Fájl nélküli kártevő: mi ez, hogyan működik, és hogyan lehet védekezni ellene

Univerzális kaland » Általános » Fájl nélküli kártevő: mi ez, hogyan működik, és hogyan lehet védekezni ellene

Az elmúlt években a fájl nélküli kártevő A fájl nélküli kártevők az egyik legnagyobb fejfájást okozó tényezővé váltak az informatikai és biztonsági csapatok számára. Nem egy tipikus vírusról beszélünk, amelyet csatolmányként töltünk le, és egy víruskeresővel eltávolíthatunk, hanem valami sokkal rejtettebb dologról, amely a rendszer saját folyamataiban rejtőzik.

Ez a fajta fenyegetés kihasználja legitim operációs rendszer eszközökKülönösen Windows rendszeren képes kártékony kódot futtatni közvetlenül a RAM-ba. Mivel szinte semmilyen nyomot nem hagy a lemezen, számos hagyományos víruskereső programot megkerülhet, és elég sokáig aktív maradhat ahhoz, hogy információkat lopjon, fájlokat titkosítson, vagy hátsó kapukat tartson fenn anélkül, hogy észrevennék.

Pontosan mi is az a fájl nélküli kártevő?

Amikor fájl nélküli kártevőről beszélünk, akkor a következőkre gondolunk: rosszindulatú kód, amely nem függ a lemezen található klasszikus futtatható fájltól működni. Ahelyett, hogy bármely más programhoz hasonlóan települne, a rendszerben már jelen lévő összetevőkre (szkriptek, szolgáltatások, parancsértelmezők stb.) támaszkodik az utasítások közvetlen memóriában történő betöltéséhez és végrehajtásához.

Technikai szempontból ez a rosszindulatú program általában már futó folyamatokba kell befecskendezni vagy olyan parancsokkal indíthatók, amelyek mindent a RAM-ba töltenek. Ez azt jelenti, hogy a számítógép kikapcsolása vagy újraindítása után sok variáns eltűnik, de addig is bőven van idejük komoly károkat okozni.

A fájl alapú rosszindulatú programokkal összehasonlítva ezek a fenyegetések... könnyebb, diszkrétebb és sokkal nehezebben követhetőNem fogsz gyanús .exe fájlt találni a lemezen, és nem is feltétlenül rosszindulatú telepítőt: a probléma abban rejlik, hogy mi történik a megbízhatónak tűnő folyamatokon belül.

Ennek a megközelítésnek az elterjedése 2017 körül ugrott meg ugrásszerűen, amikor a kampányok elkezdték kombinálni a fájl nélküli technikákat a klikkelő trójaiak, fejlett reklámprogramok és távoli hozzáférést biztosító eszközök (RAT-ok)Ma már mindenféle műveletbe integrálták őket: a kémkedéstől és az APT-ktől kezdve a zsarolóvírusokig és a kriptovaluták bányászatáig.

Hogyan működik belülről a fájl nélküli rosszindulatú program

A működésének megértéséhez érdemes megjegyezni, hogy a legtöbb normál alkalmazás egy egy lemezre írt, majd a memóriába betöltődő fájl amikor a felhasználó futtatja. A fájl nélküli kártevő ezzel szemben kihagyja az első lépést, és közvetlenül a RAM-ban materializálódik, az operációs rendszer mechanizmusait felhasználva.

Sok kampány a „földből élni” gondolatára épül (a földből él): a támadó visszaél a jogos közigazgatási hatáskörökkel új bináris fájlok bevezetése helyett. Windows rendszeren erre a legfőbb példa a PowerShell, de a WMI, mshta, rundll32, VBScript vagy JScript szkriptek, valamint más megbízható bináris fájlok (LoLBins) is kihasználhatók.

Egy tipikus forgatókönyv a következő lenne: egy felhasználó megnyit egy rosszindulatú tartalmú Office-dokumentumot, vagy rákattint egy adathalász hivatkozásra; onnan egy PowerShellt meghívó szkript vagy egy másik eszköz a következő fázis kódjának letöltésére, visszafejtésére vagy a memóriába történő befecskendezésére. Mindez megtörténhet anélkül, hogy állandó fájlt hoznánk létre a merevlemezen.

