- Το κακόβουλο λογισμικό χωρίς αρχεία εκτελείται στη μνήμη και κάνει κατάχρηση νόμιμων εργαλείων όπως το PowerShell ή το WMI.
- Μπορεί να κλέψει δεδομένα, να κρυπτογραφήσει αρχεία ή να κατασκοπεύσει υπολογιστές χωρίς να αφήσει εμφανές ίχνος στον δίσκο.
- Η αποτελεσματική ανίχνευση απαιτεί την παρακολούθηση της συμπεριφοράς και των διαδικασιών, όχι μόνο των αρχείων.
- Η υπεράσπιση απαιτεί EDR, τμηματοποίηση, επιδιορθώσεις και μείωση της χρήσης σεναρίων και μακροεντολών.
Τα τελευταία χρόνια το κακόβουλο λογισμικό χωρίς αρχεία Το κακόβουλο λογισμικό χωρίς αρχεία έχει γίνει ένας από τους πιο σοβαρούς πονοκεφάλους για τις ομάδες IT και ασφάλειας. Δεν μιλάμε για τον τυπικό ιό που κατεβάζετε σε ένα συνημμένο και μπορείτε να τον αφαιρέσετε με μια σάρωση antivirus, αλλά για κάτι πολύ πιο ύπουλο που κρύβεται μέσα στις ίδιες τις διαδικασίες του συστήματος.
Αυτού του είδους η απειλή εκμεταλλεύεται νόμιμα εργαλεία λειτουργικού συστήματοςΕιδικά στα Windows, μπορεί να εκτελέσει κακόβουλο κώδικα απευθείας στη μνήμη RAM. Επειδή δεν αφήνει σχεδόν κανένα ίχνος στον δίσκο, μπορεί να αποφύγει πολλά παραδοσιακά προγράμματα προστασίας από ιούς και να παραμείνει ενεργό για αρκετό καιρό ώστε να κλέψει πληροφορίες, να κρυπτογραφήσει αρχεία ή να διατηρήσει backdoors χωρίς να εντοπιστεί.
Τι ακριβώς είναι το κακόβουλο λογισμικό χωρίς αρχεία;
Όταν μιλάμε για κακόβουλο λογισμικό χωρίς αρχεία, εννοούμε κακόβουλος κώδικας που δεν εξαρτάται από ένα κλασικό εκτελέσιμο αρχείο σε δίσκο για να λειτουργήσει. Αντί να εγκαθίσταται όπως οποιοδήποτε άλλο πρόγραμμα, βασίζεται σε στοιχεία που υπάρχουν ήδη στο σύστημα (scripts, services, commanders, κ.λπ.) για να φορτώσει και να εκτελέσει τις εντολές του απευθείας στη μνήμη.
Από τεχνικής άποψης, αυτό το κακόβουλο λογισμικό συνήθως να ενσωματωθεί σε διεργασίες που ήδη εκτελούνται ή μπορούν να εκκινηθούν χρησιμοποιώντας εντολές που φορτώνουν τα πάντα στη μνήμη RAM. Αυτό σημαίνει ότι, μόλις απενεργοποιηθεί ή επανεκκινηθεί ο υπολογιστής, πολλές παραλλαγές εξαφανίζονται, αλλά εν τω μεταξύ έχουν άφθονο χρόνο να προκαλέσουν σοβαρές ζημιές.
Σε σύγκριση με το κακόβουλο λογισμικό που βασίζεται σε αρχεία, αυτές οι απειλές είναι ελαφρύτερο, πιο διακριτικό και πολύ πιο δύσκολο στην παρακολούθησηΔεν θα βρείτε ένα ύποπτο αρχείο .exe στον δίσκο, ούτε απαραίτητα ένα κακόβουλο πρόγραμμα εγκατάστασης: το πρόβλημα έγκειται στο τι συμβαίνει μέσα σε διεργασίες που φαίνονται αξιόπιστες.
Η άνοδος αυτής της προσέγγισης εκτοξεύτηκε γύρω στο 2017, όταν οι καμπάνιες άρχισαν να συνδυάζουν τεχνικές χωρίς αρχεία με clicker trojan, προηγμένο adware και εργαλεία απομακρυσμένης πρόσβασης (RAT)Σήμερα έχουν ενσωματωθεί σε κάθε είδους επιχειρήσεις: από κατασκοπεία και APTs μέχρι ransomware και cryptomining.
