- Безфайловият зловреден софтуер се изпълнява в паметта и злоупотребява с легитимни инструменти като PowerShell или WMI.
- Може да краде данни, да криптира файлове или да шпионира компютри, без да оставя видима следа на диска.
- Ефективното откриване изисква наблюдение на поведението и процесите, а не само на файловете.
- Защитата изисква EDR, сегментиране, инсталиране на корекции и намаляване на използването на скриптове и макроси.
През последните години безфайлов зловреден софтуер Безфайловият зловреден софтуер се превърна в едно от най-сериозните главоболия за ИТ екипите и екипите по сигурност. Не говорим за типичния вирус, който изтегляте като прикачен файл и можете да премахнете с антивирусно сканиране, а за нещо много по-скрито, което се крие в собствените процеси на системата.
Този вид заплаха се възползва легитимни инструменти на операционната системаОсобено в Windows, той може да изпълнява зловреден код директно в RAM паметта. Тъй като не оставя почти никакви следи на диска, може да избегне много традиционни антивирусни програми и да остане активен достатъчно дълго, за да краде информация, да криптира файлове или да поддържа задни врати, без да бъде открит.
Какво точно е безфайлов зловреден софтуер?
Когато говорим за безфайлов зловреден софтуер, имаме предвид зловреден код, който не зависи от класически изпълним файл на диск да функционира. Вместо да се инсталира като всяка друга програма, тя разчита на компоненти, които вече са налични в системата (скриптове, услуги, интерпретатори на команди и др.), за да зарежда и изпълнява инструкциите си директно в паметта.
От техническа гледна точка, този зловреден софтуер обикновено да се инжектира във вече работещи процеси или могат да бъдат стартирани с помощта на команди, които зареждат всичко в RAM паметта. Това означава, че след като компютърът бъде изключен или рестартиран, много варианти изчезват, но междувременно имат достатъчно време да причинят сериозни щети.
В сравнение със зловредния софтуер, базиран на файлове, тези заплахи са по-лек, по-дискретен и много по-труден за проследяванеНяма да намерите подозрителен .exe файл на диска, нито непременно злонамерен инсталатор: проблемът се крие в това, което се случва в процесите, които изглеждат надеждни.
Възходът на този подход скочи рязко около 2017 г., когато кампаниите започнаха да комбинират техники за безфайлово писане с троянски коне-кликери, усъвършенстван рекламен софтуер и инструменти за отдалечен достъп (RAT)Днес те са интегрирани във всякакви операции: от шпионаж и APT до ransomware и криптодобив.
Как работи безфайловият зловреден софтуер отвътре
За да разберете как работи, си струва да запомните, че повечето нормални приложения се разпространяват като файл, който се записва на диск и след това се зарежда в паметта когато потребителят го стартира. Безфайловият зловреден софтуер, от друга страна, пропуска първата стъпка и се материализира директно в RAM паметта, използвайки механизмите на самата операционна система.
Много кампании разчитат на идеята за „живот от земята“ (живеейки от земята): нападателят злоупотребява със законни административни правомощия вместо въвеждане на нови двоични файлове. В Windows основният пример е PowerShell, но WMI, mshta, rundll32, VBScript или JScript скриптове и други надеждни двоични файлове (LoLBins) също се експлоатират.
Типичен сценарий би бил: потребител отваря документ на Office със злонамерено съдържание или кликва върху фишинг връзка; оттам скрипт, който извиква PowerShell или друг инструмент за изтегляне, декриптиране или инжектиране на кода за следващата фаза в паметта. Всичко това може да се случи без създаване на постоянен файл на твърдия диск.
Друг често срещан вектор включва възползването уязвимости при дистанционно изпълнение на код, като например препълване на буфера в браузъри, плъгини или сървърни приложения. Чрез използването на уязвимостта, атакуващият може директно да изпълни шелкод в уязвимия процес и оттам да зареди останалите компоненти в паметта.
