- Bezsouborový malware běží v paměti a zneužívá legitimní nástroje, jako je PowerShell nebo WMI.
- Dokáže krást data, šifrovat soubory nebo špehovat počítače, aniž by zanechal zjevnou stopu na disku.
- Efektivní detekce vyžaduje sledování chování a procesů, nejen souborů.
- Obrana vyžaduje EDR, segmentaci, opravy a omezení používání skriptů a maker.
V posledních letech bezsouborový malware Bezsouborový malware se stal jednou z největších starostí IT a bezpečnostních týmů. Nemluvíme o typickém viru, který si stáhnete v příloze a můžete jej odstranit antivirovou kontrolou, ale o něčem mnohem nenápadnějším, co se skrývá v procesech systému.
Tento typ hrozby využívá legitimní nástroje operačního systémuZejména ve Windows dokáže spustit škodlivý kód přímo do paměti RAM. Protože na disku nezanechává téměř žádné stopy, dokáže se vyhnout mnoha tradičním antivirovým programům a zůstat aktivní dostatečně dlouho na to, aby bez odhalení ukradl informace, zašifroval soubory nebo udržoval zadní vrátka.
Co přesně je bezsouborový malware?
Když mluvíme o bezsouborovém malwaru, máme na mysli škodlivý kód, který nezávisí na klasickém spustitelném souboru na disku fungovat. Místo aby byl instalován jako jakýkoli jiný program, spoléhá na komponenty, které jsou již v systému přítomny (skripty, služby, interprety příkazů atd.), aby načetl a spustil své instrukce přímo v paměti.
Z technického hlediska tento malware obvykle vložit do procesů, které již běží nebo je lze spustit pomocí příkazů, které načtou vše do RAM. To znamená, že po vypnutí nebo restartu počítače mnoho variant zmizí, ale mezitím mají dostatek času způsobit vážné škody.
Ve srovnání se souborovým malwarem jsou tyto hrozby lehčí, diskrétnější a mnohem hůře sledovatelnéNa disku nenajdete podezřelý soubor .exe, ani nutně škodlivý instalační program: problém spočívá v tom, co se děje v procesech, které se zdají být důvěryhodné.
Nárůst tohoto přístupu prudce vzrostl kolem roku 2017, kdy kampaně začaly kombinovat techniky bezsouborového tisku s trojské koně typu clicker, pokročilý adware a nástroje pro vzdálený přístup (RAT)Dnes jsou integrovány do nejrůznějších operací: od špionáže a APT až po ransomware a těžbu kryptoměn.
Jak funguje bezsouborový malware uvnitř
Abychom pochopili, jak to funguje, je dobré si uvědomit, že většina běžných aplikací je distribuována jako soubor, který se zapíše na disk a poté načte do paměti když jej uživatel spustí. Bezsouborový malware naopak první krok přeskakuje a zhmotňuje se přímo v paměti RAM pomocí mechanismů samotného operačního systému.
Mnoho kampaní se opírá o myšlenku „žít z půdy“ (žijící mimo zemi): útočník zneužívá legitimní správní pravomoci místo zavádění nových binárních souborů. Ve Windows je hlavním příkladem PowerShell, ale zneužívány jsou i skripty WMI, mshta, rundll32, VBScript nebo JScript a další důvěryhodné binární soubory (LoLBins).
Typický scénář by byl: uživatel otevře dokument Office se škodlivým obsahem nebo klikne na phishingový odkaz; odtud skript, který spouští PowerShell nebo jiný nástroj pro stažení, dešifrování nebo vložení kódu pro další fázi do paměti. To vše se může stát bez vytvoření trvalého souboru na pevném disku.
Dalším běžným vektorem je zneužívání Zranitelnosti vzdáleného spuštění kódu, například přetečení vyrovnávací paměti v prohlížečích, pluginech nebo serverových aplikacích. Zneužitím této zranitelnosti může útočník přímo spustit shellcode v rámci zranitelného procesu a odtud načíst zbývající komponenty do paměti.
Některé varianty se dokonce uchylují k Registr systému Windows nebo naplánované úlohy ukládat skripty nebo příkazy, které útok znovu aktivují při spuštění systému nebo přihlášení uživatele. I když je něco zapsáno do registru, hlavní škodlivá logika nadále běží v paměti, což ztěžuje její detekci nástroji zaměřenými výhradně na souborový systém.
