Xác định các tệp không có tệp: hướng dẫn đầy đủ về cách phát hiện và ngăn chặn phần mềm độc hại trong bộ nhớ

Các cuộc tấn công hoạt động mà không để lại dấu vết trên đĩa đã trở thành vấn đề đau đầu đối với nhiều nhóm bảo mật vì chúng thực thi hoàn toàn trong bộ nhớ và khai thác các quy trình hệ thống hợp pháp. Do đó, việc biết cách xác định các tập tin không có tệp và tự vệ trước chúng.

Ngoài các tiêu đề và xu hướng, việc hiểu cách chúng hoạt động, lý do tại sao chúng lại khó nắm bắt đến vậy, và những dấu hiệu nào cho phép chúng ta phát hiện ra chúng sẽ tạo nên sự khác biệt giữa việc ngăn chặn một sự cố và hối tiếc về một vi phạm. Trong những dòng tiếp theo, chúng tôi sẽ phân tích vấn đề và đề xuất các giải pháp.

Phần mềm độc hại không có tệp là gì và tại sao nó lại quan trọng?

 

Phần mềm độc hại không có tệp không phải là một họ cụ thể mà là một cách hoạt động: Tránh ghi các tập tin thực thi vào đĩa Nó sử dụng các dịch vụ và tệp nhị phân có sẵn trong hệ thống để thực thi mã độc. Thay vì để lại một tệp dễ quét, kẻ tấn công lợi dụng các tiện ích đáng tin cậy và tải trực tiếp logic của nó vào RAM.

Cách tiếp cận này thường được bao hàm trong triết lý 'Sống nhờ đất đai': những kẻ tấn công lợi dụng các công cụ gốc như PowerShell, WMI, mshta, rundll32 hoặc các công cụ viết kịch bản như VBScript và JScript để đạt được mục tiêu với độ ồn tối thiểu.

Trong số những đặc điểm tiêu biểu nhất của nó, chúng ta thấy: thực thi trong bộ nhớ dễ bay hơi, ít hoặc không có sự lưu trữ trên đĩa, sử dụng các thành phần được hệ thống ký và khả năng trốn tránh cao đối với các công cụ dựa trên chữ ký.

Mặc dù nhiều tải trọng biến mất sau khi khởi động lại, nhưng đừng để bị lừa: kẻ thù có thể thiết lập sự kiên trì bằng cách tận dụng các khóa Registry, đăng ký WMI hoặc các tác vụ theo lịch trình, tất cả mà không để lại các tệp nhị phân đáng ngờ trên đĩa.

Tại sao chúng ta lại thấy khó khăn khi xác định các tệp không có tệp?

Rào cản đầu tiên rất rõ ràng: Không có tập tin bất thường nào để kiểm traCác chương trình diệt vi-rút truyền thống dựa trên chữ ký và phân tích tệp có ít chỗ để điều động khi thực thi nằm trong các tiến trình hợp lệ và logic độc hại nằm trong bộ nhớ.

Thứ hai là tinh vi hơn: những kẻ tấn công ngụy trang mình đằng sau các quy trình hệ điều hành hợp phápNếu PowerShell hoặc WMI được sử dụng hàng ngày cho mục đích quản trị, làm sao bạn có thể phân biệt được việc sử dụng bình thường với việc sử dụng có chủ đích mà không có bối cảnh và dữ liệu theo dõi hành vi?

Hơn nữa, việc chặn mù quáng các công cụ quan trọng là không khả thi. Việc vô hiệu hóa các macro PowerShell hoặc Office trên diện rộng có thể làm gián đoạn hoạt động và Nó không ngăn chặn hoàn toàn các hành vi lạm dụngvì có nhiều đường dẫn thực thi và kỹ thuật thay thế để tránh các khối đơn giản.

Tệ hơn nữa, việc phát hiện dựa trên đám mây hoặc phía máy chủ là quá muộn để ngăn chặn sự cố. Nếu không có khả năng hiển thị cục bộ theo thời gian thực về vấn đề... dòng lệnh, mối quan hệ quy trình và sự kiện nhật kýTác nhân không thể giảm thiểu ngay lập tức luồng độc hại không để lại dấu vết trên đĩa.

Cách thức hoạt động của một cuộc tấn công không có tệp từ đầu đến cuối

Truy cập ban đầu thường diễn ra với cùng các vectơ như mọi khi: lừa đảo bằng tài liệu văn phòng yêu cầu kích hoạt nội dung hoạt động, liên kết đến các trang web bị xâm phạm, khai thác lỗ hổng trong các ứng dụng bị lộ hoặc lạm dụng thông tin đăng nhập bị rò rỉ để truy cập thông qua RDP hoặc các dịch vụ khác.