Πώς λειτουργεί το κακόβουλο λογισμικό χωρίς αρχεία στο εσωτερικό
Για να κατανοήσετε πώς λειτουργεί, αξίζει να θυμάστε ότι οι περισσότερες κανονικές εφαρμογές διανέμονται ως αρχείο που γράφεται στο δίσκο και στη συνέχεια φορτώνεται στη μνήμη όταν το εκτελεί ο χρήστης. Το κακόβουλο λογισμικό χωρίς αρχεία, από την άλλη πλευρά, παραλείπει το πρώτο βήμα και υλοποιείται απευθείας στη μνήμη RAM χρησιμοποιώντας μηχανισμούς του ίδιου του λειτουργικού συστήματος.
Πολλές εκστρατείες βασίζονται στην ιδέα του «να ζεις από τη γη» (ζώντας από τη γη): ο επιτιθέμενος καταχράται νόμιμες διοικητικές εξουσίες αντί για την εισαγωγή νέων δυαδικών αρχείων. Στα Windows, το κύριο παράδειγμα είναι το PowerShell, αλλά αξιοποιούνται επίσης τα σενάρια WMI, mshta, rundll32, VBScript ή JScript, καθώς και άλλα αξιόπιστα δυαδικά αρχεία (LoLBins).
Ένα τυπικό σενάριο θα ήταν: ένας χρήστης ανοίγει ένα έγγραφο του Office με κακόβουλο περιεχόμενο ή κάνει κλικ σε έναν σύνδεσμο ηλεκτρονικού "ψαρέματος" (phishing). Από εκεί, ένα σενάριο που καλεί το PowerShell ή κάποιο άλλο εργαλείο για λήψη, αποκρυπτογράφηση ή εισαγωγή του κώδικα για την επόμενη φάση στη μνήμη. Όλα αυτά μπορούν να συμβούν χωρίς να δημιουργηθεί ένα μόνιμο αρχείο στον σκληρό δίσκο.
Ένα άλλο κοινό διάνυσμα περιλαμβάνει την αξιοποίηση ευπάθειες εκτέλεσης απομακρυσμένου κώδικα, όπως υπερχείλιση buffer σε προγράμματα περιήγησης, πρόσθετα ή εφαρμογές διακομιστή. Εκμεταλλευόμενος την ευπάθεια, ο εισβολέας μπορεί να εκτελέσει απευθείας shellcode εντός της ευάλωτης διεργασίας και, από εκεί, να φορτώσει τα υπόλοιπα στοιχεία στη μνήμη.
Ορισμένες παραλλαγές καταφεύγουν ακόμη και σε Μητρώο των Windows ή προγραμματισμένες εργασίες για την αποθήκευση σεναρίων ή εντολών που επανενεργοποιούν την επίθεση κατά την εκκίνηση του συστήματος ή όταν ένας χρήστης συνδέεται. Ακόμα κι αν κάτι γραφτεί στο Μητρώο, η κύρια κακόβουλη λογική συνεχίζει να εκτελείται στη μνήμη, καθιστώντας δύσκολη την ανίχνευσή της με εργαλεία που επικεντρώνονται αποκλειστικά στο σύστημα αρχείων.
Μέθοδοι μόλυνσης και αρχική πρόσβαση
Η μπροστινή πόρτα είναι συνήθως αρκετά κλασική: ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing), κακόβουλοι σύνδεσμοι και πλαστά έγγραφα Παραμένουν οι βασιλείς της αρχικής πρόσβασης, παρόλο που χρησιμοποιούνται τεχνικές χωρίς αρχεία από κάτω. Το κόλπο είναι ότι σε ολόκληρη την αλυσίδα, καταβάλλεται κάθε δυνατή προσπάθεια για την ελαχιστοποίηση οποιουδήποτε αποτυπώματος δίσκου.
Σε πολλά περιστατικά χρησιμοποιούνται Έγγραφα του Microsoft Office με μακροεντολές Όταν ενεργοποιηθούν, αυτές οι μακροεντολές καλούν το PowerShell ή το WMI για να κατεβάσουν και να εκτελέσουν το επόμενο στάδιο της επίθεσης στη μνήμη. Ακόμα και χωρίς μακροεντολές, οι εισβολείς εκμεταλλεύονται τρωτά σημεία στο Word, το Excel, Αναγνώστες PDF ή την ίδια τη μηχανή scripting για την επίτευξη εκτέλεσης κώδικα.