Някои варианти дори прибягват до Системен регистър на Windows или планирани задачи да съхранява скриптове или команди, които реактивират атаката при стартиране на системата или влизане на потребител. Дори ако нещо бъде записано в системния регистър, основната злонамерена логика продължава да се изпълнява в паметта, което затруднява откриването ѝ с инструменти, фокусирани единствено върху файловата система.
Методи за заразяване и първоначален достъп
Входната врата обикновено е доста класическа: фишинг имейли, злонамерени връзки и фалшифицирани документи Те си остават кралете на първоначалния достъп, въпреки че отдолу се използват безфайлови техники. Номерът е, че по цялата верига се полагат всички усилия за минимизиране на дисковия отпечатък.
В много случаи те се използват Документи на Microsoft Office с макроси Когато са активирани, тези макроси извикват PowerShell или WMI, за да изтеглят и изпълнят следващия етап от атаката в паметта. Дори без макроси, нападателите експлоатират уязвимости в Word, Excel, PDF четци или самата скриптова система, за да се постигне изпълнение на код.
Друг подход включва директно използване на пръв поглед безобидни изпълними файлове който потребителят получава по имейл или изтегля от интернет. Този изпълним файл може да извлече злонамерен модул и да го зареди в паметта, използвайки техники като отражение в .NET, без всъщност да го запазва на диск като отделен файл.
Съществуват и кампании, насочени към уеб сървъри или приложения, изложени на интернет, където уязвимостта се използва за внедряване уебшълове с безфайлови компонентиСкорошен пример е използването на Godzilla и подобни инструменти, при които злонамерен код се разпространява в рамките на HTTP заявки и се инжектира директно в паметта на компрометирания сървър.
Накрая, нападателите често прибягват до откраднати идентификационни данниАко получат потребителското име и паролата на администратор или привилегирован акаунт, те могат да влязат чрез RDP или други канали и ръчно да стартират PowerShell скриптове, WMI команди или административни инструменти, които зареждат зловредния софтуер в паметта, без да оставят нови изпълними файлове в системата.
Специфични техники, използвани от безфайлов зловреден софтуер
Един от ключовете за тези атаки е повторната употреба на собствени инструменти за Windows като средство за техните скриптове. Това кара злонамерената дейност да се смесва с нормалните административни задачи, усложнявайки анализа и реагирането.
Сред най-често срещаните техники откриваме използването на PowerShell като вграден инструмент за стартиране на код директно от командния ред. Например, обфускиран скрипт се предава като параметър, политиката за изпълнение се деактивира, прозорецът се скрива и полезен товар се изтегля директно в паметта, всичко това без да се оставя видим .ps1 файл или някакъв подозрителен изпълним файл.
Друга много популярна тактика е съхраняването на злонамерени скриптове в Абонаменти за инструментариум за управление на Windows (WMI)От време на време WMI задейства скрипта, който може да изпълнява код от паметта, да се свързва със сървъри за командване и контрол или да стартира нови етапи на инфекцията.
По подобен начин много групи използват Системен регистър на Windows и планировчик на задачи като убежище за своите скриптове и команди. Вместо да поставят изпълним файл в папката за стартиране, те дефинират ключове за стартиране или планирани задачи, които изпълняват PowerShell, mshta или rundll32 скриптове с вграден или „в движение“ код.
Техниките се наблюдават и в отражение в .NETкъдето лек изпълним файл съдържа криптирани или компресирани асембли, които се зареждат директно в паметта с помощта на Reflection.Load, без изобщо да се записват като .dll файлове на диск. Това позволява внедряването на много сложни троянски коне в рамките на един, на пръв поглед нормален процес.
Какво може да направи една безфайлова атака?
Въпреки името си, атаката без файлове не е ограничена по отношение на въздействието си. Всъщност тя може да извърши същите функции като традиционния зловреден софтуеркражба на информация, криптиране на данни, странично движение, шпионаж, добив на криптовалута или инсталиране на постоянни задни врати.
Много кампании без файлове се държат така крадец на удостоверенияТова включва заснемане на пароли, токени за сесия или хешове за удостоверяване от паметта на чувствителни процеси. Това улеснява ескалирането на привилегии, компрометирането на повече системи и поддържането на продължителен достъп, без да се прибягва до допълнителни двоични файлове.