Khi đã vào bên trong, đối thủ sẽ tìm cách thực hiện mà không chạm vào đĩa. Để làm được điều này, họ kết nối các chức năng của hệ thống: macro hoặc DDE trong tài liệu khởi chạy lệnh, khai thác lỗi tràn bộ nhớ cho RCE hoặc gọi các tệp nhị phân đáng tin cậy cho phép tải và thực thi mã trong bộ nhớ.

Nếu hoạt động yêu cầu tính liên tục, tính bền bỉ có thể được triển khai mà không cần triển khai các tệp thực thi mới: các mục khởi động trong RegistryĐăng ký WMI phản ứng với các sự kiện hệ thống hoặc tác vụ theo lịch trình kích hoạt các tập lệnh trong những điều kiện nhất định.

Với việc thực hiện đã được thiết lập, mục tiêu sẽ quyết định các bước sau: di chuyển theo chiều ngang, lọc dữ liệuĐiều này bao gồm đánh cắp thông tin đăng nhập, triển khai RAT, đào tiền điện tử hoặc kích hoạt mã hóa tệp trong trường hợp ransomware. Tất cả những điều này đều được thực hiện, nếu có thể, bằng cách tận dụng các chức năng hiện có.

Việc xóa bằng chứng là một phần của kế hoạch: bằng cách không viết các tệp nhị phân đáng ngờ, kẻ tấn công sẽ giảm đáng kể các hiện vật cần phân tích. kết hợp hoạt động của họ giữa các sự kiện bình thường của hệ thống và xóa các dấu vết tạm thời khi có thể.

Các kỹ thuật và công cụ mà họ thường sử dụng

Danh mục rất rộng, nhưng hầu như luôn xoay quanh các tiện ích gốc và các tuyến đường đáng tin cậy. Đây là một số tiện ích phổ biến nhất, luôn hướng đến mục tiêu tối đa hóa việc thực thi trong bộ nhớ và làm mờ dấu vết:

• PowerShellKhả năng viết mã mạnh mẽ, truy cập API Windows và tự động hóa. Tính linh hoạt của nó khiến nó trở thành lựa chọn ưa thích cho cả mục đích quản trị và tấn công.
• WMI (Công cụ quản lý Windows)Nó cho phép bạn truy vấn và phản ứng với các sự kiện hệ thống, cũng như thực hiện các hành động từ xa và cục bộ; hữu ích cho sự kiên trì và phối hợp.
• VBScript và JScript: các công cụ hiện diện trong nhiều môi trường giúp thực hiện logic thông qua các thành phần hệ thống.
• mshta, rundll32 và các tệp nhị phân đáng tin cậy khác: các LoLBins nổi tiếng, khi được liên kết đúng cách, có thể thực thi mã mà không loại bỏ các hiện vật rõ ràng trên đĩa.
• Tài liệu có nội dung đang hoạt độngMacro hoặc DDE trong Office, cũng như trình đọc PDF có các tính năng nâng cao, có thể đóng vai trò là bàn đạp để khởi chạy các lệnh trong bộ nhớ.
• Đăng ký Windows: khóa tự khởi động hoặc lưu trữ được mã hóa/ẩn các dữ liệu được kích hoạt bởi các thành phần hệ thống.
• Thu giữ và tiêm vào các quá trình: sửa đổi không gian bộ nhớ của các tiến trình đang chạy cho lưu trữ logic độc hại trong một tệp thực thi hợp lệ.
• Bộ dụng cụ phẫu thuật: phát hiện lỗ hổng trong hệ thống của nạn nhân và triển khai các biện pháp khai thác phù hợp để thực hiện mà không cần chạm vào đĩa.

Thách thức đối với các công ty (và tại sao việc chặn mọi thứ đơn giản là không đủ)

Một cách tiếp cận ngây thơ gợi ý một biện pháp quyết liệt: chặn PowerShell, cấm macro, ngăn chặn các tệp nhị phân như rundll32. Thực tế phức tạp hơn: Nhiều công cụ trong số này là cần thiết. cho các hoạt động CNTT hàng ngày và tự động hóa hành chính.

Ngoài ra, kẻ tấn công còn tìm kiếm lỗ hổng: chạy công cụ viết kịch bản theo những cách khác, sử dụng các bản sao thay thếBạn có thể đóng gói logic trong hình ảnh hoặc sử dụng LoLBins ít được giám sát hơn. Việc chặn brute cuối cùng sẽ tạo ra xung đột mà không cung cấp khả năng phòng thủ toàn diện.