Μια άλλη προσέγγιση περιλαμβάνει την άμεση αξιοποίηση φαινομενικά ακίνδυνα εκτελέσιμα αρχεία που λαμβάνει ο χρήστης μέσω email ή λήψης από τον ιστό. Αυτό το εκτελέσιμο αρχείο μπορεί να εξαγάγει μια κακόβουλη ενότητα και να τη φορτώσει στη μνήμη χρησιμοποιώντας τεχνικές όπως η αντανάκλαση στο .NET, χωρίς να την αποθηκεύσει στην πραγματικότητα στο δίσκο ως ξεχωριστό αρχείο.
Υπάρχουν επίσης καμπάνιες που στοχεύουν διακομιστές ιστού ή εφαρμογές που εκτίθενται στο Διαδίκτυο, όπου η ευπάθεια χρησιμοποιείται για την ανάπτυξη... webshells με στοιχεία χωρίς αρχείαΈνα πρόσφατο παράδειγμα είναι η χρήση του Godzilla και παρόμοιων εργαλείων, στα οποία κακόβουλος κώδικας ταξιδεύει μέσα σε αιτήματα HTTP και εγχέεται απευθείας στη μνήμη του παραβιασμένου διακομιστή.
Τέλος, οι επιτιθέμενοι συχνά καταφεύγουν σε κλεμμένα διαπιστευτήριαΕάν λάβουν το όνομα χρήστη και τον κωδικό πρόσβασης ενός διαχειριστή ή ενός προνομιακού λογαριασμού, μπορούν να συνδεθούν μέσω RDP ή άλλων καναλιών και να εκκινήσουν χειροκίνητα σενάρια PowerShell, εντολές WMI ή εργαλεία διαχείρισης που φορτώνουν το κακόβουλο λογισμικό στη μνήμη χωρίς να αφήνουν νέα εκτελέσιμα αρχεία στο σύστημα.
Συγκεκριμένες τεχνικές που χρησιμοποιούνται από κακόβουλο λογισμικό χωρίς αρχεία
Ένα από τα κλειδιά για αυτές τις επιθέσεις είναι η επαναχρησιμοποίηση εγγενή εργαλεία των Windows ως όχημα για τα σενάριά τους. Αυτό προκαλεί την ανάμειξη κακόβουλης δραστηριότητας με τις συνήθεις διοικητικές εργασίες, περιπλέκοντας την ανάλυση και την απόκριση.
Μεταξύ των πιο συνηθισμένων τεχνικών βρίσκουμε τη χρήση PowerShell ως ενσωματωμένο πρόγραμμα εκκίνησης κώδικα απευθείας από τη γραμμή εντολών. Για παράδειγμα, ένα ασαφές σενάριο μεταβιβάζεται ως παράμετρος, η πολιτική εκτέλεσης απενεργοποιείται, το παράθυρο αποκρύπτεται και ένα ωφέλιμο φορτίο λαμβάνεται απευθείας στη μνήμη, όλα αυτά χωρίς να αφήνεται ορατό ένα αρχείο .ps1 ή οποιοδήποτε ύποπτο εκτελέσιμο αρχείο.
Μια άλλη πολύ δημοφιλής τακτική είναι η αποθήκευση κακόβουλων σεναρίων στο Συνδρομές στα Windows Management Instrumentation (WMI)Κατά διαστήματα, το WMI ενεργοποιεί το σενάριο, το οποίο μπορεί να εκτελέσει κώδικα από τη μνήμη, να συνδεθεί με διακομιστές εντολών και ελέγχου ή να ξεκινήσει νέα στάδια της μόλυνσης.
Ομοίως, πολλές ομάδες χρησιμοποιούν το Μητρώο των Windows και Χρονοδιάγραμμα εργασιών ως καταφύγιο για τα σενάρια και τις εντολές τους. Αντί να τοποθετούν ένα εκτελέσιμο αρχείο στον φάκελο εκκίνησης, ορίζουν κλειδιά εκκίνησης ή προγραμματισμένες εργασίες που εκτελούν σενάρια PowerShell, mshta ή rundll32 με ενσωματωμένο ή on-the-fly κώδικα.
Τεχνικές εμφανίζονται επίσης σε αντανάκλαση στο .NETόπου ένα ελαφρύ εκτελέσιμο αρχείο περιέχει κρυπτογραφημένα ή συμπιεσμένα συγκροτήματα που φορτώνονται απευθείας στη μνήμη χρησιμοποιώντας το Reflection.Load, χωρίς ποτέ να γραφτούν ως αρχεία .dll στο δίσκο. Αυτό επιτρέπει την ανάπτυξη πολύ εξελιγμένων Trojans μέσα σε μια ενιαία, φαινομενικά κανονική διεργασία.
