El bez faila ļaunprogrammatūra Tā ir kļuvusi par vienu no nopietnākajām galvassāpēm drošības komandām un sistēmu administratoriem. Atšķirībā no klasiskās ļaunprogrammatūras, tā nepaļaujas uz diskā saglabātajiem izpildāmajiem failiem, bet gan uz Tas gandrīz pilnībā dzīvo atmiņā. Un tas izmanto likumīgus sistēmas procesus un rīkus. Tas nozīmē, ka daudzas tradicionālās pretvīrusu programmas, kas joprojām galvenokārt skenē failus diskā, to pat neatklās.
Situāciju vēl vairāk pasliktina tas, ka uzbrucēji apvieno bezfailu ļaunprogrammatūru ar sociālā inženierija, uzbrukumu izmantošanas un administrēšanas rīki piemēram, PowerShell, WMI vai Office skriptus. Rezultāts: ļoti slepens uzbrukuma veids, kas ir ideāli piemērots spiegošanas kampaņām, akreditācijas datu zādzībām, izspiedējvīrusiem vai ilgstošai sānu pārvietošanai korporatīvajā tīklā, bieži vien neatstājot praktiski nekādas forenzikas pēdas.
Kas īsti ir bezfailu ļaunprogrammatūra?
Kad mēs runājam par bezfailu ļaunprogrammatūra Mēs runājam par ļaunprātīgu kodu, kas Jums nav nepieciešams pievienot failu sistēmai jaunus izpildāmos failus. lai darbotos. Parasti uzbrucējs ievada savu lietderīgo slodzi procesos, kas jau darbojas, vai izmanto pašas operētājsistēmas skriptēšanas un automatizācijas rīkus, lai izpildītu savu loģiku. Datora operatīvā atmiņa (RAM).
Šāda veida draudi, nevis tipiska ļaunprātīga .exe faila ievietošana Tā koncentrējas uz uzticamu lietojumprogrammu bojāšanu. (PowerShell, WMI, pārlūkprogrammas, Office lietojumprogrammas utt.) vai ļaunprātīgi izmantojot dokumentos iegultās funkcijas (makro, DDE, PDF lasītāju ievainojamības). Tādā veidā ļaunprātīgais kods tiek izpildīts, izmantojot procesus, kas daudziem drošības risinājumiem šķiet pilnīgi likumīgi.
Viena tieša sekas ir tā, ka nav skenējama “reta faila” Nav acīmredzama paraksta, ar ko to salīdzināt. Kods ielādējas atmiņā, tiek izpildīts, veic savu darbu (zog datus, izvieto aizmugurējās durvis, šifrē failus, pārvietojas tīklā…) un bieži vien pazūd pēc pārstartēšanas, ja vien uzbrucējs nav iestatījis kādu saglabāšanas mehānismu.
Ir svarīgi precizēt, ka ne visi bezfailu uzbrukumi atstāj 100% pēdas diskā. Dažreiz ir sākotnējais dokuments, skripts vai izmantošana, bet galvenā darbība (bīstamā daļa) tiek izpildīta. tieši no atmiņas un mēģiniet noņemt vai samazināt pēdas failu sistēmā.
Raksturīgās iezīmes un kāpēc to ir tik grūti atklāt
Viena no bezfailu ļaunprogrammatūras raksturīgākajām iezīmēm ir tās tīra izpilde atmiņākas sarežģī lietas atklāt slēptus procesus un rootkitĻaunprātīgā slodze tiek ievadīta esošajos procesos vai interpretēta no skripta un paliek RAM atmiņā, kamēr dators ir ieslēgts. Daudzi uz diskiem balstīti noteikšanas mehānismi vienkārši nepamana, kas notiek.
Vēl viena svarīga iezīme ir tā, ka kopumā tai ir ierobežota noturība, ja netiek izdomāts papildu triksTā kā RAM ir nepastāvīga, sistēmas restartēšana novērš šo uzbrukuma daļu. Draudu izpildītāji to zina, tāpēc viņi bieži papildina bezfailu daļu ar tādām metodēm kā Windows reģistra, ieplānoto uzdevumu vai WMI abonementu izmantošana, lai nodrošinātu nepārtrauktu piekļuvi.
Turklāt šāda veida uzbrukums balstās uz koncepciju par "Dzīvošana no zemes"Izmantojot sistēmā jau iekļautos rīkus — PowerShell, WMI, .NET, Microsoft parakstītas Windows utilītas —, nevis ieviešot ārējus bināros failus. Tas nozīmē, ka uzbrucējs Tas saplūst ar likumīgo pārvaldi vides, kas lielos korporatīvajos tīklos ir ideāli piemērots tam, lai mēnešiem ilgi paliktu nepamanīts.
