- Zlonamjerni softver bez datoteka pokreće se u memoriji i zloupotrebljava legitimne alate poput PowerShella ili WMI-ja.
- Može ukrasti podatke, šifrirati datoteke ili špijunirati računala bez ostavljanja vidljivog traga na disku.
- Učinkovito otkrivanje zahtijeva praćenje ponašanja i procesa, ne samo datoteka.
- Obrana zahtijeva EDR, segmentaciju, krpanje i smanjenje upotrebe skripti i makroa.
Posljednjih godina zlonamjerni softver bez datoteka Zlonamjerni softver bez datoteka postao je jedna od najvećih glavobolja za IT i sigurnosne timove. Ne govorimo o tipičnom virusu koji preuzmete u privitku i možete ga ukloniti antivirusnim skeniranjem, već o nečemu mnogo prikrivenijem što se skriva unutar vlastitih procesa sustava.
Ova vrsta prijetnje iskorištava legitimni alati operacijskog sustavaPogotovo na Windowsima, može izvršavati zlonamjerni kod izravno u RAM memoriju. Budući da gotovo ne ostavlja traga na disku, može izbjeći mnoge tradicionalne antivirusne programe i ostati aktivan dovoljno dugo da ukrade informacije, šifrira datoteke ili održava stražnja vrata bez otkrivanja.
Što je točno zlonamjerni softver bez datoteka?
Kada govorimo o zlonamjernom softveru bez datoteka, mislimo na zlonamjerni kod koji ne ovisi o klasičnoj izvršnoj datoteci na disku funkcionirati. Umjesto da se instalira kao bilo koji drugi program, oslanja se na komponente koje su već prisutne u sustavu (skripte, usluge, interpretatori naredbi itd.) za učitavanje i izvršavanje svojih instrukcija izravno u memoriji.
S tehničkog gledišta, ovaj zlonamjerni softver obično ubrizgati u procese koji su već u tijeku ili se mogu pokrenuti pomoću naredbi koje sve učitavaju u RAM. To znači da, nakon što se računalo isključi ili ponovno pokrene, mnoge varijante nestaju, ali u međuvremenu imaju dovoljno vremena da uzrokuju ozbiljnu štetu.
U usporedbi sa zlonamjernim softverom temeljenim na datotekama, ove prijetnje su lakši, diskretniji i puno teži za praćenjeNa disku nećete pronaći sumnjivu .exe datoteku, niti nužno zlonamjerni instalacijski program: problem leži u onome što se događa unutar procesa koji se čine pouzdanima.
Uspon ovog pristupa naglo je porastao oko 2017. godine, kada su kampanje počele kombinirati tehnike bez datoteka s trojanci za klikere, napredni reklamni softver i alati za udaljeni pristup (RAT)Danas su integrirani u sve vrste operacija: od špijunaže i APT-ova do ransomwarea i rudarenja kriptovaluta.
Kako zlonamjerni softver bez datoteka funkcionira iznutra
Da biste razumjeli kako to funkcionira, vrijedi zapamtiti da se većina normalnih aplikacija distribuira kao datoteka koja se zapisuje na disk, a zatim učitava u memoriju kada ga korisnik pokrene. Zlonamjerni softver bez datoteka, s druge strane, preskače prvi korak i materijalizira se izravno u RAM-u koristeći mehanizme samog operacijskog sustava.
Mnoge kampanje oslanjaju se na ideju "života od zemlje" (živeći od zemlje): napadač zlouporablja legitimne upravne ovlasti umjesto uvođenja novih binarnih datoteka. U sustavu Windows, glavni primjer je PowerShell, ali se iskorištavaju i WMI, mshta, rundll32, VBScript ili JScript skripte i druge pouzdane binarne datoteke (LoLBins).
Tipičan scenarij bio bi: korisnik otvori Office dokument sa zlonamjernim sadržajem ili klikne na phishing poveznicu; odatle skripta koja poziva PowerShell ili neki drugi alat za preuzimanje, dešifriranje ili ubrizgavanje koda za sljedeću fazu u memoriju. Sve se to može dogoditi bez stvaranja trajne datoteke na tvrdom disku.
Drugi uobičajeni vektor uključuje iskorištavanje ranjivosti udaljenog izvršavanja koda, kao što su prelijevanje međuspremnika u preglednicima, dodacima ili poslužiteljskim aplikacijama. Iskorištavanjem ranjivosti, napadač može izravno izvršiti shellcode unutar ranjivog procesa i odatle učitati preostale komponente u memoriju.
