- Failita pahavara töötab mälus ja kuritarvitab legitiimseid tööriistu, näiteks PowerShelli või WMI-d.
- See võib varastada andmeid, krüpteerida faile või nuhkida arvuteid, jätmata kettale nähtavaid jälgi.
- Tõhusaks tuvastamiseks on vaja jälgida käitumist ja protsesse, mitte ainult faile.
- Kaitsmiseks on vaja EDR-i, segmenteerimist, paranduste tegemist ning skriptide ja makrode kasutamise vähendamist.
Viimastel aastatel on failideta pahavara Failita pahavara on muutunud IT- ja turvameeskondade üheks tõsisemaks peavalu tekitajaks. Me ei räägi tüüpilisest viirusest, mille manusena alla laadite ja viirusetõrjekontrolliga eemaldada saate, vaid millestki palju salakavalamast, mis peidab end süsteemi enda protsessides.
Selline oht kasutab ära legitiimsed operatsioonisüsteemi tööriistadEriti Windowsi puhul suudab see pahatahtlikku koodi otse muutmälusse käivitada. Kuna see ei jäta kettale peaaegu mingeid jälgi, suudab see paljudest traditsioonilistest viirusetõrjeprogrammidest mööda hiilida ja jääda piisavalt aktiivseks, et varastada teavet, krüpteerida faile või hoida tagauksi avastamata.
Mis täpselt on failideta pahavara?
Failita pahavarast rääkides peame silmas pahatahtlik kood, mis ei sõltu kettal olevast klassikalisest käivitatavast failist toimima. Selle asemel, et seda installida nagu iga teist programmi, tugineb see süsteemis juba olemasolevatele komponentidele (skriptid, teenused, käskude interpretaatorid jne), et laadida ja käivitada oma juhiseid otse mällu.
Tehnilisest küljest vaadatuna on see pahavara tavaliselt süstimiseks juba töötavatesse protsessidesse või saab neid käivitada käskudega, mis laadivad kõik muutmällu. See tähendab, et kui arvuti välja lülitada või taaskäivitada, kaovad paljud variandid, kuid vahepeal on neil piisavalt aega tõsist kahju tekitada.
Võrreldes failipõhise pahavaraga on need ohud kergem, diskreetsem ja palju raskemini jälgitavKettalt ei leia te kahtlast .exe-faili ega tingimata pahatahtlikku installijat: probleem seisneb selles, mis toimub protsessides, mis tunduvad usaldusväärsed.
Selle lähenemisviisi populaarsus kasvas hüppeliselt umbes 2017. aastal, kui kampaaniates hakati failideta tehnikaid kombineerima klikkijad troojalased, täiustatud reklaamvara ja kaugjuurdepääsu tööriistad (RAT-id)Tänapäeval on need integreeritud igasugustesse operatsioonidesse: alates spionaažist ja APT-dest kuni lunavara ja krüptokaevandamiseni.
Kuidas failideta pahavara seespool töötab
Selle toimimise mõistmiseks tasub meeles pidada, et enamik tavalisi rakendusi levitatakse kui fail, mis kirjutatakse kettale ja laaditakse seejärel mällu kui kasutaja selle käivitab. Failita pahavara seevastu jätab esimese sammu vahele ja materialiseerub otse RAM-is, kasutades operatsioonisüsteemi enda mehhanisme.
Paljud kampaaniad tuginevad ideele "elada maalt oma omandisse" (maast elamine): ründaja kuritarvitab seaduslikke haldusvolitusi uute binaarfailide loomise asemel. Windowsis on peamine näide PowerShell, kuid ära kasutatakse ka WMI, mshta, rundll32, VBScripti või JScripti skripte ja teisi usaldusväärseid binaarfaile (LoLBins).
Tüüpiline stsenaarium oleks järgmine: kasutaja avab pahatahtliku sisuga Office'i dokumendi või klõpsab andmepüügilingil; sealt edasi skript, mis käivitab PowerShelli või mõni muu tööriist järgmise etapi koodi allalaadimiseks, dekrüpteerimiseks või sisestamiseks mällu. Kõik see saab toimuda ilma kõvakettale püsivat faili loomata.