Metody infekce a počáteční přístup
Vchodové dveře jsou obvykle docela klasické: phishingové e-maily, škodlivé odkazy a padělané dokumenty Zůstávají králi počátečního přístupu, i když se pod nimi používají bezsouborové techniky. Trik spočívá v tom, že v celém řetězci se vynakládá veškeré úsilí na minimalizaci nároků na disk.
V mnoha případech se používají Dokumenty Microsoft Office s makry Po aktivaci tato makra volají PowerShell nebo WMI ke stažení a spuštění další fáze útoku v paměti. I bez maker útočníci zneužívají zranitelnosti ve Wordu, Excelu, Čtečky PDF nebo samotný skriptovací engine k dosažení spuštění kódu.
Jiný přístup zahrnuje přímé využití zdánlivě neškodné spustitelné soubory který uživatel obdrží e-mailem nebo stáhne z webu. Tento spustitelný soubor dokáže extrahovat škodlivý modul a načíst ho do paměti pomocí technik, jako je reflexe v .NET, aniž by jej musel uložit na disk jako samostatný soubor.
Existují také kampaně zaměřené na webové servery nebo aplikace vystavené internetu, kde je zranitelnost zneužita k nasazení webshell s bezsouborovými komponentamiNedávným příkladem je použití Godzilly a podobných nástrojů, kdy se škodlivý kód šíří v rámci HTTP požadavků a je vstřikován přímo do paměti na napadeném serveru.
Útočníci se nakonec často uchylují k ukradené přihlašovací údajePokud získají uživatelské jméno a heslo správce nebo privilegovaného účtu, mohou se přihlásit přes RDP nebo jiné kanály a ručně spustit skripty PowerShellu, příkazy WMI nebo nástroje pro správu, které načtou malware do paměti, aniž by v systému zanechaly jakékoli nové spustitelné soubory.
Specifické techniky používané bezsouborovým malwarem
Jedním z klíčů k těmto útokům je opětovné použití nativní nástroje Windows jako nástroj pro své skripty. To způsobuje, že se škodlivá aktivita mísí s běžnými administrativními úkoly, což komplikuje analýzu a reakci.
Mezi nejběžnější techniky patří použití PowerShell jako integrovaný spouštěč kódu přímo z příkazového řádku. Například obfusovaný skript je předán jako parametr, zásady spouštění jsou zakázány, okno je skryto a datový obsah je stažen přímo do paměti, to vše bez ponechání viditelného souboru .ps1 nebo jakéhokoli podezřelého spustitelného souboru.
Další velmi populární taktikou je ukládání škodlivých skriptů do Předplatné služby Windows Management Instrumentation (WMI)WMI čas od času spouští skript, který může spustit kód z paměti, připojit se k velitelským a řídicím serverům nebo spustit nové fáze infekce.
Podobně mnoho skupin používá Registr systému Windows a Plánovač úloh jako útočiště pro své skripty a příkazy. Místo umístění spustitelného souboru do složky Po spuštění definují spouštěcí klíče nebo naplánované úlohy, které spouštějí skripty PowerShellu, mshta nebo rundll32 s vloženým nebo spouštěným kódem.
Techniky jsou také vidět v reflexe v .NETkde lehký spustitelný soubor obsahuje šifrované nebo komprimované sestavy, které jsou načteny přímo do paměti pomocí Reflection.Load, aniž by byly kdy zapsány jako soubory .dll na disk. To umožňuje nasazení velmi sofistikovaných trojských koní v rámci jediného, zdánlivě normálního procesu.
Co dokáže útok bez souborů?
Navzdory svému názvu není útok bez souborů omezený svým dopadem. Ve skutečnosti může provádět stejné funkce jako tradiční malware: krádež informací, šifrování dat, laterální přesun, špionáž, těžba kryptoměn nebo instalace trvalých zadních vrátek.
Mnoho kampaní bez souborů se chová jako zloděj pověřeníTo zahrnuje zachycení hesel, tokenů relací nebo hashů ověřování z paměti citlivých procesů. To usnadňuje eskalaci oprávnění, kompromitaci více systémů a udržování dlouhodobého přístupu bez nutnosti použití dalších binárních souborů.
