ETW) Ang mga mapagkukunang ito ay nagbibigay-daan para sa inspeksyon ng mga script at kaganapan ng system sa napakababang antas. Ang pagsasama ng mga mapagkukunang ito sa mga solusyon sa seguridad ay nagpapadali sa pagtuklas. malisyosong code bago o habang isinasagawa ito.

Bukod pa rito, ang pagsusuri sa mga kritikal na lugar—mga naka-iskedyul na gawain, mga subscription sa WMI, mga boot registry key, atbp.—ay nakakatulong upang matukoy palihim na walang file na pagtitiyaga na maaaring hindi mapansin sa isang simpleng pag-scan ng file.

Pangangaso ng banta at mga palatandaan ng pag-atake (IoA)

Dahil hindi sapat ang mga klasikong indicator (hashes, file paths), ipinapayong umasa sa mga indikasyon ng pag-atake (IoA), na naglalarawan ng mga kahina-hinalang pag-uugali at pagkakasunud-sunod ng mga aksyon na umaakma sa mga kilalang taktika.

Ang mga pangkat ng pangangaso ng banta—panloob o sa pamamagitan ng mga pinamamahalaang serbisyo—ay maaaring proaktibong maghanap mga pattern ng paggalaw sa gilid, pag-abuso sa mga katutubong kagamitan, mga anomalya sa paggamit ng PowerShell o hindi awtorisadong pag-access sa sensitibong data, na nakakakita ng mga banta na walang file bago pa man ito magdulot ng sakuna.

EDR, XDR at SOC 24/7

Mga modernong plataporma ng EDR at XDR (Ang pagtukoy at pagtugon ng endpoint sa mas malawak na antas) ay nagbibigay ng kakayahang makita at ugnayan na kinakailangan upang muling buuin ang kumpletong kasaysayan ng isang insidente, mula sa unang phishing email hanggang sa panghuling exfiltration.

Kasama ang isang 24/7 na operasyonal na SOCHindi lamang nila pinapayagan ang pagtuklas, kundi pati na rin awtomatikong maglaman at magresolba malisyosong aktibidad: ihiwalay ang mga computer, harangan ang mga proseso, ibalik ang mga pagbabago sa Registry, o i-undo ang encryption kung maaari.

Binago na ng mga pamamaraan ng fileless malware ang sitwasyon: hindi na sapat ang simpleng pagpapatakbo ng antivirus scan at pagbura ng kahina-hinalang executable. Sa kasalukuyan, ang depensa ay kinabibilangan ng pag-unawa kung paano sinasamantala ng mga attacker ang mga kahinaan sa pamamagitan ng pagtatago ng code sa memory, Registry, WMI, o firmware, at pag-deploy ng kombinasyon ng behavioral monitoring, in-memory analysis, EDR/XDR, threat hunting, at mga pinakamahusay na kasanayan. Makatotohanang bawasan ang epekto Ang mga pag-atake na, sa pamamagitan ng disenyo, ay nagtatangkang mag-iwan ng bakas kung saan ang hitsura ng mas tradisyonal na mga solusyon ay nangangailangan ng isang holistic at patuloy na estratehiya. Kung sakaling magkaroon ng kompromiso, ang pag-alam Ayusin ang Windows pagkatapos ng isang malubhang virus ay kailangan.