Teine levinud vektor hõlmab ärakasutamist kaugkoodi käivitamise haavatavused, näiteks puhvri ületäitumine brauserites, pluginates või serverirakendustes. Haavatavust ära kasutades saab ründaja haavatavas protsessis otse kestakoodi käivitada ja sealt ülejäänud komponendid mällu laadida.
Mõned variandid kasutavad isegi Windowsi register või ajastatud toimingud skriptide või käskude salvestamiseks, mis rünnaku süsteemi käivitamisel või kasutaja sisselogimisel uuesti aktiveerivad. Isegi kui registrisse midagi kirjutatakse, jätkab peamine pahatahtlik loogika mälus töötamist, mistõttu on seda raske tuvastada ainult failisüsteemile keskenduvate tööriistadega.
Nakatumisviisid ja esialgne juurdepääs
Esiuks on tavaliselt üsna klassikaline: andmepüügimeilid, pahatahtlikud lingid ja võltsitud dokumendid Nad jäävad esmase juurdepääsu kuningateks, isegi kui kasutatakse failideta tehnikaid. Nipp seisneb selles, et kogu ahelas tehakse kõik endast olenev, et minimeerida ketta jalajälge.
Paljudel juhtudel kasutatakse neid Microsoft Office'i dokumendid makrodega Aktiveerimisel kutsuvad need makrod PowerShelli või WMI-d, et alla laadida ja käivitada rünnaku järgmine etapp mälus. Isegi ilma makrodeta saavad ründajad ära kasutada Wordi, Exceli, PDF lugejad või skriptimismootor ise koodi käivitamise saavutamiseks.
Teine lähenemisviis hõlmab otsest võimendamist pealtnäha kahjutud käivitatavad failid mille kasutaja saab e-posti teel või veebist alla laadides. See käivitatav fail suudab pahatahtliku mooduli välja võtta ja selle mällu laadida, kasutades selliseid tehnikaid nagu .NET-i peegeldus, ilma et see tegelikult eraldi failina kettale salvestataks.
Samuti on kampaaniaid, mis on suunatud internetiga kokkupuutuvate veebiserverite või rakenduste vastu, kus haavatavust kasutatakse juurutamiseks failideta komponentidega veebikooredHiljutine näide on Godzilla ja sarnaste tööriistade kasutamine, mille puhul pahatahtlik kood liigub HTTP-päringute sees ja süstitakse otse ohustatud serveri mällu.
Lõpuks kasutavad ründajad sageli varastatud volitusedKui nad saavad kätte administraatori või privilegeeritud konto kasutajanime ja parooli, saavad nad sisse logida RDP või muude kanalite kaudu ning käivitada käsitsi PowerShelli skripte, WMI käske või administratiivseid tööriistu, mis laadivad pahavara mällu ilma süsteemi uusi käivitatavaid faile jätmata.
Failita pahavara poolt kasutatavad spetsiifilised tehnikad
Üks nende rünnakute võtmeid on taaskasutamine Windowsi algtööriistad oma skriptide vahendajana. See põhjustab pahatahtliku tegevuse sulandumist tavapäraste haldusülesannetega, mis raskendab analüüsi ja reageerimist.
Kõige levinumate tehnikate hulgas leiame kasutamise PowerShell manustatud koodi käivitajana otse käsurealt. Näiteks edastatakse parameetrina hägustatud skript, täitmispoliitika keelatakse, aken peidetakse ja kasulik koormus laaditakse otse mällu, jätmata nähtavaks .ps1-faili või ühtegi kahtlast käivitatavat faili.
Teine väga populaarne taktika on pahatahtlike skriptide salvestamine Windowsi haldustarkvara (WMI) tellimusedAeg-ajalt käivitab WMI skripti, mis suudab käivitada koodi mälust, luua ühenduse juhtimisserveritega või käivitada nakkuse uusi etappe.