Jiní se zaměřují na bezsouborový ransomwarekde je část šifrovací a komunikační logiky prováděna přímo v paměti. I když se může v určitém okamžiku zdát, že disková komponenta manipuluje s velkým počtem souborů, počáteční načítání a řízení útoku se provádí pomocí bezsouborových technik, aby se zabránilo včasnému odhalení.
Útočníci mohou také nainstalovat rootkity nebo pokročilé RATy Jakmile jsou tyto nástroje zavedeny, používají k přijímání příkazů, pohybu po síti a aktualizaci modulů bezsouborové kanály. Protože jsou integrovány do systémových procesů nebo kritických služeb, je obzvláště obtížné tyto nástroje vymýtit.
Na ekonomické úrovni se dopad projevuje ztráta dat, přerušení služeb, regulační pokuty a poškození pověstiVzhledem k tomu, že tyto útoky často zůstávají celé měsíce nepovšimnuty, může být objem uniklých informací a rozsah narušení enormní.
Fáze útoku malwaru bez souborů
Přestože se technické aspekty liší, životní cyklus útoku bez souborů je docela podobný životnímu cyklu jakéhokoli pokročilého narušení. Jaké jsou změny? mechanismy používané v každé fázi a způsob, jakým se maskují.
Ve fázi počáteční přístupÚtočník potřebuje počáteční oporu: kliknutí na phishingový odkaz, otevření dokumentu obsahujícího makra, zneužití zranitelného serveru nebo opětovné použití kompromitovaných přihlašovacích údajů. Odtud je cílem spustit kód v cílovém systému.
Jakmile je tohoto kroku dosaženo, začíná další fáze provádění v pamětiZde přicházejí na řadu interprety PowerShellu, WMI, mshta, rundll32, VBScript, JScript nebo jiné, které načtou a aktivují datovou část bez generování trvalých spustitelných souborů na disku. Kód je obvykle obfuskován nebo zašifrován a dešifrován pouze v paměti RAM.
Pak začíná pronásledování vytrvalostAčkoli mnoho datových částí bez souborů zmizí po restartu počítače, sofistikovaní útočníci kombinují skripty rezidentní v paměti RAM s klíči registru, naplánovanými úlohami nebo předplatnými WMI, které kód znovu spustí pokaždé, když je splněna určitá podmínka, jako je spuštění systému nebo přihlášení uživatele.
Konečně, konečné cíle Mezi akce útočníka patří: krádež a exfiltrace dat, šifrování informací, nasazení dalšího malwaru, neustálá špionáž a sabotáž kritických systémů. To vše se děje ve snaze udržet si co nejnižší profil, aby se zabránilo včasným varováním a forenzní analýze.
Proč je tak těžké to odhalit?
Velkým problémem bezsouborového malwaru je, že Prolamuje klasický obranný model založený na souborech a podpisechPokud neexistuje žádný podezřelý spustitelný soubor k analýze, mnoho antivirových programů zůstává slepých k tomu, co se děje v paměti a legitimních procesech.
Absence souborů na disku znamená, že Nejsou k dispozici žádné objekty k pravidelnému skenování. při hledání známých vzorců. Navíc využitím binárních souborů podepsaných samotným operačním systémem, jako je PowerShell.exe, wscript.exe nebo rundll32.exe, je škodlivá aktivita maskována za názvy, kterým správce obvykle důvěřuje.
Kromě toho má mnoho zděděných produktů Omezený přehled o spuštěných procesechZaměřují se na souborový systém a síťový provoz, ale sotva kontrolují interní volání API, parametry příkazového řádku, chování skriptů nebo události registru, které by mohly prozradit útok bez souborů.
Útočníci, vědomi si těchto omezení, se uchylují k techniky zmatkování, šifrování a fragmentace kóduNapříklad rozdělí škodlivý skript na několik fragmentů, které se sestavují v reálném čase, nebo schovají instrukce v obrázcích, vložených zdrojích nebo zdánlivě neškodných řetězcích.