Egy másik gyakori vektor a kihasználás távoli kódfuttatási sebezhetőségek, például puffer túlcsordulások böngészőkben, bővítményekben vagy szerveralkalmazásokban. A sebezhetőség kihasználásával a támadó közvetlenül shellkódot futtathat a sebezhető folyamaton belül, és onnan töltheti be a többi komponenst a memóriába.

Néhány változat még a következőket is igénybe veszi Windows rendszerleíró adatbázis vagy ütemezett feladatok szkriptek vagy parancsok tárolására, amelyek újraaktiválják a támadást a rendszer indításakor vagy a felhasználó bejelentkezésekor. Még ha valami be is íródik a beállításjegyzékbe, a fő rosszindulatú logika továbbra is fut a memóriában, ami megnehezíti az észlelést a kizárólag a fájlrendszerre összpontosító eszközökkel.

Fertőzés módjai és kezdeti hozzáférés

A bejárati ajtó általában meglehetősen klasszikus: adathalász e-mailek, rosszindulatú linkek és hamisított dokumentumok Ők maradnak a kezdeti hozzáférés királyai, annak ellenére, hogy alatta fájl nélküli technikákat alkalmaznak. A trükk az, hogy a teljes láncban minden erőfeszítést megtesznek a lemezterület minimalizálása érdekében.

Sok esetben használják őket Microsoft Office dokumentumok makrókkal Aktiváláskor ezek a makrók meghívják a PowerShellt vagy a WMI-t a támadás következő szakaszának letöltéséhez és a memóriában történő végrehajtásához. Makrók nélkül is a támadók kihasználhatják a Word, az Excel, a... PDF olvasók vagy maga a szkriptmotor a kód végrehajtásához.

Egy másik megközelítés a közvetlen tőkeáttételt jelenti. látszólag ártalmatlan futtatható fájlok amelyet a felhasználó e-mailben kap meg, vagy letölt az internetről. Ez a futtatható fájl képes kinyerni egy rosszindulatú modult, és betölteni azt a memóriába olyan technikákkal, mint például a .NET tükrözése, anélkül, hogy ténylegesen külön fájlként mentené a lemezre.

Vannak olyan kampányok is, amelyek webszervereket vagy az internetnek kitett alkalmazásokat céloznak meg, és ahol a sebezhetőséget arra használják fel, hogy telepítsenek fájl nélküli komponensekkel rendelkező webshell-ekEgy friss példa erre a Godzilla és hasonló eszközök használata, amelyek során a rosszindulatú kód HTTP-kéréseken belül halad, és közvetlenül a feltört szerver memóriájába kerül.

Végül a támadók gyakran folyamodnak ellopott hitelesítő adatokHa megszerzik egy rendszergazdai vagy egy privilegizált fiók felhasználónevét és jelszavát, bejelentkezhetnek RDP-n vagy más csatornákon keresztül, és manuálisan elindíthatnak PowerShell-szkripteket, WMI-parancsokat vagy adminisztratív eszközöket, amelyek betöltik a kártevőt a memóriába anélkül, hogy új futtatható fájlokat hagynának a rendszeren.

A fájl nélküli rosszindulatú programok által használt specifikus technikák

Ezen támadások egyik kulcsa az újrafelhasználás natív Windows eszközök szkriptjeik hordozójaként. Emiatt a rosszindulatú tevékenységek beleolvadnak a szokásos adminisztratív feladatokba, ami bonyolítja az elemzést és a reagálást.

A leggyakoribb technikák között találjuk a következők alkalmazását: PowerShell, mint beágyazott kódindító közvetlenül a parancssorból. Például egy obfuszkált szkript paraméterként kerül átadásra, a végrehajtási szabályzat letiltásra, az ablak elrejtésre kerül, és a hasznos adat közvetlenül a memóriába töltődik le, mindezt anélkül, hogy .ps1 fájl vagy bármilyen gyanús végrehajtható fájl látható maradna.

Egy másik nagyon népszerű taktika a rosszindulatú szkriptek tárolása a Windows Management Instrumentation (WMI) előfizetésekA WMI időnként elindítja a szkriptet, amely képes kódot futtatni a memóriából, csatlakozni a parancs- és vezérlőkiszolgálókhoz, vagy elindítani a fertőzés új szakaszait.

