- Malware tanpa file berjalan di memori dan menyalahgunakan alat-alat yang sah seperti PowerShell atau WMI.
- Program ini dapat mencuri data, mengenkripsi file, atau memata-matai komputer tanpa meninggalkan jejak yang jelas pada disk.
- Deteksi yang efektif memerlukan pemantauan perilaku dan proses, bukan hanya file.
- Upaya pertahanan memerlukan EDR, segmentasi, patching, dan pengurangan penggunaan skrip dan makro.
Dalam beberapa tahun terakhir malware tanpa file Malware tanpa file telah menjadi salah satu masalah paling serius bagi tim TI dan keamanan. Kita tidak berbicara tentang virus biasa yang Anda unduh sebagai lampiran dan dapat dihapus dengan pemindaian antivirus, tetapi sesuatu yang jauh lebih tersembunyi yang bersembunyi di dalam proses sistem itu sendiri.
Jenis ancaman ini memanfaatkan alat sistem operasi yang sahKhususnya pada Windows, virus ini dapat mengeksekusi kode berbahaya langsung ke RAM. Karena hampir tidak meninggalkan jejak di disk, virus ini dapat menghindari banyak program antivirus tradisional dan tetap aktif cukup lama untuk mencuri informasi, mengenkripsi file, atau mempertahankan pintu belakang (backdoor) tanpa terdeteksi.
Sebenarnya apa itu malware tanpa file?
Ketika kita berbicara tentang malware tanpa file, yang kita maksud adalah kode berbahaya yang tidak bergantung pada file eksekusi klasik di disk agar dapat berfungsi. Alih-alih diinstal seperti program lainnya, ia bergantung pada komponen yang sudah ada di sistem (skrip, layanan, penerjemah perintah, dll.) untuk memuat dan mengeksekusi instruksinya langsung di memori.
Dari sudut pandang teknis, malware ini biasanya untuk disuntikkan ke dalam proses yang sudah berjalan. atau dapat diluncurkan menggunakan perintah yang memuat semuanya ke dalam RAM. Ini berarti bahwa, setelah komputer dimatikan atau dihidupkan ulang, banyak varian akan hilang, tetapi sementara itu mereka memiliki banyak waktu untuk menyebabkan kerusakan serius.
Dibandingkan dengan malware berbasis file, ancaman ini lebih ringan, lebih tidak mencolok, dan jauh lebih sulit dilacak.Anda tidak akan menemukan file .exe yang mencurigakan di disk, atau pun penginstal berbahaya: masalahnya terletak pada apa yang terjadi di dalam proses yang tampaknya tepercaya.
Pendekatan ini semakin populer sekitar tahun 2017, ketika kampanye mulai menggabungkan teknik tanpa berkas dengan trojan clicker, adware tingkat lanjut, dan alat akses jarak jauh (RAT)Saat ini, teknologi tersebut telah terintegrasi ke dalam berbagai jenis operasi: mulai dari spionase dan APT hingga ransomware dan penambangan kripto.
Bagaimana malware tanpa file bekerja dari dalam
Untuk memahami cara kerjanya, perlu diingat bahwa sebagian besar aplikasi normal didistribusikan sebagai sebuah berkas yang ditulis ke disk dan kemudian dimuat ke dalam memori Saat pengguna menjalankannya. Malware tanpa file, di sisi lain, melewati langkah pertama dan langsung muncul di RAM menggunakan mekanisme sistem operasi itu sendiri.
Banyak kampanye bergantung pada gagasan "hidup dari hasil bumi" (hidup dari tanah): penyerang menyalahgunakan wewenang administratif yang sah alih-alih memperkenalkan biner baru. Di Windows, contoh utamanya adalah PowerShell, tetapi WMI, mshta, rundll32, skrip VBScript atau JScript, dan biner tepercaya lainnya (LoLBins) juga dieksploitasi.
Skenario tipikalnya adalah: pengguna membuka dokumen Office dengan konten berbahaya atau mengklik tautan phishing; dari situ... skrip yang memanggil PowerShell atau alat lain untuk mengunduh, mendekripsi, atau menyuntikkan kode untuk fase berikutnya ke dalam memori. Semua ini dapat terjadi tanpa membuat file permanen di hard drive.