Τι μπορεί να κάνει μια επίθεση χωρίς αρχεία;
Παρά το όνομά της, μια επίθεση χωρίς αρχεία δεν περιορίζεται στην επίδρασή της. Στην πραγματικότητα, μπορεί να εκτελέσει τις ίδιες λειτουργίες με το παραδοσιακό κακόβουλο λογισμικό: κλοπή πληροφοριών, κρυπτογράφηση δεδομένων, πλευρική μετακίνηση, κατασκοπεία, εξόρυξη κρυπτονομισμάτων ή εγκατάσταση μόνιμων κερκόπορτων.
Πολλές καμπάνιες χωρίς αρχεία συμπεριφέρονται ως εξής: κλέφτης διαπιστευτηρίωνΑυτό περιλαμβάνει την καταγραφή κωδικών πρόσβασης, διακριτικών περιόδου σύνδεσης ή κατακερματισμών ελέγχου ταυτότητας από τη μνήμη ευαίσθητων διεργασιών. Αυτό διευκολύνει την κλιμάκωση προνομίων, την παραβίαση περισσότερων συστημάτων και τη διατήρηση παρατεταμένης πρόσβασης χωρίς να καταφεύγετε σε πρόσθετα δυαδικά αρχεία.
Άλλοι επικεντρώνονται σε ransomware χωρίς αρχείαόπου μέρος της λογικής κρυπτογράφησης και επικοινωνίας εκτελείται απευθείας στη μνήμη. Παρόλο που ένα στοιχείο δίσκου μπορεί να εμφανιστεί κάποια στιγμή για να χειραγωγήσει μεγάλο αριθμό αρχείων, η αρχική φόρτωση και ο έλεγχος της επίθεσης γίνονται με τεχνικές χωρίς αρχεία για να αποφευχθεί η έγκαιρη ανίχνευση.
Οι εισβολείς μπορούν επίσης να εγκαταστήσουν rootkits ή προηγμένα RATs Μόλις εγκατασταθούν, αυτά τα εργαλεία χρησιμοποιούν κανάλια χωρίς αρχεία για να λαμβάνουν εντολές, να μετακινούνται στο δίκτυο και να ενημερώνουν λειτουργικές μονάδες. Επειδή είναι ενσωματωμένα σε διαδικασίες συστήματος ή κρίσιμες υπηρεσίες, αυτά τα εργαλεία είναι ιδιαίτερα δύσκολο να εξαλειφθούν.
Στο οικονομικό μέτωπο, οι επιπτώσεις μεταφράζονται σε απώλεια δεδομένων, διακοπές υπηρεσιών, κανονιστικά πρόστιμα και βλάβη στη φήμηΔεδομένου ότι αυτές οι εισβολές συχνά δεν εντοπίζονται για μήνες, ο όγκος των πληροφοριών που έχουν εξαχθεί και το εύρος της παραβίασης μπορεί να είναι τεράστιο.
Φάσεις μιας επίθεσης κακόβουλου λογισμικού χωρίς αρχεία
Αν και οι τεχνικές πτυχές είναι διαφορετικές, ο κύκλος ζωής μιας επίθεσης χωρίς αρχεία είναι αρκετά παρόμοιος με αυτόν οποιασδήποτε προηγμένης εισβολής. Ποιες είναι οι αλλαγές; μηχανισμοί που χρησιμοποιούνται σε κάθε φάση και ο τρόπος που καμουφλάρονται.
Στο στάδιο του αρχική πρόσβασηΟ εισβολέας χρειάζεται ένα αρχικό σημείο εκκίνησης: ένα κλικ σε έναν σύνδεσμο ηλεκτρονικού "ψαρέματος" (phishing), το άνοιγμα ενός εγγράφου που περιέχει μακροεντολές, την εκμετάλλευση ενός ευάλωτου διακομιστή ή την επαναχρησιμοποίηση παραβιασμένων διαπιστευτηρίων. Από εκεί και πέρα, ο στόχος είναι η εκτέλεση κώδικα εντός του συστήματος-στόχου.
Μόλις ολοκληρωθεί αυτό το βήμα, ξεκινά η επόμενη φάση εκτέλεση στη μνήμηΕδώ είναι που χρησιμοποιούνται οι διερμηνείς PowerShell, WMI, mshta, rundll32, VBScript, JScript ή άλλοι για τη φόρτωση και την ενεργοποίηση του ωφέλιμου φορτίου χωρίς τη δημιουργία μόνιμων εκτελέσιμων αρχείων στο δίσκο. Ο κώδικας συνήθως είναι συσκοτισμένος ή κρυπτογραφημένος και αποκρυπτογραφείται μόνο στη μνήμη RAM.