Други се фокусират върху безфайлов рансъмуеркъдето част от логиката за криптиране и комуникация се изпълнява директно в паметта. Въпреки че в даден момент може да се появи дисков компонент, който манипулира голям брой файлове, първоначалното зареждане и контрол на атаката се извършват с безфайлови техники, за да се избегне ранното откриване.
Нападателите могат също да инсталират руткитове или напреднали RAT-ове Веднъж установени, тези инструменти използват безфайлови канали за получаване на команди, движение по мрежата и актуализиране на модули. Тъй като са интегрирани в системни процеси или критични услуги, тези инструменти са особено трудни за премахване.
На икономически фронт въздействието се изразява в загуба на данни, прекъсвания на услугите, регулаторни глоби и увреждане на репутациятаТъй като тези прониквания често остават незабелязани в продължение на месеци, обемът на изкълчената информация и обхватът на нарушението могат да бъдат огромни.
Фази на атака със зловреден софтуер без файлове
Въпреки че техническите аспекти са различни, жизненият цикъл на безфайлова атака е доста подобен на този на всяко напреднало проникване. Какви са промените? механизми, използвани във всяка фаза и начина, по който се камуфлират.
В етапа на първоначален достъпНападателят се нуждае от първоначална опорна точка: кликване върху фишинг линк, отваряне на документ, съдържащ макроси, експлоатация на уязвим сървър или повторно използване на компрометирани идентификационни данни. Оттам нататък целта е да се изпълни код в целевата система.
След като тази стъпка бъде постигната, започва следващата фаза изпълнение в паметтаТук влизат в действие PowerShell, WMI, mshta, rundll32, VBScript, JScript или други интерпретатори, които зареждат и активират полезния товар, без да генерират постоянни изпълними файлове на диска. Кодът обикновено е обфуциран или криптиран и декриптиран само в RAM паметта.
След това започва преследването упоритостВъпреки че много безфайлови полезни товари изчезват при рестартиране на компютъра, сложните нападатели комбинират скриптове, резидентни в RAM паметта, с ключове в системния регистър, планирани задачи или WMI абонаменти, които рестартират кода всеки път, когато е изпълнено определено условие, като например стартиране на системата или влизане на потребителя.
Накрая, крайни цели Действията на нападателя включват: кражба и извличане на данни, криптиране на информация, внедряване на още злонамерен софтуер, непрекъснат шпионаж и саботаж на критични системи. Всичко това се прави, като същевременно се опитва да поддържа възможно най-нисък профил, за да се избегнат ранни предупреждения и криминалистичен анализ.
Защо е толкова трудно да се открие?
Големият проблем със зловредния софтуер без файлове е, че Това нарушава класическия модел на защита, базиран на файлове и подписиАко няма подозрителен изпълним файл за анализ, много антивирусни системи остават слепи за това какво се случва в паметта и легитимните процеси.
Липсата на файлове на диска предполага, че Няма обекти за периодично сканиране в търсене на известни модели. Освен това, чрез използване на двоични файлове, подписани от самата операционна система, като PowerShell.exe, wscript.exe или rundll32.exe, злонамерената активност се прикрива зад имена, на които администраторът обикновено се доверява.
Освен това, много наследени продукти имат Ограничена видимост на изпълняваните процесиТе се фокусират върху файловата система и мрежовия трафик, но едва проверяват вътрешните API извиквания, параметрите на командния ред, поведението на скриптовете или събитията в системния регистър, които биха могли да издадат атака без файлова система.
Нападателите, осъзнавайки тези ограничения, прибягват до техники за обфускация, криптиране и фрагментиране на кодНапример, те разделят злонамерен скрипт на няколко фрагмента, които се сглобяват в реално време, или крият инструкции в изображения, вградени ресурси или на пръв поглед безобидни низове.