Hasonlóképpen, számos csoport használja a Windows rendszerleíró adatbázis és feladatütemező menedékként a szkriptjeik és parancsaik számára. Ahelyett, hogy egy végrehajtható fájlt helyeznének az indítómappába, indítókulcsokat vagy ütemezett feladatokat definiálnak, amelyek PowerShell, mshta vagy rundll32 szkripteket futtatnak beágyazott vagy menet közbeni kóddal.

A technikák a következőkben is megjelennek: tükröződés a .NET-benahol egy könnyű futtatható fájl titkosított vagy tömörített összeállításokat tartalmaz, amelyeket közvetlenül a memóriába tölt be a Reflection.Load segítségével, anélkül, hogy .dll fájlként lemezre írnának. Ez lehetővé teszi nagyon kifinomult trójai programok telepítését egyetlen, látszólag normális folyamaton belül.

Mit tehet egy fájl nélküli támadás?

A neve ellenére a fájl nélküli támadás hatása nem korlátozott. Valójában képes végrehajtani ugyanazok a funkciók, mint a hagyományos rosszindulatú programoknakinformációlopás, adattitkosítás, oldalirányú mozgás, kémkedés, kriptovaluta-bányászat vagy állandó hátsó ajtók telepítése.

Sok fájl nélküli kampány úgy viselkedik, mint igazolványtolvajEz jelszavak, munkamenet-tokenek vagy hitelesítési hashek rögzítését jelenti az érzékeny folyamatok memóriájából. Ez megkönnyíti a jogosultságok eszkalálását, több rendszer feltörését és a hosszabb hozzáférés fenntartását további bináris fájlok használata nélkül.

Mások arra összpontosítanak, fájl nélküli zsarolóvírusahol a titkosítási és kommunikációs logika egy része közvetlenül a memóriában fut. Bár egy lemezkomponens bizonyos ponton nagyszámú fájlt manipulálhat, a támadás kezdeti betöltése és irányítása fájl nélküli technikákkal történik a korai észlelés elkerülése érdekében.

A támadók telepíthetnek is rootkitek vagy fejlett RAT-ok Miután ezek az eszközök létrejöttek, fájl nélküli csatornákat használnak a parancsok fogadására, a hálózaton való mozgásra és a modulok frissítésére. Mivel rendszerfolyamatokba vagy kritikus szolgáltatásokba vannak integrálva, ezeket az eszközöket különösen nehéz kiirtani.

Gazdasági téren a hatás abban nyilvánul meg, hogy adatvesztés, szolgáltatáskimaradások, hatósági bírságok és hírnévkárosodásMivel ezek a behatolások gyakran hónapokig észrevétlenek maradnak, a kiszivárgott információk mennyisége és a behatolás mértéke óriási lehet.

Egy fájl nélküli kártevő támadás fázisai

Bár a technikai szempontok eltérőek, egy fájl nélküli támadás életciklusa meglehetősen hasonló bármely fejlett behatoláséhoz. Milyen változások vannak a az egyes fázisokban alkalmazott mechanizmusok és ahogyan álcázzák magukat.

szakaszában kezdeti hozzáférésA támadónak először egy megvetendő pontra van szüksége: egy adathalász linkre kattintásra, egy makrókat tartalmazó dokumentum megnyitására, egy sebezhető szerver kihasználására vagy feltört hitelesítő adatok újrafelhasználására. Innentől kezdve a cél a kód végrehajtása a célrendszeren belül.

Miután ez a lépés megtörtént, elkezdődik a következő fázis végrehajtás a memóriábanItt jön képbe a PowerShell, a WMI, az mshta, az rundll32, a VBScript, a JScript vagy más értelmezők, amelyek betöltik és aktiválják a hasznos adatokat anélkül, hogy állandó végrehajtható fájlokat generálnának a lemezen. A kódot jellemzően csak a RAM-ban obfuszkálják vagy titkosítják, és fejtik vissza.