Neke varijante čak pribjegavaju Windows registar ili zakazani zadaci za pohranjivanje skripti ili naredbi koje ponovno aktiviraju napad kada se sustav pokrene ili se korisnik prijavi. Čak i ako se nešto zapiše u registar, glavna zlonamjerna logika nastavlja se izvršavati u memoriji, što otežava njezino otkrivanje alatima usmjerenim isključivo na datotečni sustav.
Metode infekcije i početni pristup
Ulazna vrata su obično prilično klasična: phishing e-poruke, zlonamjerne poveznice i krivotvoreni dokumenti Oni ostaju kraljevi početnog pristupa, iako se ispod koriste tehnike pristupa bez datoteka. Trik je u tome što se kroz cijeli lanac ulaže svaki napor kako bi se smanjio bilo kakav otisak na disku.
U mnogim incidentima se koriste Microsoft Office dokumenti s makroima Kada se aktiviraju, ovi makroi pozivaju PowerShell ili WMI za preuzimanje i izvršavanje sljedeće faze napada u memoriji. Čak i bez makroa, napadači iskorištavaju ranjivosti u Wordu, Excelu, PDF čitači ili sam skriptni mehanizam za postizanje izvršenja koda.
Drugi pristup uključuje izravno iskorištavanje naizgled bezopasne izvršne datoteke koju korisnik prima putem e-pošte ili preuzima s weba. Ova izvršna datoteka može izdvojiti zlonamjerni modul i učitati ga u memoriju koristeći tehnike poput refleksije u .NET-u, bez da ga zapravo spremi na disk kao zasebnu datoteku.
Također postoje kampanje usmjerene na web poslužitelje ili aplikacije izložene internetu, gdje se ranjivost koristi za implementaciju webshell-ovi s komponentama bez datotekaNedavni primjer je korištenje Godzille i sličnih alata, u kojima zlonamjerni kod putuje unutar HTTP zahtjeva i ubrizgava se izravno u memoriju na kompromitiranom poslužitelju.
Konačno, napadači često pribjegavaju ukradene vjerodajniceAko dobiju korisničko ime i lozinku administratora ili privilegiranog računa, mogu se prijaviti putem RDP-a ili drugih kanala i ručno pokrenuti PowerShell skripte, WMI naredbe ili administratorske alate koji učitavaju zlonamjerni softver u memoriju bez ostavljanja novih izvršnih datoteka na sustavu.
Specifične tehnike koje koristi zlonamjerni softver bez datoteka
Jedan od ključeva ovih napada je ponovna upotreba izvorni Windows alati kao sredstvo za svoje skripte. Zbog toga se zlonamjerne aktivnosti miješaju s normalnim administrativnim zadacima, što komplicira analizu i odgovor.
Među najčešćim tehnikama nalazimo upotrebu PowerShell kao ugrađeni pokretač koda izravno iz naredbenog retka. Na primjer, maskirani skript se prosljeđuje kao parametar, pravila izvršavanja su onemogućena, prozor je skriven, a korisni sadržaj se preuzima izravno u memoriju, sve bez ostavljanja .ps1 datoteke ili bilo koje sumnjive izvršne datoteke vidljivom.
Druga vrlo popularna taktika je pohranjivanje zlonamjernih skripti u Pretplate na Windows Management Instrumentation (WMI)S vremena na vrijeme, WMI pokreće skriptu koja može izvršavati kod iz memorije, povezivati se s naredbenim i kontrolnim poslužiteljima ili pokretati nove faze infekcije.
Slično tome, mnoge skupine koriste Windows registar i planer zadataka kao utočište za svoje skripte i naredbe. Umjesto da izvršnu datoteku smjeste u mapu za pokretanje, definiraju ključeve za pokretanje ili zakazane zadatke koji pokreću PowerShell, mshta ili rundll32 skripte s ugrađenim ili kodom u hodu.
Tehnike se također vide u refleksija u .NET-ugdje lagana izvršna datoteka sadrži šifrirane ili komprimirane sklopove koji se izravno učitavaju u memoriju pomoću Reflection.Load, bez da se ikada zapišu kao .dll datoteke na disk. To omogućuje implementaciju vrlo sofisticiranih trojanaca unutar jednog, naizgled normalnog procesa.
Što može učiniti napad bez datoteka?
Unatoč svom nazivu, napad bez datoteka nije ograničen u svom utjecaju. Zapravo, može izvesti iste funkcije kao i tradicionalni zlonamjerni softverkrađa informacija, šifriranje podataka, lateralno kretanje, špijunaža, rudarenje kriptovaluta ili instaliranje trajnih stražnjih vrata.