Phân tích thuần túy trên máy chủ hoặc dựa trên đám mây cũng không giải quyết được vấn đề. Nếu không có dữ liệu từ xa phong phú ở điểm cuối và không có khả năng phản ứng của chính tác nhânQuyết định được đưa ra muộn và việc phòng ngừa là không khả thi vì chúng ta phải chờ phán quyết từ bên ngoài.

Trong khi đó, các báo cáo thị trường từ lâu đã chỉ ra sự tăng trưởng rất đáng kể trong lĩnh vực này, với các đỉnh điểm mà Các nỗ lực lạm dụng PowerShell gần như tăng gấp đôi trong thời gian ngắn, điều này khẳng định rằng đây là chiến thuật thường xuyên và có lợi cho đối thủ.

Phát hiện hiện đại: từ tệp đến hành vi

Điều quan trọng không phải là ai thực hiện, mà là như thế nào và tại sao. Giám sát hành vi quá trình và mối quan hệ của nó Nó mang tính quyết định: dòng lệnh, kế thừa quy trình, lệnh gọi API nhạy cảm, kết nối đi, sửa đổi sổ đăng ký và sự kiện WMI.

Cách tiếp cận này làm giảm đáng kể bề mặt trốn tránh: ngay cả khi các nhị phân liên quan thay đổi, các kiểu tấn công được lặp lại (các tập lệnh tải xuống và thực thi trong bộ nhớ, lạm dụng LoLBins, gọi trình thông dịch, v.v.). Phân tích tập lệnh đó, chứ không phải 'bản sắc' của tệp, sẽ cải thiện khả năng phát hiện.

Các nền tảng EDR/XDR hiệu quả sẽ liên kết các tín hiệu để tái tạo lại toàn bộ lịch sử sự cố, xác định nguyên nhân gốc rễ Thay vì đổ lỗi cho quá trình 'xuất hiện', câu chuyện này liên kết các tệp đính kèm, macro, trình thông dịch, tải trọng và tính bền bỉ để giảm thiểu toàn bộ luồng, chứ không chỉ một phần riêng lẻ.

Việc áp dụng các khuôn khổ như MITER ATT & CK Nó giúp lập bản đồ các chiến thuật và kỹ thuật quan sát được (TTP) và hướng dẫn việc săn tìm mối đe dọa theo các hành vi quan tâm: thực hiện, kiên trì, trốn tránh phòng thủ, truy cập thông tin xác thực, phát hiện, di chuyển ngang và xâm nhập.

Cuối cùng, việc phối hợp phản hồi điểm cuối phải diễn ra ngay lập tức: cô lập thiết bị, kết thúc quá trình có liên quan, khôi phục các thay đổi trong Registry hoặc trình lập lịch tác vụ và chặn các kết nối đi đáng ngờ mà không cần chờ xác nhận từ bên ngoài.

Dữ liệu đo từ xa hữu ích: cần xem xét những gì và cách ưu tiên

Để tăng khả năng phát hiện mà không làm bão hòa hệ thống, nên ưu tiên các tín hiệu có giá trị cao. Một số nguồn và biện pháp kiểm soát cung cấp ngữ cảnh. quan trọng đối với việc không có tệp âm thanh:

• Nhật ký PowerShell chi tiết và các trình thông dịch khác: nhật ký khối tập lệnh, lịch sử lệnh, mô-đun đã tải và sự kiện AMSI, nếu có.
• Kho lưu trữ WMIKiểm kê và cảnh báo về việc tạo hoặc sửa đổi bộ lọc sự kiện, người tiêu dùng và liên kết, đặc biệt là trong các không gian tên nhạy cảm.
• Sự kiện bảo mật và Sysmon: tương quan quy trình, tính toàn vẹn của hình ảnh, tải bộ nhớ, đưa dữ liệu vào và tạo các tác vụ theo lịch trình.
• đỏ: kết nối ra bất thường, tín hiệu, mẫu tải xuống dữ liệu và sử dụng kênh bí mật để xâm nhập.

Tự động hóa giúp phân biệt lúa mì với trấu: các quy tắc phát hiện dựa trên hành vi, danh sách cho phép quản lý hợp pháp và việc bổ sung thông tin tình báo về mối đe dọa sẽ hạn chế các kết quả dương tính giả và đẩy nhanh phản ứng.