Samamoodi kasutavad paljud rühmad Windowsi register ja ülesannete ajastaja oma skriptide ja käskude pelgupaigana. Käivitatava faili käivitamiskausta paigutamise asemel defineerivad nad käivitusvõtmed või ajastatud ülesanded, mis käivitavad PowerShelli, mshta või rundll32 skripte manustatud või reaalajas koodiga.
Tehnikaid on näha ka peegeldus .NET-iskus kerge käivitatav fail sisaldab krüpteeritud või tihendatud assambleesid, mis laaditakse otse mällu Reflection.Loadi abil, ilma et neid kunagi .dll-failidena kettale kirjutataks. See võimaldab väga keerukate troojalaste juurutamist ühe pealtnäha tavalise protsessi käigus.
Mida saab failideta rünnak teha?
Vaatamata nimele pole failideta rünnaku mõju piiratud. Tegelikult võib see toimida samad funktsioonid nagu traditsioonilisel pahavaralinfovargus, andmete krüpteerimine, külgliikumine, spionaaž, krüptovaluuta kaevandamine või püsivate tagauste paigaldamine.
Paljud failideta kampaaniad käituvad nagu volikirja varasSee hõlmab paroolide, seansimärkide või autentimisräsi jäädvustamist tundlike protsesside mälust. See lihtsustab õiguste laiendamist, rohkemate süsteemide ohtu seadmist ja pikaajalise juurdepääsu säilitamist ilma täiendavate binaarfailideta.
Teised keskenduvad failideta lunavarakus osa krüpteerimis- ja kommunikatsiooniloogikast käivitatakse otse mälus. Kuigi kettakomponent võib mingil hetkel manipuleerida suure hulga failidega, toimub rünnaku esialgne laadimine ja juhtimine failideta tehnikate abil, et vältida varajast avastamist.
Ründajad saavad installida ka rootkitid või täiustatud RAT-id Kui need tööriistad on loodud, kasutavad nad käskude vastuvõtmiseks, võrgus liikumiseks ja moodulite värskendamiseks failideta kanaleid. Kuna need on integreeritud süsteemiprotsessidesse või kriitilistesse teenustesse, on neid tööriistu eriti raske välja juurida.
Majanduslikul tasandil avaldub mõju järgmiselt: andmete kadu, teenuse katkestused, regulatiivsed trahvid ja mainekahjuKuna need sissetungid jäävad sageli kuude kaupa avastamata, võib väljafiltreeritud teabe maht ja rikkumise ulatus olla tohutu.
Failita pahavara rünnaku faasid
Kuigi tehnilised aspektid on erinevad, on failita rünnaku elutsükkel üsna sarnane mis tahes keeruka sissetungi omaga. Millised muutused on igas faasis kasutatavad mehhanismid ja kuidas nad end maskeerivad.
Staadiumis esialgne juurdepääsRündaja vajab esialgset tugipunkti: klõpsu andmepüügilingil, makrosid sisaldava dokumendi avamist, haavatava serveri ärakasutamist või ohustatud volituste taaskasutamist. Sealt edasi on eesmärk käivitada koodi sihtsüsteemis.
Kui see etapp on saavutatud, algab järgmine täitmine mälusSiin tulevadki mängu PowerShell, WMI, mshta, rundll32, VBScript, JScript või muud interpretaatorid, mis laadivad ja aktiveerivad kasuliku koormuse ilma kettale püsivaid käivitatavaid faile genereerimata. Kood on tavaliselt hägustatud või krüpteeritud ja dekrüpteeritakse ainult RAM-is.
Siis algab jälitamine püsivusKuigi paljud failideta kasulikud koormused kaovad arvuti taaskäivitamisel, kombineerivad keerukad ründajad RAM-is olevaid skripte registrivõtmete, ajastatud ülesannete või WMI-tellimustega, mis käivitavad koodi uuesti iga kord, kui teatud tingimus on täidetud, näiteks süsteemi käivitamisel või kasutaja sisselogimisel.