Tas viss rada risinājumus, kuru pamatā ir paraksti un baltie saraksti To loma ir diezgan ierobežota. Ja antivīruss ir izstrādāts, lai identificētu aizdomīgus izpildāmos failus vai bloķētu neatļautas programmas, bet uzbrukums tiek veikts PowerShell, Word vai sistēmas procesa ietvaros, manevrēšanas iespējas ievērojami samazinās.
Visbeidzot kriminālistikas artefakti Bezfailu ļaunprogrammatūras atstātās pēdas bieži vien ir nelielas vai ļoti nemanāmas. Dažreiz tā ir tikai dīvaina reģistra atslēga, nevietā esošs WMI abonements vai neparastas komandas PowerShell žurnālos. Bez agresīvas reģistrēšanas politikas un aktīvas uzraudzības šie signāli pazūd troksnī.
Ievades vektori un tipiska bezfailu uzbrukuma darbība
Lai gan "bezfailu" daļa koncentrējas uz atmiņu, uzbrukums Tas gandrīz vienmēr sākas tāpat kā jebkura cita ielaušanāsCaur sākotnējo vektoru, kas paver durvis pretiniekam. Visizplatītākās metodes joprojām ir e-pasts un tīmeklis, ko papildina sociālā inženierija vai ievainojamību izmantošana.
Cietušajam ir ļoti raksturīgi saņemt Office dokuments ar makro, PDF fails ar ļaunprātīgu JavaScript vai pikšķerēšanas e-pastā esoša saite, kas ved uz apdraudētu vietni. Atverot dokumentu vai noklikšķinot uz tā, tas izpilda makro vai izmanto ievainojamību un palaiž PowerShell skripts vai WMI komanda kas lejupielādē un izpilda ļaunprātīgo lietderīgo slodzi tieši atmiņā.
Citos gadījumos uzbrucējs izmanto priekšrocības nozagtas akreditācijas Lai piekļūtu datoram un no turienes izpildītu administrēšanas skriptus, kas ielādē ļaunprogrammatūru atmiņā, nekad nesaglabājot .exe failu diskā. Pastāv arī 100% bezfailu gadījumi, kad tiek izmantota tīkla ievainojamība, piemēram, SMB protokolā, ļaujot aizmugurējās durvis tieši ievadīt kodolā vai sistēmas procesos.
Kad tas ir iekšā, tipiskā plūsma iziet cauri vairākām fāzēm: sākotnējā piekļuve, noturības noteikšana (ja nepieciešams), datu zādzību vai sānu pārvietošanu un visbeidzot citas vērtuma (piemēram, izspiedējvīrusa) eksfiltrāciju vai izpildi. Katrā no šiem posmiem bezfailu metodes var kombinēt ar cita veida ļaunprogrammatūru, lai izveidotu ļoti sarežģītas kampaņas.
Dažas draudu ģimenes ir masveidā ļaunprātīgi izmantojušas tīmekļa apvalki serveros kur HTTP pieprasījumi satur ļaunprātīgus komponentus, kas tiek ievadīti atmiņā, neko neierakstot diskā. Ir novēroti arī uzbrukumi finanšu iestādēm, kuros PowerShell tika izmantots, lai manipulētu ar likumīgiem procesiem un nozagtu informāciju, neatstājot aiz sevis aizdomīgus izpildāmos failus, ko pretvīrusu programmatūra varētu viegli atklāt.
Rīki un metodes, ko visbiežāk izmanto bezfailu uzbrukumos
Windows ekosistēmā uzbrucēji pastāvīgi izmanto PowerShell Pateicoties tās jaudai un elastībai, tā ir ļoti pilnīga skriptvaloda ar piekļuvi .NET, WMI, reģistram, tīkla pakalpojumiem, failiem un praktiski katram sistēmas stūrim. Ar tikai dažām koda rindiņām varat lejupielādēt kodu no interneta, izpildīt to atmiņā un izdzēst visas redzamās pēdas.
Vēl viena svarīga sastāvdaļa ir WMI (Windows pārvaldības instrumentācija)Kopā ar standarta ekvivalentu CIM šīs saskarnes ļauj lietotājiem vaicāt un modificēt daudzus sistēmas objektus, aktivizēt darbības, reaģējot uz konkrētiem notikumiem, un attālināti pārvaldīt iekārtas. Uzbrucēji tās izmanto gan pēc ekspluatācijas, gan noturībai, izmantojot notikumu filtrus un patērētājus, kas izpilda komandas, kad ir izpildīti noteikti nosacījumi.