Phòng ngừa và giảm thiểu bề mặt

Không có biện pháp đơn lẻ nào là đủ, nhưng một hệ thống phòng thủ nhiều lớp sẽ giảm thiểu đáng kể rủi ro. Về mặt phòng ngừa, có một số biện pháp nổi bật sau: cắt vectơ và làm cho cuộc sống của kẻ thù trở nên khó khăn hơn:

• Quản lý vĩ mô: vô hiệu hóa theo mặc định và chỉ cho phép khi thực sự cần thiết và được ký; kiểm soát chi tiết thông qua chính sách nhóm.
• Hạn chế trình thông dịch và LoLBins: Áp dụng AppLocker/WDAC hoặc tương đương, kiểm soát các tập lệnh và mẫu thực thi với chức năng ghi nhật ký toàn diện.
• Bản vá và biện pháp giảm thiểu: đóng các lỗ hổng có thể khai thác và kích hoạt các biện pháp bảo vệ bộ nhớ giúp hạn chế RCE và tấn công tiêm mã độc.
• Xác thực mạnh mẽNguyên tắc MFA và không tin cậy để hạn chế lạm dụng thông tin xác thực và giảm chuyển động ngang.
• Nhận thức và mô phỏngĐào tạo thực tế về lừa đảo, tài liệu có nội dung hoạt động và dấu hiệu thực hiện bất thường.

Các biện pháp này được bổ sung bằng các giải pháp phân tích lưu lượng và bộ nhớ để xác định hành vi độc hại theo thời gian thực, cũng như chính sách phân khúc và các đặc quyền tối thiểu để hạn chế tác động khi có điều gì đó xảy ra.

Các dịch vụ và phương pháp đang hoạt động

Trong môi trường có nhiều điểm cuối và mức độ quan trọng cao, các dịch vụ phát hiện và phản hồi được quản lý với Giám sát 24/7 Chúng đã được chứng minh là có thể đẩy nhanh quá trình ngăn chặn sự cố. Sự kết hợp giữa SOC, EMDR/MDR và ​​EDR/XDR mang lại góc nhìn chuyên môn, dữ liệu từ xa phong phú và khả năng ứng phó phối hợp.

Các nhà cung cấp hiệu quả nhất đã nội tâm hóa sự thay đổi hành vi: các tác nhân nhẹ tương quan hoạt động ở cấp độ hạt nhânChúng tái tạo lại toàn bộ lịch sử tấn công và áp dụng các biện pháp giảm thiểu tự động khi phát hiện chuỗi độc hại, cùng khả năng khôi phục để hoàn tác các thay đổi.

Song song đó, các bộ bảo vệ điểm cuối và nền tảng XDR tích hợp khả năng hiển thị tập trung và quản lý mối đe dọa trên các máy trạm, máy chủ, danh tính, email và đám mây; mục tiêu là tháo dỡ chuỗi tấn công bất kể có liên quan đến tập tin hay không.

Các chỉ số thực tế để săn lùng mối đe dọa

Nếu bạn phải ưu tiên các giả thuyết tìm kiếm, hãy tập trung vào việc kết hợp các tín hiệu: một quy trình văn phòng khởi chạy trình thông dịch với các tham số bất thường, Tạo đăng ký WMI Sau khi mở tài liệu, các thay đổi đối với khóa khởi động sẽ được thực hiện, sau đó là kết nối đến các miền có uy tín kém.

Một cách tiếp cận hiệu quả khác là dựa vào các đường cơ sở từ môi trường của bạn: điều gì là bình thường trên máy chủ và máy trạm của bạn? Bất kỳ sự sai lệch nào (các tệp nhị phân mới được ký xuất hiện dưới dạng cha của trình thông dịch, sự tăng đột biến về hiệu suất (của các tập lệnh, chuỗi lệnh có ẩn ý) đáng được điều tra.

Cuối cùng, đừng quên bộ nhớ: nếu bạn có các công cụ kiểm tra các vùng đang chạy hoặc chụp ảnh nhanh, những phát hiện trong RAM Chúng có thể là bằng chứng xác thực về hoạt động không có tệp, đặc biệt là khi không có hiện tượng bất thường nào trong hệ thống tệp.

Sự kết hợp của các chiến thuật, kỹ thuật và biện pháp kiểm soát này không loại bỏ được mối đe dọa, nhưng giúp bạn phát hiện mối đe dọa kịp thời hơn. cắt dây xích và giảm thiểu tác động.

Khi tất cả những điều này được áp dụng một cách thận trọng—đo từ xa giàu điểm cuối, tương quan hành vi, phản hồi tự động và củng cố có chọn lọc—thì chiến thuật không cần tệp sẽ mất đi phần lớn lợi thế của nó. Và, mặc dù nó sẽ tiếp tục phát triển, tập trung vào hành vi Thay vì nằm trong các tập tin, nó cung cấp nền tảng vững chắc để phòng thủ của bạn phát triển cùng với nó.