V prostředích, kde se systémy restartují jen zřídka (kritické servery, produkční terminály atd.), může malware rezidentní v paměti zůstat aktivní po dobu týdnů nebo měsíců aniž byste byli odhaleni, zvláště pokud se pohybujete opatrně a minimalizujete objem provozu nebo nápadné činnosti.
Omezení tradičních obranných mechanismů
Prvotní reakcí mnoha poskytovatelů na tuto hrozbu bylo pokusit se omezit nebo přímo blokovat nástroje, jako je PowerShell nebo makra OfficeI když to může omezit některé vektory, ve většině organizací to není realistické ani kompletní řešení.
PowerShell se stal klíčová součást pro správu systému WindowsAutomatizace úloh, nasazení softwaru a správa serverů. Úplné zablokování by paralyzovalo pracovní postupy IT a vynutilo by si přepracování řady interních procesů.
Navíc z pohledu útočníka existuje několik způsobů, jak obcházení jednoduché blokovací politikyExistují techniky, jak načíst PowerShellový engine z knihoven (dll) pomocí rundll32, převést skripty do spustitelných souborů pomocí nástrojů jako PS2EXE, použít upravené kopie PowerShell.exe nebo dokonce vložit PowerShellové skripty do obrázků PNG a spustit je pomocí obfusovaných příkazových řádků.
Něco podobného se děje s makry Office: Mnoho firem je na nich závislých automatizovat reporty, výpočty a obchodní procesy. Jejich globální zakázání může narušit fungování interních aplikací, zatímco spoléhání se pouze na statickou analýzu kódu VBA často vede k obtížně zvládnutelné míře falešně pozitivních a falešně negativních výsledků.
Kromě toho některé přístupy založené na cloudová detekce jako služba Vyžadují neustálé připojení a někdy fungují s příliš velkým zpožděním, aby zabránily počátečnímu spuštění malwaru. Pokud je rozhodnutí o blokování učiněno později než v několika sekundách nebo minutách, škoda již může být napáchána.
Pozornost se přesouvá: od souborů k chování
Vzhledem k tomu, že pilník již není hlavním prvkem, moderní obranná řešení se zaměřují na sledovat chování procesů místo pouhé kontroly obsahu souborů. Myšlenka je taková, že ačkoli existují tisíce variant malwaru, vzorce škodlivé aktivity jsou mnohem méně rozmanité.
Tento přístup se opírá o motory behaviorální analýza a strojové učení které průběžně monitorují, co každý proces dělá: jaké příkazy spouští, kterých systémových prostředků se dotýká, jak komunikuje s vnějším světem a jaké změny se snaží zavést do prostředí.
Například proces Office může být označen jako podezřelý, pokud provede zahalený příkaz PowerShellu s parametry pro deaktivaci bezpečnostních zásad a stahování kódu z podezřelé domény. Nebo proces, který bez zjevného důvodu náhle přistupuje ke stovkám citlivých souborů nebo upravuje kritické klíče registru.
Nejnovější generace systémů EDR a platforem XDR shromažďuje podrobná telemetrie koncových bodů, serverů a sítěa jsou schopni rekonstruovat kompletní příběhy (někdy nazývané StoryLines) o tom, jak incident vznikl, jaké procesy se ho týkaly a jakými změnami postižený stroj prošel.
Dobrý behaviorální engine nejen detekuje hrozbu, ale dokáže ji i zmírnit nebo automaticky zvrátit škodlivé akceUkončit zapojené procesy, izolovat počítač, obnovit zašifrované soubory, vrátit zpět změny v registru a přerušit komunikaci s doménami příkazů a řízení.
Technologie a zdroje klíčových událostí ve Windows
Pro analýzu bezsouborových hrozeb ve Windows je obzvláště užitečné využít Nativní telemetrické mechanismy operačního systému, které již existují a nabízejí spoustu informací o tom, co se děje v zákulisí.
Na jedné straně je Sledování událostí pro Windows (ETW)ETW je framework, který umožňuje zaznamenávání velmi detailních událostí souvisejících s prováděním procesů, voláními API, přístupem do paměti a dalšími interními aspekty systému. Mnoho řešení EDR se spoléhá na ETW k detekci atypického chování v reálném čase.