Vektor umum lainnya melibatkan pengambilan keuntungan. kerentanan eksekusi kode jarak jauh, seperti buffer overflow pada browser, plugin, atau aplikasi server. Dengan mengeksploitasi kerentanan tersebut, penyerang dapat langsung mengeksekusi shellcode di dalam proses yang rentan dan, dari sana, memuat komponen lainnya ke dalam memori.
Beberapa varian bahkan sampai menggunakan Registri Windows atau tugas terjadwal untuk menyimpan skrip atau perintah yang mengaktifkan kembali serangan saat sistem dimulai atau pengguna masuk. Bahkan jika sesuatu ditulis ke Registry, logika jahat utama terus berjalan di memori, sehingga sulit dideteksi dengan alat yang hanya berfokus pada sistem file.
Metode infeksi dan akses awal
Pintu depan biasanya cukup klasik: email phishing, tautan berbahaya, dan dokumen palsu Mereka tetap menjadi raja akses awal, meskipun teknik tanpa berkas digunakan di baliknya. Kuncinya adalah, di seluruh rantai proses, setiap upaya dilakukan untuk meminimalkan penggunaan ruang disk.
Dalam banyak kejadian, alat-alat tersebut digunakan. Dokumen Microsoft Office dengan makro Saat diaktifkan, makro ini memanggil PowerShell atau WMI untuk mengunduh dan mengeksekusi tahap serangan selanjutnya di memori. Bahkan tanpa makro, penyerang mengeksploitasi kerentanan di Word, Excel, pembaca PDF atau mesin skrip itu sendiri untuk mencapai eksekusi kode.
Pendekatan lain melibatkan pemanfaatan langsung file eksekusi yang tampaknya tidak berbahaya File yang dapat dieksekusi ini dapat mengekstrak modul berbahaya dan memuatnya ke dalam memori menggunakan teknik seperti refleksi di .NET, tanpa benar-benar menyimpannya ke disk sebagai file terpisah.
Terdapat pula kampanye yang menargetkan server web atau aplikasi yang terhubung ke internet, di mana kerentanan tersebut digunakan untuk menyebarkan serangan. webshell dengan komponen tanpa fileContoh terbaru adalah penggunaan Godzilla dan alat serupa, di mana kode berbahaya menyebar melalui permintaan HTTP dan disuntikkan langsung ke dalam memori pada server yang disusupi.
Terakhir, penyerang sering kali menggunakan cara-cara berikut: kredensial yang dicuriJika mereka memperoleh nama pengguna dan kata sandi administrator atau akun istimewa, mereka dapat masuk melalui RDP atau saluran lain dan secara manual menjalankan skrip PowerShell, perintah WMI, atau alat administratif yang memuat malware ke dalam memori tanpa meninggalkan file yang dapat dieksekusi baru di sistem.
Teknik khusus yang digunakan oleh malware tanpa file
Salah satu kunci dari serangan ini adalah penggunaan kembali alat windows asli sebagai wahana untuk skrip mereka. Hal ini menyebabkan aktivitas berbahaya bercampur dengan tugas administratif normal, sehingga mempersulit analisis dan respons.
Di antara teknik yang paling umum kita temukan adalah penggunaan PowerShell sebagai peluncur kode terintegrasi. langsung dari baris perintah. Misalnya, skrip yang dienkripsi dilewatkan sebagai parameter, kebijakan eksekusi dinonaktifkan, jendela disembunyikan, dan muatan diunduh langsung ke memori, semuanya tanpa meninggalkan file .ps1 atau file eksekusi mencurigakan yang terlihat.
Taktik lain yang sangat populer adalah menyimpan skrip berbahaya di dalam... Langganan Windows Management Instrumentation (WMI)Sesekali, WMI memicu skrip, yang dapat mengeksekusi kode dari memori, terhubung ke server perintah dan kontrol, atau meluncurkan tahapan infeksi baru.