Lõpuks, lõppeesmärgid Ründaja tegevuste hulka kuuluvad andmete vargus ja väljavool, teabe krüptimine, pahavara levitamine, pidev spionaaž ja kriitiliste süsteemide sabotaaž. Kõike seda tehakse püüdes hoida võimalikult madalat profiili, et vältida varajasi hoiatusi ja kohtuekspertiisi.
Miks on seda nii raske tuvastada?
Failita pahavara suur probleem on see, et See rikub klassikalist failidel ja allkirjadel põhinevat kaitsemudelitKui pole kahtlast käivitatavat faili, mida analüüsida, jäävad paljud viirusetõrjemootorid pimedaks mälus ja õigustatud protsessides toimuva suhtes.
Failide puudumine kettal tähendab, et Perioodiliselt skannitavaid objekte pole teadaolevate mustrite otsingul. Lisaks, kasutades operatsioonisüsteemi enda allkirjastatud binaarfaile (nt PowerShell.exe, wscript.exe või rundll32.exe), varjatakse pahatahtlik tegevus nimede taha, mida administraator tavaliselt usaldab.
Lisaks on paljudel päritud toodetel Piiratud nähtavus töötavate protsesside osasNad keskenduvad failisüsteemile ja võrguliiklusele, kuid vaevu kontrollivad sisemisi API-kõnesid, käsurea parameetreid, skriptide käitumist või registrisündmusi, mis võivad failideta rünnaku paljastada.
Ründajad, olles neist piirangutest teadlikud, kasutavad ära hägustamise, krüpteerimise ja koodi fragmenteerimise tehnikadNäiteks jagavad nad pahatahtliku skripti mitmeks fragmendiks, mis pannakse reaalajas kokku, või peidavad juhiseid piltide, manustatud ressursside või pealtnäha süütute stringide sisse.
Keskkondades, kus süsteeme harva taaskäivitatakse (kriitilised serverid, tootmisterminalid jne), võib mälus olev pahavara jääda aktiivseks nädalaid või kuid ilma et teid avastataks, eriti kui liigute ettevaatlikult ja minimeerite liikluse mahtu või silmatorkavaid tegevusi.
Traditsiooniliste kaitsemeetodite piirangud
Paljude teenusepakkujate esialgne reaktsioon sellele ohule on olnud proovida piirata või otse blokeerida tööriistu nagu PowerShell või Office'i makrodKuigi see võib mõningaid vektoreid vähendada, ei ole see enamikus organisatsioonides realistlik ega täielik lahendus.
PowerShellist on saanud Windowsi süsteemiadministreerimise põhikomponentÜlesannete automatiseerimine, tarkvara juurutamine ja serverihaldus. Selle täielik blokeerimine halvaks IT-töövood ja sunniks arvukalt sisemisi protsesse uuesti tegema.
Lisaks on ründaja seisukohast mitu võimalust lihtsa blokeerimispoliitika möödahiiliminePowerShelli mootori laadimiseks teekidest (dll) on olemas tehnikaid, kasutades rundll32, skriptide teisendamiseks käivitatavateks failideks selliste tööriistadega nagu PS2EXE, PowerShell.exe modifitseeritud koopiate kasutamiseks või isegi PowerShelli skriptide manustamiseks PNG-piltidele ja nende käivitamiseks hägustatud käsuridadega.
Midagi sarnast juhtub ka Office'i makrodega: Paljud ettevõtted sõltuvad neist aruannete, arvutuste ja äriprotsesside automatiseerimiseks. Nende globaalne keelamine võib sisemisi rakendusi rikkuda, samas kui ainult VBA-koodi staatilisele analüüsile lootmine toob sageli kaasa raskesti hallatava valepositiivsete ja valenegatiivsete tulemuste määra.