Mnoge kampanje bez datoteka ponašaju se kao kradljivac vjerodajnicaTo uključuje snimanje lozinki, tokena sesije ili hashova za autentifikaciju iz memorije osjetljivih procesa. To olakšava eskalaciju privilegija, kompromitiranje više sustava i održavanje duljeg pristupa bez pribjegavanja dodatnim binarnim datotekama.
Drugi se usredotočuju na ransomware bez datotekagdje se dio logike šifriranja i komunikacije izvršava izravno u memoriji. Iako se u nekom trenutku može činiti da komponenta diska manipulira velikim brojem datoteka, početno učitavanje i kontrola napada vrše se tehnikama bez datoteka kako bi se izbjeglo rano otkrivanje.
Napadači također mogu instalirati rootkitovi ili napredni RAT-ovi Nakon što se uspostave, ovi alati koriste kanale bez datoteka za primanje naredbi, kretanje po mreži i ažuriranje modula. Budući da su integrirani u sistemske procese ili kritične usluge, ove je alate posebno teško iskorijeniti.
Na ekonomskom planu, utjecaj se ogleda u gubitak podataka, prekidi usluge, regulatorne kazne i šteta ugleduBudući da ovi upadi često ostaju neotkriveni mjesecima, količina ukradenih informacija i opseg povrede mogu biti ogromni.
Faze napada zlonamjernog softvera bez datoteka
Iako su tehnički aspekti različiti, životni ciklus napada bez datoteka prilično je sličan životnom ciklusu bilo kojeg naprednog upada. Koje su promjene mehanizmi korišteni u svakoj fazi i način na koji se kamufliraju.
U fazi od početni pristupNapadaču je potrebna početna osnova: klik na phishing poveznicu, otvaranje dokumenta koji sadrži makroe, iskorištavanje ranjivog poslužitelja ili ponovna upotreba kompromitiranih vjerodajnica. Nakon toga, cilj je izvršiti kod unutar ciljanog sustava.
Nakon što se taj korak postigne, počinje sljedeća faza izvršenje u memorijiOvdje na scenu stupaju PowerShell, WMI, mshta, rundll32, VBScript, JScript ili drugi interpreteri za učitavanje i aktiviranje korisnog tereta bez generiranja trajnih izvršnih datoteka na disku. Kod je obično maskiran ili šifriran i dešifriran samo u RAM-u.
Tada počinje potjera upornostIako mnogi beyond-file-sadržaji nestaju nakon ponovnog pokretanja računala, sofisticirani napadači kombiniraju skripte pohranjene u RAM-u s ključevima registra, planiranim zadacima ili WMI pretplatama koje ponovno pokreću kod svaki put kada se ispuni određeni uvjet, poput pokretanja sustava ili prijave korisnika.
Konačno, konačni ciljevi Radnje napadača uključuju: krađu i neovlašteno korištenje podataka, šifriranje informacija, postavljanje više zlonamjernog softvera, kontinuiranu špijunažu i sabotažu kritičnih sustava. Sve se to radi uz pokušaj održavanja najnižeg mogućeg profila kako bi se izbjegla rana upozorenja i forenzička analiza.
Zašto je tako teško otkriti?
Veliki problem sa zlonamjernim softverom bez datoteka je taj što Razbija klasični obrambeni model temeljen na datotekama i potpisimaAko nema sumnjive izvršne datoteke za analizu, mnogi antivirusni programi ostaju slijepi za ono što se događa unutar memorije i legitimnih procesa.
Odsutnost datoteka na disku podrazumijeva da Nema objekata za periodično skeniranje u potrazi za poznatim obrascima. Nadalje, korištenjem binarnih datoteka koje je potpisao sam operativni sustav, kao što su PowerShell.exe, wscript.exe ili rundll32.exe, zlonamjerna aktivnost se prikriva iza imena kojima administrator inače vjeruje.
Osim toga, mnogi naslijeđeni proizvodi imaju Ograničen uvid u pokrenute proceseFokusiraju se na datotečni sustav i mrežni promet, ali jedva provjeravaju interne API pozive, parametre naredbenog retka, ponašanje skripti ili događaje u registru koji bi mogli odati napad bez datoteka.
Napadači, svjesni tih ograničenja, pribjegavaju tehnike zamagljivanja, šifriranja i fragmentacije kodaNa primjer, dijele zlonamjerni skript na nekoliko fragmenata koji se sastavljaju u stvarnom vremenu ili skrivaju upute unutar slika, ugrađenih resursa ili naizgled bezopasnih nizova znakova.