Aztán elkezdődik az üldözés kitartásBár sok fájl nélküli hasznos adat eltűnik a számítógép újraindításakor, a kifinomult támadók a RAM-ban lévő szkripteket rendszerleíró kulcsokkal, ütemezett feladatokkal vagy WMI-előfizetésekkel kombinálják, amelyek minden alkalommal újraindítják a kódot, amikor egy adott feltétel teljesül, például a rendszerindításkor vagy a felhasználói bejelentkezéskor.

Végül, a végső célok A támadó tevékenységei közé tartozik az adatlopás és -kiszivárgás, az információk titkosítása, további rosszindulatú programok telepítése, folyamatos kémkedés és kritikus rendszerek szabotálása. Mindezt úgy teszi, hogy a lehető legalacsonyabb szinten próbálja tartani a nyilvánosságot, hogy elkerülje a korai riasztásokat és a kriminalisztikai elemzéseket.

Miért olyan nehéz észrevenni?

A fájl nélküli kártevők nagy problémája az, hogy Megszakítja a fájlokon és aláírásokon alapuló klasszikus védelmi modelltHa nincs gyanús futtatható fájl, amit elemezni lehetne, sok víruskereső motor vak marad arra, hogy mi történik a memóriában és a legitim folyamatokban.

A lemezen lévő fájlok hiánya azt jelenti, hogy Nincsenek objektumok, amelyeket időszakosan át kellene vizsgálni ismert mintákat keresve. Továbbá az operációs rendszer által aláírt bináris fájlok, például a PowerShell.exe, a wscript.exe vagy a rundll32.exe felhasználásával a rosszindulatú tevékenységeket olyan nevek mögé álcázzák, amelyekben a rendszergazda általában megbízik.

Ezenkívül számos örökölt termék rendelkezik egy Korlátozott rálátás a futó folyamatokraA fájlrendszerre és a hálózati forgalomra összpontosítanak, de alig vizsgálják a belső API-hívásokat, a parancssori paramétereket, a szkriptek viselkedését vagy a fájl nélküli támadást eláruló beállításjegyzékbeli eseményeket.

A támadók, tudatában e korlátoknak, a következőkhöz folyamodnak: obfuszkáció, titkosítás és kódfragmentációs technikákPéldául egy rosszindulatú szkriptet több töredékre osztanak, amelyeket valós időben állítanak össze, vagy utasításokat rejtenek el képekben, beágyazott erőforrásokban vagy látszólag ártalmatlan karakterláncokban.

Azokban a környezetekben, ahol a rendszereket ritkán indítják újra (kritikus szerverek, termelési terminálok stb.), a memóriában tárolt rosszindulatú programok... hetekig vagy hónapokig aktívak maradnak észrevétlenül, különösen akkor, ha óvatosan mozog, és minimalizálja a forgalmat vagy a feltűnő mozgásokat.

A hagyományos védekezés korlátai

Sok szolgáltató kezdeti reakciója erre a fenyegetésre az volt, hogy megpróbálta korlátozza vagy közvetlenül blokkolja az olyan eszközöket, mint a PowerShell vagy az Office makrókBár csökkenthet bizonyos vektorokat, a legtöbb szervezet számára nem jelent reális vagy teljes megoldást.

A PowerShell vált kulcsfontosságú összetevő a Windows rendszeradminisztrációhozFeladatautomatizálás, szoftvertelepítés és szerverkezelés. Teljes blokkolása megbénítaná az informatikai munkafolyamatokat, és számos belső folyamat újraindítását tenné szükségessé.

Továbbá a támadó szempontjából több módja is van annak, hogy egy egyszerű blokkolószabályzat megkerüléseLéteznek technikák a PowerShell motor betöltésére könyvtárakból (dll) az rundll32 használatával, szkriptek futtatható fájlokká konvertálására olyan eszközökkel, mint a PS2EXE, a PowerShell.exe módosított példányainak használatára, vagy akár PowerShell szkriptek PNG képekbe ágyazására és obfuszkált parancssorokkal történő futtatására.

Valami hasonló történik az Office makrókkal is: Sok cég függ tőlük jelentések, számítások és üzleti folyamatok automatizálására. Globális letiltásuk a belső alkalmazások hibás működését okozhatja, míg a VBA-kód statikus elemzésére való kizárólagos támaszkodás gyakran nehezen kezelhető téves pozitív és téves negatív arányt eredményez.