Lisaks mõned lähenemisviisid, mis põhinevad pilvepõhine tuvastamine teenusena Need vajavad pidevat ühendust ja töötavad mõnikord liiga suure viivitusega, et vältida pahavara esialgset käivitamist. Kui blokeerimisotsus tehakse sekundeid või minuteid hiljem, võib kahju juba tehtud olla.
Fookus nihkub: failidelt käitumisele
Kuna fail ei ole enam peamine element, keskenduvad tänapäevased kaitselahendused sellele jälgida protsesside käitumist ...mitte ainult failide sisu kontrollimise asemel. Idee seisneb selles, et kuigi pahavara variante on tuhandeid, on pahatahtliku tegevuse mustrid palju vähem mitmekesised.
See lähenemisviis tugineb mootoritele käitumisanalüüs ja masinõpe mis jälgivad pidevalt iga protsessi tegevust: milliseid käske see käivitab, milliseid süsteemiressursse see puudutab, kuidas see suhtleb välismaailmaga ja milliseid muudatusi see püüab keskkonda sisse viia.
Näiteks saab Office'i protsessi kahtlaseks märkida, kui käivitab hägustatud PowerShelli käsu parameetritega turvapoliitikate keelamiseks ja kahtlasest domeenist koodi allalaadimiseks. Või protsess, mis ilma nähtava põhjuseta ootamatult pääseb juurde sadadele tundlikele failidele või muudab kriitilisi registrivõtmeid.
Uusima põlvkonna EDR-süsteemid ja XDR-platvormid koguvad lõpp-punktide, serverite ja võrgu detailne telemeetriaja suudavad rekonstrueerida täielikke lugusid (mõnikord nimetatakse neid ka süžeeliinidena) sellest, kuidas intsident tekkis, millised protsessid olid seotud ja milliseid muutusi mõjutatud masin läbi tegi.
Hea käitumismootor mitte ainult ei tuvasta ohtu, vaid suudab ka pahatahtlike toimingute leevendamine või automaatne tagasipööramine: tapke kaasatud protsessid, isoleerige arvuti, taastage krüptitud failid, tühistage registri muudatused ja katkestage side käsklus- ja juhtimisdomeenidega.
Windowsi peamiste sündmuste tehnoloogiad ja allikad
Windowsi failideta ohtude analüüsimiseks on eriti kasulik ära kasutada natiivsed operatsioonisüsteemi telemeetria mehhanismid, mis on juba olemas ja pakuvad palju teavet selle kohta, mis kulisside taga toimub.
Ühelt poolt on Windowsi sündmuste jälgimine (ETW)ETW on raamistik, mis võimaldab salvestada väga detailseid sündmusi, mis on seotud protsesside täitmise, API-kõnede, mälule juurdepääsu ja muude sisemiste süsteemiaspektidega. Paljud EDR-lahendused tuginevad ETW-le ebatüüpilise käitumise reaalajas tuvastamiseks.
Teine oluline osa on Pahavaratõrjeliides (AMSI)AMSI on Microsofti loodud API, mis võimaldab turvamootoritel kontrollida skripte ja dünaamilist sisu vahetult enne nende käivitamist, isegi kui see on hägustatud. AMSI on eriti kasulik PowerShelli, VBScripti, JScripti ja teiste skriptimiskeeltega.
Lisaks analüüsitakse kaasaegseid mootoreid perioodiliselt. tundlikud alad, näiteks register, ülesannete ajastaja, WMI tellimused või skriptide käivitamise poliitikadKahtlased muutused nendes piirkondades on sageli märk sellest, et failideta rünnak on püsima jäänud.
Kõike seda täiendavad heuristikad, mis võtavad arvesse mitte ainult praegust protsessi, vaid ka teostuskontekst: kust pärineb vanemprotsess, millist võrgutegevust on enne ja pärast täheldatud, kas on esinenud kummalisi tõrkeid, anomaalseid blokeerimisi või muid signaale, mis kokkuvõttes kallutavad kaalukaussi kahtluse poole.