Τότε αρχίζει η καταδίωξη επιμονήΠαρόλο που πολλά αρχεία χωρίς αρχεία εξαφανίζονται κατά την επανεκκίνηση του υπολογιστή, οι εξελιγμένοι εισβολείς συνδυάζουν σενάρια που βρίσκονται στη μνήμη RAM με κλειδιά μητρώου, προγραμματισμένες εργασίες ή συνδρομές WMI που επανεκκινούν τον κώδικα κάθε φορά που πληρούται μια συγκεκριμένη συνθήκη, όπως η εκκίνηση του συστήματος ή η σύνδεση χρήστη.
Τέλος, το τελικοί στόχοι Οι ενέργειες του εισβολέα περιλαμβάνουν: κλοπή και εξαγωγή δεδομένων, κρυπτογράφηση πληροφοριών, ανάπτυξη περισσότερου κακόβουλου λογισμικού, συνεχή κατασκοπεία και δολιοφθορά κρίσιμων συστημάτων. Όλα αυτά γίνονται με στόχο τη διατήρηση του χαμηλότερου δυνατού προφίλ για την αποφυγή έγκαιρων ειδοποιήσεων και εγκληματολογικής ανάλυσης.
Γιατί είναι τόσο δύσκολο να εντοπιστεί;
Το μεγάλο πρόβλημα με το κακόβουλο λογισμικό χωρίς αρχεία είναι ότι Σπάει το κλασικό αμυντικό μοντέλο που βασίζεται σε αρχεία και υπογραφέςΕάν δεν υπάρχει κάποιο ύποπτο εκτελέσιμο αρχείο προς ανάλυση, πολλές μηχανές προστασίας από ιούς παραμένουν τυφλές σε ό,τι συμβαίνει στη μνήμη και στις νόμιμες διεργασίες.
Η απουσία αρχείων στον δίσκο υποδηλώνει ότι Δεν υπάρχουν αντικείμενα για περιοδική σάρωση σε αναζήτηση γνωστών μοτίβων. Επιπλέον, αξιοποιώντας δυαδικά αρχεία που έχουν υπογραφεί από το ίδιο το λειτουργικό σύστημα, όπως PowerShell.exe, wscript.exe ή rundll32.exe, η κακόβουλη δραστηριότητα συγκαλύπτεται πίσω από ονόματα που ο διαχειριστής συνήθως εμπιστεύεται.
Επιπλέον, πολλά κληρονομικά προϊόντα έχουν Περιορισμένη ορατότητα σε διεργασίες που εκτελούνταιΕστιάζουν στο σύστημα αρχείων και στην κίνηση δικτύου, αλλά μόλις που ελέγχουν τις εσωτερικές κλήσεις API, τις παραμέτρους γραμμής εντολών, τη συμπεριφορά σεναρίων ή τα συμβάντα μητρώου που θα μπορούσαν να προδώσουν μια επίθεση χωρίς αρχεία.
Οι επιτιθέμενοι, γνωρίζοντας αυτούς τους περιορισμούς, καταφεύγουν σε τεχνικές συσκότισης, κρυπτογράφησης και κατακερματισμού κώδικαΓια παράδειγμα, διαιρούν ένα κακόβουλο σενάριο σε πολλά τμήματα που συναρμολογούνται σε πραγματικό χρόνο ή κρύβουν οδηγίες μέσα σε εικόνες, ενσωματωμένους πόρους ή φαινομενικά αβλαβείς συμβολοσειρές.
Σε περιβάλλοντα όπου τα συστήματα σπάνια επανεκκινούνται (κρίσιμοι διακομιστές, τερματικά παραγωγής κ.λπ.), το κακόβουλο λογισμικό που βρίσκεται στη μνήμη μπορεί να... παραμένουν ενεργά για εβδομάδες ή μήνες χωρίς να εντοπιστεί, ειδικά αν κινείστε προσεκτικά και ελαχιστοποιείτε τον όγκο της κυκλοφορίας ή τις εμφανείς ενέργειες.
Περιορισμοί των παραδοσιακών αμυντικών μέσων
Η αρχική αντίδραση πολλών παρόχων σε αυτήν την απειλή ήταν να προσπαθήσουν περιορίστε ή αποκλείστε άμεσα εργαλεία όπως οι μακροεντολές PowerShell ή OfficeΑν και μπορεί να μειώσει ορισμένα διανύσματα, δεν αποτελεί ρεαλιστική ή ολοκληρωμένη λύση στους περισσότερους οργανισμούς.