Ezenkívül néhány megközelítés, amely a következőkön alapul: felhőalapú észlelés szolgáltatásként Állandó kapcsolatot igényelnek, és néha túl nagy késleltetéssel működnek ahhoz, hogy megakadályozzák a kártevő kezdeti végrehajtását. Ha a blokkoló döntés másodpercekkel vagy percekkel később születik meg, a kár már megtörténhetett.

Fókusz áthelyeződik: a fájlokról a viselkedésre

Mivel a fájl már nem a fő elem, a modern védelmi megoldások a következőkre összpontosítanak: figyelemmel kíséri a folyamatok viselkedését ahelyett, hogy csak a fájlok tartalmát vizsgálná. Az ötlet az, hogy bár több ezer rosszindulatú programváltozat létezik, a rosszindulatú tevékenységek mintázatai sokkal kevésbé változatosak.

Ez a megközelítés a következő motorokon alapul: viselkedéselemzés és gépi tanulás amelyek folyamatosan figyelik az egyes folyamatok működését: milyen parancsokat indítanak el, milyen rendszererőforrásokat érnek el, hogyan kommunikálnak a külvilággal, és milyen változtatásokat próbálnak bevezetni a környezetben.

Például egy Office-folyamat gyanúsként jelölhető meg, ha egy obfuszkált PowerShell parancsot hajt végre paraméterekkel a biztonsági házirendek letiltására és kód letöltésére gyanús domainről. Vagy egy olyan folyamat, amely minden látható ok nélkül hirtelen több száz érzékeny fájlhoz fér hozzá, vagy kritikus beállításkulcsokat módosít.

Az EDR rendszerek és XDR platformok legújabb generációja gyűjti végpontok, szerverek és hálózat részletes telemetriájaés képesek teljes történeteket (néha történetvonalaknak is nevezik) rekonstruálni arról, hogyan keletkezett egy incidens, milyen folyamatok zajlottak le, és milyen változásokon ment keresztül az érintett gép.

Egy jó viselkedésalapú motor nemcsak érzékeli a fenyegetést, hanem képes is a rosszindulatú műveletek mérséklése vagy automatikus visszafordítása: az érintett folyamatok leállítása, a számítógép elkülönítése, titkosított fájlok visszaállítása, a beállításjegyzék módosításainak visszavonása, és a parancs- és vezérlőtartományokkal való kommunikáció megszakítása.

A Windows kulcsfontosságú eseményeinek technológiái és forrásai

A Windows rendszerben a fájl nélküli fenyegetések elemzéséhez különösen hasznos a következők kihasználása: natív operációs rendszer telemetriai mechanizmusok, amelyek már ott vannak, és rengeteg információt nyújtanak arról, hogy mi történik a színfalak mögött.

Egyrészt az Event Tracing for Windows (ETW)Az ETW egy olyan keretrendszer, amely lehetővé teszi a folyamatok végrehajtásához, API-hívásokhoz, memória-hozzáféréshez és más belső rendszerszempontokhoz kapcsolódó rendkívül részletes események rögzítését. Számos EDR-megoldás az ETW-re támaszkodik az atipikus viselkedés valós idejű észleléséhez.

Egy másik kulcsfontosságú darab Antimalware Scan Interface (AMSI)Az AMSI egy Microsoft által tervezett API, amely lehetővé teszi a biztonsági motorok számára, hogy a szkripteket és a dinamikus tartalmat közvetlenül a futásuk előtt megvizsgálják, még akkor is, ha azok obfuszkáltak. Az AMSI különösen hasznos a PowerShell, a VBScript, a JScript és más szkriptnyelvek esetében.

Ezenkívül a modern motorokat rendszeresen elemzik érzékeny területek, mint például a beállításjegyzék, a feladatütemező, a WMI-előfizetések vagy a szkriptfuttatási szabályzatokAz ezeken a területeken tapasztalható gyanús változások gyakran annak a jelei, hogy egy fájl nélküli támadás tartóssá vált.

Mindezt heurisztikák egészítik ki, amelyek nemcsak az aktuális folyamatot veszik figyelembe, hanem a végrehajtási kontextus: honnan származik a szülőfolyamat, milyen hálózati aktivitást figyeltek meg előtte és utána, voltak-e furcsa hibák, rendellenes blokkolások vagy egyéb jelek, amelyek összességében a gyanú felé billentenek a mérleg nyelvén.