Praktilised avastamis- ja ennetamisstrateegiad
Praktikas hõlmab enda kaitsmine nende ohtude eest järgmiste toimingute kombineerimist: tehnoloogia, protsessid ja koolitusViirusetõrje installimisest ja selle unustamisest ei piisa; vaja on kihilist strateegiat, mis on kohandatud failideta pahavara tegeliku käitumisega.
Tehnilisel tasandil on oluline juurutada EDR- või XDR-lahendused käitumisanalüüsi võimaluste ja protsessitasandi nähtavusega. Need tööriistad peavad suutma tegevust reaalajas salvestada ja korreleerida, blokeerida anomaalset käitumist ning anda turvameeskonnale selget kohtuekspertiisi teavet.
See on ka mugav PowerShelli, WMI ja muude interpreterite kasutamise piiramine ainult rangelt vajalikule, rakendades juurdepääsuloendeid, skriptide allkirjastamist (koodi allkirjastamine) ja täitmispoliitikaid, mis piiravad, millist koodi ja milliste õigustega käivitada saab.
Kasutajate poolelt on koolitus endiselt ülioluline: on vaja tugevdada teadlikkus andmepüügist, kahtlastest linkidest ja ootamatutest dokumentidestSee on eriti oluline töötajate puhul, kellel on juurdepääs tundlikule teabele või kõrgetasemelised õigused. Hooletute klikkide arvu vähendamine vähendab oluliselt rünnakupinda.
Lõpuks ei saa tähelepanuta jätta plaastrite ja tarkvaravärskenduste tsükkelPaljud failideta ahelad alustavad teadaolevate haavatavuste ärakasutamisega, mille jaoks on juba olemas parandused. Brauserite, pistikprogrammide, ettevõtterakenduste ja operatsioonisüsteemide ajakohasena hoidmine sulgeb ründajatele väärtuslikke uksi.
Hallatud teenused ja ohtude otsimine
Keskmistes ja suurtes organisatsioonides, kus ürituste maht on tohutu, on sisemisel meeskonnal raske kõike näha. Seetõttu on nende populaarsus aina kasvamas. seire- ja hallatud reageerimisteenused (MDR/EMDR) ja välised turvaoperatsioonide keskused (SOC-id).
Need teenused ühendavad endas täiustatud tehnoloogiat analüütikute meeskonnad jälgivad ööpäevaringselt oma klientide keskkondades, korreleerides nõrku signaale, mis muidu jääksid märkamata. Idee seisneb failideta pahavarale iseloomulike käitumiste tuvastamises enne kahju tekkimist.
Paljud SOC-id tuginevad sellistele raamistikele nagu MITER ATT&CK vastaste taktikate, tehnikate ja protseduuride (TTP-de) kataloogimiseks ning spetsiifiliste reeglite loomiseks, mis on suunatud mälusisese täitmise, LoLBinsi kuritarvitamise, pahatahtliku WMI või salajase andmete väljatõrjumise mustrite vastu.
Lisaks pidevale jälgimisele hõlmavad need teenused tavaliselt ka järgmist: kohtuekspertiisi analüüs, intsidentidele reageerimine ja konsultatsioonid turvaarhitektuuri täiustamiseks, korduvate lünkade kõrvaldamiseks ning lõpp-punktide ja serverite kontrolli tugevdamiseks.
Paljude ettevõtete jaoks on selle funktsiooni osaline tellimine alltöövõtjalt kõige elujõulisem viis selliste keerukate ohtudega sammu pidamiseks, kuna mitte kõik ei saa endale lubada sisemist meeskonda, mis on spetsialiseerunud keeruka pahavara otsimisele.
Reaalsus on see, et failideta pahavara on igaveseks muutnud meie arusaama lõpp-punkti turvalisusest: Failid pole enam ainus peamine näitajaJa ainult sügava nähtavuse, käitumisanalüüsi, heade juhtimistavade ja laiendatud küberturvalisuse kultuuri kombinatsioon suudab seda igapäevaselt kontrolli all hoida.