Το PowerShell έχει γίνει ένα βασικό στοιχείο για τη διαχείριση συστήματος των WindowsΑυτοματοποίηση εργασιών, ανάπτυξη λογισμικού και διαχείριση διακομιστών. Ο πλήρης αποκλεισμός του θα παρέλυε τις ροές εργασίας IT και θα ανάγκαζε την επαναφορά πολλών εσωτερικών διαδικασιών.
Επιπλέον, από την οπτική γωνία του εισβολέα, υπάρχουν πολλοί τρόποι για να παράκαμψη μιας απλής πολιτικής αποκλεισμούΥπάρχουν τεχνικές για τη φόρτωση της μηχανής PowerShell από βιβλιοθήκες (dll) χρησιμοποιώντας το rundll32, τη μετατροπή σεναρίων σε εκτελέσιμα με εργαλεία όπως το PS2EXE, τη χρήση τροποποιημένων αντιγράφων του PowerShell.exe ή ακόμα και την ενσωμάτωση σεναρίων PowerShell σε εικόνες PNG και την εκτέλεσή τους με ασαφείς γραμμές εντολών.
Κάτι παρόμοιο συμβαίνει και με τις μακροεντολές του Office: Πολλές εταιρείες εξαρτώνται από αυτούς για την αυτοματοποίηση αναφορών, υπολογισμών και επιχειρηματικών διαδικασιών. Η απενεργοποίησή τους καθολικά μπορεί να προκαλέσει προβλήματα στις εσωτερικές εφαρμογές, ενώ η αποκλειστική εξάρτηση από τη στατική ανάλυση κώδικα VBA συχνά οδηγεί σε ένα δύσκολο στη διαχείριση ποσοστό ψευδώς θετικών και ψευδώς αρνητικών αποτελεσμάτων.
Επιπλέον, ορισμένες προσεγγίσεις που βασίζονται σε ανίχνευση-ως-υπηρεσία που βασίζεται στο cloud Απαιτούν συνεχή συνδεσιμότητα και, μερικές φορές, λειτουργούν με μεγάλη καθυστέρηση για να αποτρέψουν την αρχική εκτέλεση του κακόβουλου λογισμικού. Εάν η απόφαση αποκλεισμού ληφθεί δευτερόλεπτα ή λεπτά αργότερα, η ζημιά μπορεί να έχει ήδη γίνει.
Μετατοπίσεις εστίασης: από αρχεία σε συμπεριφορά
Δεδομένου ότι το αρχείο δεν είναι πλέον το κύριο στοιχείο, οι σύγχρονες αμυντικές λύσεις επικεντρώνονται σε παρακολουθήστε τη συμπεριφορά των διεργασιών αντί να ελέγχουν απλώς το περιεχόμενο των αρχείων. Η ιδέα είναι ότι, παρόλο που υπάρχουν χιλιάδες παραλλαγές κακόβουλου λογισμικού, τα πρότυπα κακόβουλης δραστηριότητας είναι πολύ λιγότερο ποικίλα.
Αυτή η προσέγγιση βασίζεται σε κινητήρες ανάλυση συμπεριφοράς και μηχανική μάθηση που παρακολουθούν συνεχώς τι κάνει κάθε διεργασία: ποιες εντολές εκτελεί, ποιους πόρους συστήματος αγγίζει, πώς επικοινωνεί με τον έξω κόσμο και ποιες αλλαγές προσπαθεί να εισαγάγει στο περιβάλλον.
Για παράδειγμα, μια διεργασία του Office μπορεί να επισημανθεί ως ύποπτη εάν εκτελεί μια ασαφή εντολή PowerShell με παραμέτρους για την απενεργοποίηση πολιτικών ασφαλείας και τη λήψη κώδικα από ύποπτο τομέα. Ή μια διεργασία που, χωρίς προφανή λόγο, αποκτά ξαφνικά πρόσβαση σε εκατοντάδες ευαίσθητα αρχεία ή τροποποιεί κρίσιμα κλειδιά μητρώου.
Η τελευταία γενιά συστημάτων EDR και πλατφορμών XDR συλλέγει λεπτομερής τηλεμετρία τελικών σημείων, διακομιστών και δικτύουκαι είναι σε θέση να ανακατασκευάσουν ολοκληρωμένες ιστορίες (μερικές φορές ονομάζονται StoryLines) για το πώς προέκυψε ένα περιστατικό, ποιες διαδικασίες εμπλέκονταν και ποιες αλλαγές υπέστη το επηρεαζόμενο μηχάνημα.