Dalším klíčovým prvkem je Antimalware Scan Interface (AMSI)AMSI je API navržené společností Microsoft, které umožňuje bezpečnostním enginům kontrolovat skripty a dynamický obsah těsně před jejich spuštěním, a to i v případě, že jsou obfuskované. AMSI je obzvláště užitečné s PowerShellem, VBScript, JScript a dalšími skriptovacími jazyky.
Moderní motory jsou navíc pravidelně analyzovány citlivé oblasti, jako je registr, Plánovač úloh, předplatné WMI nebo zásady spouštění skriptůPodezřelé změny v těchto oblastech jsou často známkou toho, že útok bez použití souborů si vybudoval perzistenci.
To vše je doplněno heuristikami, které berou v úvahu nejen aktuální proces, ale i kontext provedeníodkud pochází nadřazený proces, jaká síťová aktivita byla pozorována před a po, zda došlo k podivným selháním, anomálním blokováním nebo jiným signálům, které dohromady vzbuzují podezření.
Praktické strategie detekce a prevence
V praxi ochrana před těmito hrozbami zahrnuje kombinaci technologie, procesy a školeníNestačí si nainstalovat antivirus a zapomenout na něj; je potřeba vícevrstvá strategie přizpůsobená skutečnému chování bezsouborového malwaru.
Na technické úrovni je nezbytné nasadit Řešení EDR nebo XDR s možnostmi behaviorální analýzy a přehledem na úrovni procesů. Tyto nástroje musí být schopny zaznamenávat a korelovat aktivitu v reálném čase, blokovat anomální chování a poskytovat bezpečnostnímu týmu jasné forenzní informace.
Je to také pohodlné Omezení používání PowerShellu, WMI a dalších interpretů na to, co je nezbytně nutné, s použitím seznamů pro řízení přístupu, podepisováním skriptů (podepisováním kódu) a zásadami pro spouštění, které omezují, jaký kód lze spustit a s jakými oprávněními.
Na straně uživatelů zůstává klíčové školení: je nutné posílit povědomí o phishingu, podezřelých odkazech a neočekávaných dokumentechTo je obzvláště důležité u personálu s přístupem k citlivým informacím nebo s vysokými oprávněními. Snížení počtu neopatrných kliknutí výrazně snižuje plochu pro útok.
Konečně nelze zanedbat ani cyklus aktualizací a oprav softwaruMnoho řetězců bez souborů začíná zneužitím známých zranitelností, pro které již existují záplaty. Udržování prohlížečů, pluginů, podnikových aplikací a operačních systémů v aktuálním stavu uzavírá útočníkům cenné dveře.
Spravované služby a lov hrozeb
Ve středních a velkých organizacích, kde je objem akcí obrovský, je pro interní tým obtížné vidět vše. Proto získávají na popularitě. monitorovací a řízené služby odezvy (MDR/EMDR) a externí bezpečnostní operační centra (SOC).
Tyto služby kombinují pokročilé technologie s týmy analytiků monitorující 24 hodin denně, 7 dní v týdnu prostředí svých klientů a korelují slabé signály, které by jinak zůstaly bez povšimnutí. Cílem je detekovat chování typické pro bezsouborový malware dříve, než dojde k poškození.
Mnoho SOC se spoléhá na frameworky, jako například MITRE ATT&CK katalogizovat taktiky, techniky a postupy (TTP) protivníků a vytvořit specifická pravidla zaměřená na provádění v paměti, zneužívání LoLBins, škodlivé WMI nebo nenápadné vzorce úniku dat.
Kromě průběžného monitorování tyto služby obvykle zahrnují forenzní analýza, reakce na incidenty a poradenství zlepšit bezpečnostní architekturu, odstranit opakující se mezery a posílit kontroly na koncových bodech a serverech.
Pro mnoho společností je outsourcing části této funkce nejschůdnějším způsobem, jak držet krok s takovými komplexními hrozbami, protože ne každý si může dovolit interní tým specializovaný na lov pokročilého malwaru.
Realita je taková, že malware bez souborů navždy změnil způsob, jakým chápeme zabezpečení koncových bodů: Soubory už nejsou jediným klíčovým ukazatelemA pouze kombinace hlubokého přehledu, behaviorální analýzy, osvědčených postupů řízení a rozsáhlé kultury kybernetické bezpečnosti ji může v každodenním životě udržet na uzdě.