El NET Framework. (jeb .NET Core) darbojas kā tehniskais ietvars, uz kura balstās daudzas no šīm metodēm. Izmantojot savas bibliotēkas, ļaunprogrammatūra var mijiedarboties ar WMI, COM, DCOM un citiem komponentiem, līdzīgi kā administrators, izmantojot likumīgus skriptus.
Tas arī izceļ ļaunprātīgu izmantošanu Windows reģistrs kā koda krātuve un sāknēšanas mehānisms. Šajos uzbrukumos sākotnējais izpildāmais fails var pašiznīcināties pēc tā ierakstīšanas reģistrā, tāpēc ļaunprātīgā daļa izdzīvo bez acīmredzama faila, aktivizējoties vēlāk no noteiktām atslēgām, ja ir izpildīti noteikti nosacījumi.
Līdztekus visam iepriekšminētajam uzbrucēji izmanto Microsoft parakstītas utilītas piemēram, rundll32, mshta un citi sistēmas binārie faili, kas ļauj izpildīt skriptus vai DLL. Tā kā šie ir uzticami komponenti, to pilnīga bloķēšana nopietni ietekmētu normālu uzņēmējdarbības darbību, radot neērtu situāciju drošības pasākumu jomā.
Ļaunprogrammatūras veidi un kampaņas, kas izmanto bezfailu metodes
Bezfailu kategorijā mēs atrodam vairākas uzbrukuma metodes, kas izmanto šo spēju darboties atmiņā vai paļauties uz minimāliem sistēmas resursiem. Viena no pazīstamākajām ir atmiņā esoša ļaunprogrammatūraŠis kods sava koda izvietošanai izmanto likumīga Windows procesa atmiņu. Šis kods var palikt neaktīvs, līdz tiek izpildīts noteikts nosacījums, un tad tas aktivizējas, neatstājot nekādas pēdas diskā.
Vēl viens variants ir Ļaunprogrammatūra, kas balstās uz Windows reģistruŠeit ļaunprātīgā vērtuma dati tiek glabāti kā reģistra dati un tos izpilda skripti vai procesi, kas nolasa un palaiž šo saturu, kad sistēma tiek startēta vai notiek konkrēts notikums. Izpildfails, kas to visu aizsāka, iespējams, ir pazudis jau sen, apgrūtinot kriminālistisko izmeklēšanu.
Izmantošana nozagtas akreditācijas Šī pieeja ir ideāli piemērota. Kad uzbrucējs iegūst piekļuvi ar likumīgu lietotāja kontu, viņš var izsaukt skriptus atmiņā, ievietot koda fragmentus reģistrā vai WMI abonementos un pārvietoties tīklā, maskējoties kā parasta administratīva datplūsma. Lielās vidēs to atšķirt no likumīgām IT darbībām ir diezgan sarežģīti.
Varianti bezfailu izspiedējvīrussŠādos gadījumos vērtuma slodze, kas šifrē datus, tiek palaista tieši no atmiņas, dažreiz to izpilda PowerShell vai cits sistēmas rīks. Atklāšana parasti notiek tikai pēc tam, kad faili jau ir šifrēti, jo līdz tam laikam redzamie procesi ir bijuši tie, kas šķiet uzticami.
Parādās arī t.s. ekspluatācijas komplektiTie ir rīku komplekti, kas pēc sākotnējas ielaušanās — bieži vien izmantojot ļaunprātīgu saiti — atklāj upura datora ievainojamības un izveido pielāgotus izmantošanas veidus. Kad tie ir iekļuvuši iekšā, tie ielādē savu kodu atmiņā un paļaujas uz skriptiem, lai saglabātu kontroli un palielinātu privilēģijas.
Ietekme uz uzņēmumiem un tradicionālo aizsardzības līdzekļu ierobežojumi
Organizācijām lielākā problēma ar bezfailu ļaunprogrammatūru ir tā, ka Aizdomīgu izpildāmo failu bloķēšana vien nav pietiekama Lai nodrošinātu drošību. Jūs nevarat vienkārši vieglprātīgi atspējot PowerShell, bloķēt visus dokumentus ar makro vai aizliegt WMI lietošanu, nepārkāpjot likumīgus administrēšanas, uzdevumu automatizācijas vai ikdienas produktivitātes procesus.
Tajā pašā laikā pretvīrusu programmas, kas koncentrējas uz failu parakstiem un baltajiem sarakstiem, ir gandrīz aklas. Uzbrukums Tas izmanto tās pašas detaļas kā sistēma. un ka IT rīkiem ir jāfunkcionē. Bieži vien pat nav nepieciešams kaut kāds dīvains jaucējkods, ko augšupielādēt pakalpojumu sniedzēja mākonī, lai saņemtu verdiktu: kods jau ir izpildīts no atmiņas.