В среди, където системите рядко се рестартират (критични сървъри, производствени терминали и др.), зловреден софтуер, намиращ се в паметта, може остават активни в продължение на седмици или месеци без да бъдете забелязани, особено ако се движите внимателно и сведете до минимум обема на трафика или видимите действия.
Ограничения на традиционните защитни средства
Първоначалната реакция на много доставчици на тази заплаха беше да се опитат ограничаване или директно блокиране на инструменти като PowerShell или макроси на OfficeВъпреки че може да намали някои вектори, това не е реалистично или цялостно решение в повечето организации.
PowerShell се превърна в ключов компонент за системна администрация на WindowsАвтоматизация на задачи, внедряване на софтуер и управление на сървъри. Пълното му блокиране би парализирало ИТ работните процеси и би наложило преработка на множество вътрешни процеси.
Освен това, от гледна точка на нападателя, има множество начини за заобикаляне на проста политика за блокиранеСъществуват техники за зареждане на PowerShell двигателя от библиотеки (dll) с помощта на rundll32, конвертиране на скриптове в изпълними файлове с инструменти като PS2EXE, използване на модифицирани копия на PowerShell.exe или дори вграждане на PowerShell скриптове в PNG изображения и изпълнението им с обфускирани командни редове.
Нещо подобно се случва и с макросите на Office: Много компании зависят от тях за автоматизиране на отчети, изчисления и бизнес процеси. Глобалното им деактивиране може да повреди вътрешните приложения, докато разчитането единствено на статичен анализ на VBA код често води до труден за управление процент на фалшиво положителни и фалшиво отрицателни резултати.
Освен това, някои подходи, базирани на облачно-базирано откриване като услуга Те изискват постоянна свързаност и понякога работят с твърде голямо забавяне, за да предотвратят първоначалното изпълнение на зловредния софтуер. Ако решението за блокиране е взето секунди или минути по-късно, щетите може вече да са нанесени.
Фокусът се измества: от файлове към поведение
Тъй като пилата вече не е основният елемент, съвременните решения за отбрана се фокусират върху наблюдавайте поведението на процесите вместо просто да проверяват съдържанието на файловете. Идеята е, че въпреки че има хиляди варианти на зловреден софтуер, моделите на злонамерена дейност са много по-малко разнообразни.
Този подход разчита на двигатели на поведенчески анализ и машинно обучение които непрекъснато наблюдават какво прави всеки процес: какви команди стартира, до какви системни ресурси се докосва, как комуникира с външния свят и какви промени се опитва да въведе в средата.
Например, процес на Office може да бъде маркиран като подозрителен, ако изпълнява обфусирана PowerShell команда с параметри за деактивиране на политиките за сигурност и изтегляне на код от подозрителен домейн. Или процес, който без видима причина внезапно осъществява достъп до стотици чувствителни файлове или променя критични ключове в системния регистър.
Най-новото поколение EDR системи и XDR платформи събират подробна телеметрия на крайни точки, сървъри и мрежаи са способни да реконструират пълни истории (понякога наричани StoryLines) за това как е възникнал даден инцидент, какви процеси са били включени и какви промени е претърпяла засегнатата машина.
Добрият поведенчески двигател не само открива заплахата, но и може смекчаване или автоматично отмяна на злонамерени действия: прекратяване на участващите процеси, изолиране на компютъра, възстановяване на криптирани файлове, отмяна на промени в системния регистър и прекъсване на комуникациите с домейни за командване и контрол.
Технологии и източници на ключови събития в Windows
За да анализирате безфайлови заплахи в Windows, е особено полезно да се възползвате от телеметрични механизми на собствената операционна система, които вече са налице и предлагат много информация за това какво се случва зад кулисите.
От една страна е Проследяване на събития за Windows (ETW)ETW е рамка, която позволява записване на много подробни събития, свързани с изпълнението на процеси, API извиквания, достъп до памет и други вътрешни системни аспекти. Много EDR решения разчитат на ETW за откриване на нетипично поведение в реално време.