Demikian pula, banyak kelompok menggunakan Registri Windows dan Penjadwal Tugas sebagai tempat perlindungan untuk skrip dan perintah mereka. Alih-alih menempatkan file yang dapat dieksekusi di folder startup, mereka menentukan kunci startup atau tugas terjadwal yang menjalankan skrip PowerShell, mshta, atau rundll32 dengan kode yang disematkan atau dijalankan secara langsung.
Teknik-teknik tersebut juga terlihat pada refleksi di .NETdi mana sebuah program yang ringan berisi assembly terenkripsi atau terkompresi yang dimuat langsung ke memori menggunakan Reflection.Load, tanpa pernah ditulis sebagai file .dll ke disk. Hal ini memungkinkan penyebaran Trojan yang sangat canggih dalam satu proses yang tampaknya normal.
Apa yang dapat dilakukan oleh serangan tanpa berkas?
Terlepas dari namanya, serangan tanpa file tidak terbatas pada dampaknya. Bahkan, serangan ini dapat melakukan lebih dari itu. memiliki fungsi yang sama dengan malware tradisional.: pencurian informasi, enkripsi data, pergerakan lateral, spionase, penambangan mata uang kripto, atau pemasangan pintu belakang permanen.
Banyak kampanye tanpa berkas berperilaku seperti pencuri kredensialHal ini melibatkan pengambilan kata sandi, token sesi, atau hash otentikasi dari memori proses sensitif. Ini mempermudah peningkatan hak akses, membahayakan lebih banyak sistem, dan mempertahankan akses dalam jangka waktu lama tanpa perlu menggunakan biner tambahan.
Yang lain berfokus pada ransomware tanpa filedi mana sebagian dari logika enkripsi dan komunikasi dieksekusi langsung di memori. Meskipun komponen disk mungkin muncul pada suatu titik untuk memanipulasi sejumlah besar file, pemuatan awal dan kontrol serangan dilakukan dengan teknik tanpa file untuk menghindari deteksi dini.
Penyerang juga dapat menginstal rootkit atau RAT tingkat lanjut Setelah terpasang, alat-alat ini menggunakan saluran tanpa berkas untuk menerima perintah, bergerak melintasi jaringan, dan memperbarui modul. Karena terintegrasi ke dalam proses sistem atau layanan penting, alat-alat ini sangat sulit untuk diberantas.
Dari segi ekonomi, dampaknya berujung pada... kehilangan data, gangguan layanan, denda peraturan, dan kerusakan reputasiKarena penyusupan ini seringkali tidak terdeteksi selama berbulan-bulan, volume informasi yang dicuri dan cakupan pelanggarannya bisa sangat besar.
Fase-fase serangan malware tanpa file
Meskipun aspek teknisnya berbeda, siklus hidup serangan tanpa berkas cukup mirip dengan intrusi tingkat lanjut lainnya. Yang berbeda adalah... mekanisme yang digunakan di setiap fase dan cara mereka menyamarkan diri.
Dalam tahap akses awalPenyerang membutuhkan pijakan awal: mengklik tautan phishing, membuka dokumen yang berisi makro, mengeksploitasi server yang rentan, atau menggunakan kembali kredensial yang telah disusupi. Dari situ, tujuannya adalah untuk mengeksekusi kode di dalam sistem target.
Setelah langkah itu tercapai, fase selanjutnya dimulai. eksekusi di memoriDi sinilah PowerShell, WMI, mshta, rundll32, VBScript, JScript, atau interpreter lainnya berperan untuk memuat dan mengaktifkan payload tanpa menghasilkan file eksekusi permanen di disk. Kode tersebut biasanya dienkripsi atau disamarkan dan hanya didekripsi di RAM.
Kemudian pengejaran pun dimulai. ketekunanMeskipun banyak muatan tanpa file menghilang saat komputer dihidupkan ulang, penyerang canggih menggabungkan skrip yang berada di RAM dengan kunci Registri, tugas terjadwal, atau langganan WMI yang meluncurkan kembali kode setiap kali kondisi tertentu terpenuhi, seperti saat sistem dimulai atau pengguna masuk.