U okruženjima gdje se sustavi rijetko ponovno pokreću (kritični poslužitelji, produkcijski terminali itd.), zlonamjerni softver koji se nalazi u memoriji može ostati aktivan tjednima ili mjesecima bez da budete otkriveni, posebno ako se krećete oprezno i smanjite količinu prometa ili upadljivih radnji.
Ograničenja tradicionalne obrane
Početni odgovor mnogih pružatelja usluga na ovu prijetnju bio je pokušaj ograničiti ili izravno blokirati alate poput PowerShella ili Office makroaIako može smanjiti neke vektore, to nije realno ili potpuno rješenje u većini organizacija.
PowerShell je postao ključna komponenta za administraciju Windows sustavaAutomatizacija zadataka, implementacija softvera i upravljanje poslužiteljima. Potpuno blokiranje paraliziralo bi IT tijekove rada i prisililo na ponovno izvršavanje brojnih internih procesa.
Nadalje, s gledišta napadača, postoji više načina za zaobilaženje jednostavne politike blokiranjaPostoje tehnike za učitavanje PowerShell engine-a iz biblioteka (dll) pomoću rundll32, pretvaranje skripti u izvršne datoteke pomoću alata poput PS2EXE, korištenje modificiranih kopija PowerShell.exe ili čak ugrađivanje PowerShell skripti u PNG slike i njihovo pokretanje pomoću obfusciranih naredbenih redaka.
Nešto slično se događa s Office makroima: Mnoge tvrtke ovise o njima automatizirati izvješća, izračune i poslovne procese. Njihovo globalno onemogućavanje može poremetiti rad internih aplikacija, dok oslanjanje isključivo na statičku analizu VBA koda često rezultira teško upravljivom stopom lažno pozitivnih i lažno negativnih rezultata.
Osim toga, neki pristupi temeljeni na otkrivanje kao usluga u oblaku Zahtijevaju stalnu povezanost i ponekad rade s prevelikim kašnjenjem kako bi spriječili početno izvršavanje zlonamjernog softvera. Ako se odluka o blokiranju donese nekoliko sekundi ili minuta kasnije, šteta već može biti učinjena.
Fokus se prebacuje: s datoteka na ponašanje
Budući da datoteka više nije glavni element, moderna obrambena rješenja usredotočuju se na pratiti ponašanje procesa umjesto samo pregledavanja sadržaja datoteka. Ideja je da, iako postoje tisuće varijanti zlonamjernog softvera, obrasci zlonamjernih aktivnosti su mnogo manje raznoliki.
Ovaj pristup se oslanja na motore bihevioralna analiza i strojno učenje koji kontinuirano prate što svaki proces radi: koje naredbe pokreće, koje sistemske resurse dotiče, kako komunicira s vanjskim svijetom i koje promjene pokušava uvesti u okolinu.
Na primjer, proces sustava Office može se označiti kao sumnjiv ako izvršava obfusiranu PowerShell naredbu s parametrima za onemogućavanje sigurnosnih pravila i preuzimanje koda sa sumnjive domene. Ili proces koji, bez ikakvog vidljivog razloga, iznenada pristupa stotinama osjetljivih datoteka ili mijenja kritične ključeve registra.
Najnovija generacija EDR sustava i XDR platformi prikuplja detaljna telemetrija krajnjih točaka, poslužitelja i mrežei sposobni su rekonstruirati potpune priče (ponekad nazvane StoryLines) o tome kako je incident nastao, koji su procesi bili uključeni i koje su promjene prošli na pogođenom stroju.
Dobar bihevioralni mehanizam ne samo da otkriva prijetnju, već može ublažiti ili automatski poništiti zlonamjerne radnje: zaustaviti uključene procese, izolirati računalo, vratiti šifrirane datoteke, poništiti promjene u registru i prekinuti komunikaciju s domenama za naredbe i kontrolu.
Tehnologije i izvori ključnih događaja u sustavu Windows
Za analizu prijetnji bez datoteka u sustavu Windows, posebno je korisno iskoristiti izvorni mehanizmi telemetrije operativnog sustava, koji su već tu i nude mnogo informacija o tome što se događa iza kulisa.
S jedne strane je Praćenje događaja za Windows (ETW)ETW je okvir koji omogućuje snimanje vrlo detaljnih događaja povezanih s izvršavanjem procesa, API pozivima, pristupom memoriji i drugim internim aspektima sustava. Mnoga EDR rješenja oslanjaju se na ETW za otkrivanje atipičnog ponašanja u stvarnom vremenu.