Друг ключов елемент е Интерфейс за сканиране срещу зловреден софтуер (AMSI)AMSI е API, разработен от Microsoft, за да позволи на системите за сигурност да проверяват скриптове и динамично съдържание непосредствено преди изпълнението им, дори и да са обфускирани. AMSI е особено полезен с PowerShell, VBScript, JScript и други скриптови езици.
Освен това, съвременните двигатели се анализират периодично чувствителни области като системния регистър, планировчика на задачи, WMI абонаменти или правила за изпълнение на скриптовеПодозрителните промени в тези области често са знак, че атака без файлове е установила постоянство.
Всичко това се допълва от евристики, които отчитат не само текущия процес, но и контекст на изпълнениеоткъде идва родителският процес, каква мрежова активност е била наблюдавана преди и след това, дали е имало странни повреди, аномални блокажи или други сигнали, които, взети заедно, накланят везните към подозрение.
Практически стратегии за откриване и превенция
На практика, защитата от тези заплахи включва комбиниране технологии, процеси и обучениеНе е достатъчно да инсталирате антивирусна програма и да забравите за нея; необходима е многопластова стратегия, адаптирана към реалното поведение на безфайловия зловреден софтуер.
На техническо ниво е от съществено значение да се внедри EDR или XDR решения с възможности за поведенчески анализ и видимост на ниво процес. Тези инструменти трябва да могат да записват и съпоставят активност в реално време, да блокират аномално поведение и да предоставят ясна криминалистическа информация на екипа по сигурността.
Освен това е удобно Ограничаване на използването на PowerShell, WMI и други интерпретатори до това, което е строго необходимо, прилагане на списъци за контрол на достъпа, подписване на скриптове (подписване на код) и политики за изпълнение, които ограничават какъв код може да се изпълнява и с какви привилегии.
От страна на потребителите, обучението остава от решаващо значение: необходимо е да се засили осведоменост за фишинг, подозрителни връзки и неочаквани документиТова е особено важно сред персонала с достъп до чувствителна информация или с високи привилегии. Намаляването на броя на невнимателните кликвания значително намалява повърхността за атака.
Накрая, не може да се пренебрегне и цикъл на актуализации и корекции на софтуераМного безфайлови вериги започват с експлоатация на известни уязвимости, за които вече съществуват корекции. Поддържането на браузъри, плъгини, корпоративни приложения и операционни системи актуални затваря ценни врати за нападателите.
Управлявани услуги и търсене на заплахи
В средни и големи организации, където обемът на събитията е огромен, е трудно за вътрешния екип да види всичко. Ето защо те набират популярност. услуги за мониторинг и управлявано реагиране (MDR/EMDR) и външни центрове за операции по сигурността (SOC).
Тези услуги съчетават съвременни технологии с екипи от анализатори, които наблюдават 24/7 среди на своите клиенти, съпоставяйки слаби сигнали, които иначе биха останали незабелязани. Идеята е да се открие поведение, типично за безфайлов зловреден софтуер, преди да настъпят щети.
Много SOC разчитат на рамки като например MITER ATT&CK да каталогизира тактиките, техниките и процедурите (TTP) на противниците и да изгради специфични правила, насочени към изпълнение в паметта, злоупотреба с LoLBins, злонамерен WMI или скрити модели за извличане на данни.
В допълнение към непрекъснатия мониторинг, тези услуги обикновено включват криминалистичен анализ, реагиране при инциденти и консултации да се подобри архитектурата на сигурността, да се отстранят повтарящи се пропуски и да се засили контролът върху крайните точки и сървърите.
За много компании, аутсорсингът на част от тази функция е най-жизнеспособният начин да се справят с такива сложни заплахи, тъй като не всеки може да си позволи вътрешен екип, специализиран в лов на напреднал зловреден софтуер.
Реалността е, че безфайловият зловреден софтуер завинаги е променил начина, по който разбираме сигурността на крайните точки: Файловете вече не са единственият ключов индикаторИ само комбинация от задълбочена видимост, поведенчески анализ, добри управленски практики и разширена култура на киберсигурност може да го държи настрана ежедневно.