Daudzu ražotāju mēģinājumi reaģēt ir vainagojušies ar panākumiem. daļēji bloki vai ielāpi Šie pasākumi, kas pilnībā neatrisina problēmu, ietver PowerShell lietošanas ierobežošanu, Office makro aizsardzības nostiprināšanu un tādu mākoņvadīklu ieviešanu, kas ir atkarīgas no pastāvīga savienojuma. Tomēr uzbrucēji ir iemācījušies apiet šos šķēršļus, piemēram, ielādējot PowerShell, izmantojot DLL, maskējot skriptus vai iepakojot kodu attēlos un citos datu formātos.
Turklāt komerciālais spiediens pats par sevi ir novedis pie tā, ka daži risinājumi sola bezfailu aizsardzību ar pieejām, kas nav pietiekamas, piemēram, statiski analizēt makro kodu vai aprobežojas ar zināmu skriptu reputāciju. Tā kā pretinieki var mainīt savus rīkus gandrīz pēc savas patikas, stingri uz parakstiem vai statiskiem noteikumiem balstīta pieeja mēdz ātri novecot.
Turklāt daudzi servera puses vai mākonī balstīti noteikšanas mehānismi pievieno atbildes latentumsJa aģentam galapunktā ir jāgaida attālināts lēmums par rīcību, reāllaika novēršana kļūst sarežģītāka, īpaši ārkārtīgi ātru uzbrukumu, piemēram, noteikta veida izspiedējvīrusu vai tīkla tārpu, gadījumā.
Kā atklāt bezfailu ļaunprogrammatūru: koncentrējieties uz uzvedību
Galvenā mācība no visiem šiem gadījumiem ir skaidra: visefektīvākais veids, kā atrast bezfailu ļaunprogrammatūru, ir uzraudzīt, ko procesi darane tik daudz par to, kādi faili atrodas diskā, piemēram, ar Process Explorer un VirusTotalLai gan pastāv tūkstošiem dažādu variantu, galu galā aizdomīgu uzvedību repertuārs ir daudz ierobežotāks nekā iespējamo ļaunprātīgo bināro failu repertuārs.
Mūsdienīgi risinājumi, piemēram, EDR un mākslīgā intelekta darbinātas uzvedības platformas Tie uzrauga sistēmas izsaukumus, komandrindas argumentus, piekļuvi reģistram, tīkla savienojumus, bērnu procesu izveidi, skriptu modifikācijas utt. No turienes tie veido sava veida katras izpildes ķēdes "vēsturi", kas ļauj noteikt, kad likumīgs process kļūst par anomālas darbības cēloni.
Daži ražotāji to attēlo kā notikumu laika skala Tas parāda, piemēram, kā lietotājs atver Outlook dokumentu, šis dokuments aktivizē makro, kas palaiž PowerShell ar apmulsinātiem argumentiem, un kā PowerShell mēģina lejupielādēt un izpildīt vērtumu no interneta. Lai gan diskā nav aizdomīgu .exe failu, plūsmas korelācija padara uzbrukumu acīmredzamu.
Šai uz uzvedību vērstajai pieejai ir priekšrocība, ka tā ir neatkarīgs no vektoraNav svarīgi, vai ielaušanās rodas no Flash ievainojamības izmantošanas, Word makro vai saites e-pastā. Ja rezultāts ir process, kas sāk datu šifrēšanu, koda ievadīšanu vai saziņu ar komandu un vadības serveri, sistēma to var atklāt un bloķēt.
Apvienojumā ar iespējām atcelšana vai apvēršana ļaunprātīgu izmaiņu gadījumā tas ļauj ne tikai apturēt uzbrukumu, bet arī Windows remonts pēc nopietnas infekcijasTas ietver šifrētu failu atjaunošanu, reģistra izmaiņu atcelšanu un ar ļaunprātīgo tīklu saistīto procesu pārtraukšanu. No uzņēmējdarbības nepārtrauktības viedokļa šī atšķirība ir milzīga, salīdzinot ar pretvīrusu programmu, kas brīdina tikai tad, kad ir par vēlu.
Praktiskas stratēģijas bezfailu failu noteikšanai Windows vidē
Papildus uzlabotam galapunktu risinājumam ir vairāki tehniski pasākumi, kas ievērojami palīdz atklāt bezfailu ļaunprogrammatūras pierādījumus infrastruktūrā. Pirmais ir agresīvas reģistrēšanas politikas ieviešana, īpaši attiecībā uz PowerShell un WMI.