Još jedan ključni dio je Sučelje za skeniranje protiv zlonamjernog softvera (AMSI)AMSI je API koji je dizajnirao Microsoft kako bi sigurnosnim mehanizmima omogućio pregled skripti i dinamičkog sadržaja neposredno prije pokretanja, čak i ako je maskiran. AMSI je posebno koristan s PowerShellom, VBScriptom, JScriptom i drugim skriptnim jezicima.
Osim toga, moderni motori se periodično analiziraju osjetljiva područja kao što su registar, planer zadataka, WMI pretplate ili pravila izvršavanja skriptiSumnjive promjene u tim područjima često su znak da je napad bez datoteka uspostavio perzistenciju.
Sve to nadopunjuju heuristike koje uzimaju u obzir ne samo trenutni proces, već i kontekst izvršenjaodakle dolazi roditeljski proces, kakva je mrežna aktivnost uočena prije i poslije, je li bilo čudnih kvarova, anomalnih blokada ili drugih signala koji, zajedno, ukazuju na sumnju.
Praktične strategije otkrivanja i sprječavanja
U praksi, zaštita od ovih prijetnji uključuje kombiniranje tehnologija, procesi i obukaNije dovoljno instalirati antivirus i zaboraviti na njega; potrebna je slojevita strategija prilagođena stvarnom ponašanju zlonamjernog softvera bez datoteka.
Na tehničkoj razini, bitno je implementirati EDR ili XDR rješenja s mogućnostima analize ponašanja i vidljivošću na razini procesa. Ovi alati moraju biti u stanju snimati i povezivati aktivnosti u stvarnom vremenu, blokirati anomalno ponašanje i pružati jasne forenzičke informacije sigurnosnom timu.
Također je prikladno Ograničavanje korištenja PowerShella, WMI-ja i ostalih interpretera na ono što je strogo potrebno, primjenjujući popise kontrole pristupa, potpisivanje skripti (potpisivanje koda) i pravila izvršavanja koja ograničavaju koji se kod može pokrenuti i s kojim privilegijama.
Sa strane korisnika, obuka ostaje ključna: potrebno je ojačati svijest o phishingu, sumnjivim poveznicama i neočekivanim dokumentimaTo je posebno važno među osobljem s pristupom osjetljivim informacijama ili visokim privilegijama. Smanjenje broja nepažljivih klikova značajno smanjuje površinu napada.
Konačno, ne može se zanemariti ni ciklus ažuriranja zakrpa i softveraMnogi lanci bez datoteka započinju iskorištavanjem poznatih ranjivosti za koje već postoje zakrpe. Održavanje preglednika, dodataka, poslovnih aplikacija i operativnih sustava ažurnima zatvara vrijedna vrata napadačima.
Upravljane usluge i lov na prijetnje
U srednjim i velikim organizacijama, gdje je količina događaja ogroman, internom timu je teško sve vidjeti. Zato im raste popularnost. usluge praćenja i upravljanog odgovora (MDR/EMDR) i centri za vanjske sigurnosne operacije (SOC).
Ove usluge kombiniraju naprednu tehnologiju s timovi analitičara koji prate 24/7 okruženja svojih klijenata, korelirajući slabe signale koji bi inače ostali nezapaženi. Ideja je otkriti ponašanja tipična za zlonamjerni softver bez datoteka prije nego što dođe do štete.
Mnogi SOC-ovi oslanjaju se na okvire kao što su MITRE ATT&CK katalogizirati taktike, tehnike i postupke (TTP) protivnika i izgraditi specifična pravila usmjerena na izvršavanje u memoriji, zlouporabu LoLBins-a, zlonamjerni WMI ili prikrivene obrasce krađe podataka.
Uz kontinuirano praćenje, ove usluge obično uključuju forenzička analiza, odgovor na incidente i savjetovanje poboljšati sigurnosnu arhitekturu, zatvoriti ponavljajuće nedostatke i ojačati kontrole na krajnjim točkama i poslužiteljima.
Za mnoge tvrtke, outsourcing dijela ove funkcije najodrživiji je način suočavanja s tako složenim prijetnjama, budući da si ne mogu svi priuštiti interni tim specijaliziran za lov na napredni zlonamjerni softver.
Stvarnost je da je zlonamjerni softver bez datoteka zauvijek promijenio način na koji razumijemo sigurnost krajnjih točaka: Datoteke više nisu jedini ključni pokazateljI samo kombinacija duboke vidljivosti, analize ponašanja, dobrih upravljačkih praksi i proširene kulture kibernetičke sigurnosti može to držati pod kontrolom na dnevnoj bazi.