Μια καλή μηχανή συμπεριφοράς όχι μόνο ανιχνεύει την απειλή, αλλά μπορεί επίσης μετριασμός ή αυτόματη αντιστροφή κακόβουλων ενεργειών: τερματισμός των εμπλεκόμενων διεργασιών, απομόνωση του υπολογιστή, επαναφορά κρυπτογραφημένων αρχείων, αναίρεση αλλαγών στο Μητρώο και διακοπή των επικοινωνιών με τους τομείς εντολών και ελέγχου.
Τεχνολογίες και πηγές βασικών συμβάντων στα Windows
Για να αναλύσετε απειλές χωρίς αρχεία στα Windows, είναι ιδιαίτερα χρήσιμο να αξιοποιήσετε εγγενείς μηχανισμοί τηλεμετρίας λειτουργικού συστήματος, τα οποία υπάρχουν ήδη και προσφέρουν πολλές πληροφορίες για το τι συμβαίνει στο παρασκήνιο.
Από τη μία είναι Παρακολούθηση συμβάντων για Windows (ETW)Το ETW είναι ένα πλαίσιο που επιτρέπει την καταγραφή εξαιρετικά λεπτομερών συμβάντων που σχετίζονται με την εκτέλεση διεργασιών, τις κλήσεις API, την πρόσβαση στη μνήμη και άλλες εσωτερικές πτυχές του συστήματος. Πολλές λύσεις EDR βασίζονται στο ETW για την ανίχνευση άτυπης συμπεριφοράς σε πραγματικό χρόνο.
Ένα άλλο βασικό κομμάτι είναι Διεπαφή σάρωσης κατά κακόβουλου λογισμικού (AMSI)Το AMSI είναι ένα API που έχει σχεδιαστεί από τη Microsoft για να επιτρέπει στους μηχανισμούς ασφαλείας να ελέγχουν τα σενάρια και το δυναμικό περιεχόμενο λίγο πριν από την εκτέλεσή τους, ακόμα και αν είναι ασαφή. Το AMSI είναι ιδιαίτερα χρήσιμο με PowerShell, VBScript, JScript και άλλες γλώσσες προγραμματισμού.
Επιπλέον, οι σύγχρονοι κινητήρες αναλύονται περιοδικά. ευαίσθητες περιοχές όπως το Μητρώο, το Χρονοδιάγραμμα Εργασιών, οι συνδρομές WMI ή οι πολιτικές εκτέλεσης σεναρίωνΟι ύποπτες αλλαγές σε αυτές τις περιοχές είναι συχνά ένα σημάδι ότι μια επίθεση χωρίς αρχεία έχει εδραιώσει την επιμονή της.
Όλα αυτά συμπληρώνονται από ευρετικές μεθόδους που λαμβάνουν υπόψη όχι μόνο την τρέχουσα διαδικασία, αλλά και την πλαίσιο εκτέλεσης: από πού προέρχεται η γονική διεργασία, ποια δραστηριότητα δικτύου έχει παρατηρηθεί πριν και μετά, εάν έχουν υπάρξει παράξενες αποτυχίες, ανώμαλα μπλοκαρίσματα ή άλλα σήματα που, αθροιζόμενα, γέρνουν την πλάστιγγα προς την υποψία.
Πρακτικές στρατηγικές ανίχνευσης και πρόληψης
Στην πράξη, η προστασία του εαυτού από αυτές τις απειλές περιλαμβάνει τον συνδυασμό τεχνολογία, διαδικασίες και εκπαίδευσηΔεν αρκεί να εγκαταστήσετε ένα antivirus και να το ξεχάσετε. Απαιτείται μια πολυεπίπεδη στρατηγική προσαρμοσμένη στην πραγματική συμπεριφορά του κακόβουλου λογισμικού χωρίς αρχεία.
Σε τεχνικό επίπεδο, είναι απαραίτητο να αναπτυχθεί Λύσεις EDR ή XDR με δυνατότητες ανάλυσης συμπεριφοράς και ορατότητα σε επίπεδο διεργασίας. Αυτά τα εργαλεία πρέπει να είναι σε θέση να καταγράφουν και να συσχετίζουν τη δραστηριότητα σε πραγματικό χρόνο, να αποκλείουν την ασυνήθιστη συμπεριφορά και να παρέχουν σαφείς εγκληματολογικές πληροφορίες στην ομάδα ασφαλείας.