Gyakorlati felderítési és megelőzési stratégiák

A gyakorlatban a fenyegetések elleni védekezés magában foglalja a következők kombinálását: technológia, folyamatok és képzésNem elég telepíteni egy víruskeresőt, majd elfelejteni; egy többrétegű stratégiára van szükség, amely a fájl nélküli rosszindulatú programok valós viselkedéséhez igazodik.

Technikai szinten elengedhetetlen a telepítés EDR vagy XDR megoldások viselkedéselemzési képességekkel és folyamatszintű láthatósággal. Ezeknek az eszközöknek képesnek kell lenniük a tevékenységek valós idejű rögzítésére és korrelációjára, a rendellenes viselkedés blokkolására, valamint egyértelmű, kriminalisztikai információk nyújtására a biztonsági csapat számára.

Ez is kényelmes A PowerShell, a WMI és más értelmezők használatának korlátozása ami feltétlenül szükséges, hozzáférés-vezérlési listák, szkriptaláírás (kódaláírás) és végrehajtási szabályzatok alkalmazásával, amelyek korlátozzák, hogy milyen kód futtatható és milyen jogosultságokkal.

A felhasználói oldalon a képzés továbbra is kulcsfontosságú: meg kell erősíteni a az adathalászat, a gyanús linkek és a váratlan dokumentumok tudatosításaEz különösen fontos a bizalmas információkhoz hozzáférő vagy magas szintű jogosultságokkal rendelkező személyzet esetében. A gondatlan kattintások számának csökkentése jelentősen csökkenti a támadási felületet.

Végül sem lehet elhanyagolni a javítás- és szoftverfrissítési ciklusSok fájl nélküli lánc olyan ismert sebezhetőségek kihasználásával kezdődik, amelyekre már léteznek javítások. A böngészők, bővítmények, vállalati alkalmazások és operációs rendszerek naprakészen tartása értékes kapukat zár be a támadók elől.

Felügyelt szolgáltatások és fenyegetésvadászat

A közepes és nagy szervezeteknél, ahol az események mennyisége hatalmas, a belső csapat számára nehéz mindent átlátni. Ezért egyre népszerűbbek. monitoring és irányított válaszszolgáltatások (MDR/EMDR) és külső biztonsági műveleti központok (SOC-ok).

Ezek a szolgáltatások a fejlett technológiát ötvözik a elemzőcsapatok figyelik a nap 24 órájában, a hét minden napján az ügyfeleik környezetét, korrelálva a gyenge jeleket, amelyek egyébként észrevétlenek maradnának. Az ötlet az, hogy a fájl nélküli kártevőkre jellemző viselkedést még a kár bekövetkezte előtt észleljék.

Sok SOC olyan keretrendszerekre támaszkodik, mint például MITER ATT&CK a támadók taktikájának, technikáinak és eljárásainak (TTP) katalogizálása, valamint a memórián belüli végrehajtásra, a LoLBins visszaélésekre, a rosszindulatú WMI-re vagy a lopakodó adatlopási mintákra vonatkozó szabályok létrehozása.

A folyamatos monitorozás mellett ezek a szolgáltatások jellemzően a következőket is tartalmazzák: forenzikus elemzés, incidensekre való reagálás és tanácsadás a biztonsági architektúra fejlesztése, az ismétlődő hiányosságok megszüntetése, valamint a végpontok és szerverek ellenőrzésének megerősítése érdekében.

Sok vállalat számára a funkció egy részének kiszervezése a legmegfelelőbb módja annak, hogy lépést tartson az ilyen összetett fenyegetésekkel, mivel nem mindenki engedheti meg magának, hogy egy belső csapatot válasszon a fejlett kártevők felkutatására.

A valóság az, hogy a fájl nélküli kártevők örökre megváltoztatták a végpontbiztonságról alkotott képünket: A fájlok már nem az egyetlen kulcsfontosságú mutatókÉs csak a mélyreható láthatóság, a viselkedéselemzés, a jó vezetési gyakorlatok és a kiterjesztett kiberbiztonsági kultúra kombinációja tarthatja ezt távol a mindennapokban.