Mūsdienu PowerShell versijas ļauj detalizēti pierakstiet izpildītās komandas, skriptu secības un noteiktu bīstamu parametru, piemēram, ExecutionPolicy Bypass, izmantošana. Analizējot šos žurnālus, meklējot aizdomīgus modeļus — lejupielādes no dīvainiem domēniem, ielādes atmiņā, acīmredzamu slēpšanu —, var atklāt kampaņas, kas citādi paliktu nepamanītas.
Vēl viena aizsardzības līnija sastāv no periodiski pārbaudiet WMI repozitoriju Meklējat abonementus vai filtrus neparastiem notikumiem. Caur komandas problēmu diagnosticēšanai PowerShell ļauj uzskaitīt tādas klases kā __EventFilter, CommandLineEventConsumer vai __FilterToConsumerBinding un pārbaudīt vienumus, kas neatbilst likumīgiem administratīvajiem uzdevumiem.
Ir arī vērts pārskatīt plānotie uzdevumi un sāknēšanas reģistrācijas atslēgasīpaši tie, kas palaiž skriptus vai interpretētājus, piemēram, PowerShell, cscript vai wscript. Daudzi bezfailu uzbrukumi izmanto šos mehānismus, lai izgūtu savu kodu no atmiņas, reģistra vai attālā servera katru reizi, kad sistēma tiek startēta vai lietotājs piesakās.
Progresīvākos gadījumos ieteicams paļaujieties uz tādiem rīkiem kā Sysmon Sysinternals var ģenerēt ļoti detalizētus notikumus par procesu izveidi, tīkla savienojumiem, reģistra modifikācijām utt. un eksportēt tos uz SIEM vai centralizētu analīzes platformu. No turienes var izveidot noteikumus, lai brīdinātu par zināmu kampaņu tipisku uzvedību vai utilītprogrammām, piemēram, Rootkit Revealer lai atklātu noturīgus artefaktus.
Labākā prakse bezfailu ļaunprogrammatūras infekciju novēršanai
Profilakses jomā pirmais pīlārs joprojām ir līdz minimumam samazināt Klasiskie infekcijas pārnēsātāji: neļaut lietotājam palaist bīstamus dokumentus, apgrūtināt ievainojamību izmantošanu un ierobežot sānu pārvietošanos pārkāpuma gadījumā.
Tas ir gandrīz obligāti Office makro atspējošana vai ierobežošana Kad vien iespējams, ideālā gadījumā izmantojot grupas politikas objektus (GPO). Makro būtu jāatļauj tikai tad, ja ir patiesa nepieciešamība, un, ja iespējams, tiem jābūt digitāli parakstītiem. Tas pats princips attiecas uz citu aktīvo saturu, piemēram, DDE vai ActiveX vadīklām dokumentos.
Ir arī svarīgi, lai būtu tīkla drošības risinājumi kas uzrauga datplūsmu, lai atklātu ielaušanās gadījumus, ielaušanās komplektus un anomālu uzvedību. Ielaušanās novēršanas sistēmas (IPS) un tādas tehnoloģijas kā tīkla uzbrukumu novēršana var pārtvert daudzus uzbrukumus, pirms bezfailu vērtuma dati sasniedz galapunktu.
Galapunkta līmenī ir ļoti svarīgi izvietot rīkus, kas spēj analizēt atmiņu, lai noteiktu ļaunprātīgu rīcībune tikai failus diskā. Uzlabotas RAM skenēšanas programmas var identificēt tipiskus koda injekcijas, apvalkkoda, izspiedējvīrusu lietderīgās slodzes vai sistēmas procesos paslēptu aizmugurējo durvju modeļus.
Visbeidzot, nekas no tā nedarbojas bez laba pamata higiēnaRegulāri lietojiet drošības ielāpus, uzturiet lietojumprogrammas un operētājsistēmas atjauninātas, segmentējiet tīklu, lai kavētu sānu pārvietošanos, ieviesiet daudzfaktoru autentifikāciju (MFA) un stingri kontrolējiet kontus ar augstām privilēģijām.
Visu iepriekš minēto apvienojums kopā ar patiesu drošības kultūru –nepārtraukta apmācībaPikšķerēšanas simulācijas un skaidras incidentu reaģēšanas procedūras ir tas, kas atšķir organizāciju, kas atklāj bezfailu uzbrukumu tā agrīnā stadijā, no tādas, kas to uzzina tikai tad, kad tās serveri jau ir šifrēti vai dati ir nozagti.