Είναι επίσης βολικό Περιορισμός της χρήσης PowerShell, WMI και άλλων διερμηνέων σε ό,τι είναι απολύτως απαραίτητο, εφαρμόζοντας λίστες ελέγχου πρόσβασης, υπογραφή σεναρίων (υπογραφή κώδικα) και πολιτικές εκτέλεσης που περιορίζουν τον κώδικα που μπορεί να εκτελεστεί και με ποια προνόμια.
Από την πλευρά του χρήστη, η εκπαίδευση παραμένει ζωτικής σημασίας: είναι απαραίτητο να ενισχυθεί η επίγνωση για ηλεκτρονικό ψάρεμα (phishing), ύποπτους συνδέσμους και μη αναμενόμενα έγγραφαΑυτό είναι ιδιαίτερα σημαντικό για το προσωπικό με πρόσβαση σε ευαίσθητες πληροφορίες ή προνόμια υψηλού επιπέδου. Η μείωση του αριθμού των απρόσεκτων κλικ μειώνει σημαντικά την επιφάνεια επίθεσης.
Τέλος, δεν μπορεί κανείς να αγνοήσει την κύκλος ενημέρωσης κώδικα και λογισμικούΠολλές αλυσίδες χωρίς αρχεία ξεκινούν εκμεταλλευόμενες γνωστά τρωτά σημεία για τα οποία υπάρχουν ήδη ενημερώσεις κώδικα (patches). Η ενημέρωση των προγραμμάτων περιήγησης, των πρόσθετων (plugins), των εταιρικών εφαρμογών και των λειτουργικών συστημάτων κλείνει πολύτιμες πόρτες για τους εισβολείς.
Διαχειριζόμενες υπηρεσίες και κυνήγι απειλών
Σε μεσαίους και μεγάλους οργανισμούς, όπου ο όγκος των εκδηλώσεων είναι τεράστιος, είναι δύσκολο για την εσωτερική ομάδα να δει τα πάντα. Γι' αυτό και η δημοτικότητά τους αυξάνεται. υπηρεσίες παρακολούθησης και διαχειριζόμενης απόκρισης (MDR/EMDR) και κέντρα επιχειρήσεων εξωτερικής ασφάλειας (SOC).
Αυτές οι υπηρεσίες συνδυάζουν την προηγμένη τεχνολογία με ομάδες αναλυτών που παρακολουθούν 24/7 τα περιβάλλοντα των πελατών τους, συσχετίζοντας αδύναμα σήματα που διαφορετικά θα περνούσαν απαρατήρητα. Η ιδέα είναι να εντοπιστούν συμπεριφορές τυπικές του κακόβουλου λογισμικού χωρίς αρχεία πριν προκληθεί ζημιά.
Πολλά SOC βασίζονται σε πλαίσια όπως MITER ATT & CK να καταγράψουν τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) των αντιπάλων και να δημιουργήσουν συγκεκριμένους κανόνες που να προσανατολίζονται στην εκτέλεση εντός της μνήμης, την κατάχρηση LoLBins, το κακόβουλο WMI ή τα μοτίβα μυστικής εξαγωγής δεδομένων.
Εκτός από τη συνεχή παρακολούθηση, αυτές οι υπηρεσίες συνήθως περιλαμβάνουν: εγκληματολογική ανάλυση, αντιμετώπιση περιστατικών και συμβουλευτική για τη βελτίωση της αρχιτεκτονικής ασφαλείας, το κλείσιμο επαναλαμβανόμενων κενών και την ενίσχυση των ελέγχων σε τερματικά σημεία και διακομιστές.
Για πολλές εταιρείες, η εξωτερική ανάθεση μέρους αυτής της λειτουργίας είναι ο πιο βιώσιμος τρόπος αντιμετώπισης τόσο σύνθετων απειλών, καθώς δεν έχουν όλοι την οικονομική δυνατότητα να έχουν μια εσωτερική ομάδα που ειδικεύεται στην αναζήτηση προηγμένου κακόβουλου λογισμικού.
Η πραγματικότητα είναι ότι το κακόβουλο λογισμικό χωρίς αρχεία έχει αλλάξει για πάντα τον τρόπο που κατανοούμε την ασφάλεια των τελικών σημείων: Τα αρχεία δεν είναι πλέον ο μόνος βασικός δείκτηςΚαι μόνο ένας συνδυασμός βαθιάς ορατότητας, ανάλυσης συμπεριφοράς, καλών πρακτικών διαχείρισης και μιας εκτεταμένης κουλτούρας κυβερνοασφάλειας μπορεί να το κρατήσει σε απόσταση σε καθημερινή βάση.