Akhirnya, tujuan akhir Tindakan penyerang meliputi: pencurian dan pengeluaran data, enkripsi informasi, penyebaran malware lebih lanjut, spionase berkelanjutan, dan sabotase sistem penting. Semua ini dilakukan sambil berusaha menjaga profil serendah mungkin untuk menghindari peringatan dini dan analisis forensik.
Mengapa begitu sulit untuk mendeteksinya?
Masalah besar dengan malware tanpa file adalah bahwa Ini mematahkan model pertahanan klasik yang berbasis pada berkas dan tanda tangan.Jika tidak ada file eksekusi mencurigakan untuk dianalisis, banyak mesin antivirus tetap buta terhadap apa yang terjadi di dalam memori dan proses yang sah.
Tidak adanya file di disk menyiratkan bahwa Tidak ada objek yang perlu dipindai secara berkala. untuk mencari pola yang sudah dikenal. Selain itu, dengan memanfaatkan biner yang ditandatangani oleh sistem operasi itu sendiri, seperti PowerShell.exe, wscript.exe, atau rundll32.exe, aktivitas berbahaya disamarkan di balik nama-nama yang biasanya dipercaya oleh administrator.
Selain itu, banyak produk warisan memiliki Keterbatasan visibilitas terhadap proses yang sedang berjalan.Mereka berfokus pada sistem file dan lalu lintas jaringan, tetapi hampir tidak memeriksa panggilan API internal, parameter baris perintah, perilaku skrip, atau peristiwa Registry yang mungkin mengungkap serangan tanpa file.
Para penyerang, menyadari keterbatasan ini, menggunakan cara-cara berikut: teknik pengaburan, enkripsi, dan fragmentasi kodeSebagai contoh, mereka membagi skrip berbahaya menjadi beberapa fragmen yang dirakit secara real time, atau mereka menyembunyikan instruksi di dalam gambar, sumber daya tersemat, atau string yang tampaknya tidak berbahaya.
Di lingkungan di mana sistem jarang dihidupkan ulang (server penting, terminal produksi, dll.), malware yang berada di memori dapat tetap aktif selama berminggu-minggu atau berbulan-bulan tanpa terdeteksi, terutama jika Anda bergerak dengan hati-hati dan meminimalkan volume lalu lintas atau tindakan yang mencolok.
Keterbatasan pertahanan tradisional
Respons awal dari banyak penyedia terhadap ancaman ini adalah dengan mencoba Membatasi atau memblokir secara langsung alat-alat seperti PowerShell atau makro Office.Meskipun dapat mengurangi beberapa vektor, ini bukanlah solusi yang realistis atau lengkap di sebagian besar organisasi.
PowerShell telah menjadi komponen kunci untuk administrasi sistem WindowsOtomatisasi tugas, penyebaran perangkat lunak, dan manajemen server. Memblokirnya sepenuhnya akan melumpuhkan alur kerja TI dan memaksa pengerjaan ulang banyak proses internal.
Selain itu, dari sudut pandang penyerang, ada beberapa cara untuk menghindari kebijakan pemblokiran sederhanaTerdapat teknik untuk memuat mesin PowerShell dari pustaka (dll) menggunakan rundll32, mengkonversi skrip menjadi file yang dapat dieksekusi dengan alat seperti PS2EXE, menggunakan salinan PowerShell.exe yang dimodifikasi, atau bahkan menyematkan skrip PowerShell dalam gambar PNG dan menjalankannya dengan baris perintah yang disamarkan.
Hal serupa terjadi dengan makro Office: Banyak perusahaan bergantung pada mereka. untuk mengotomatiskan laporan, perhitungan, dan proses bisnis. Menonaktifkannya secara global dapat merusak aplikasi internal, sementara mengandalkan sepenuhnya pada analisis statis kode VBA seringkali menghasilkan tingkat positif palsu dan negatif palsu yang sulit dikelola.
Selain itu, beberapa pendekatan didasarkan pada deteksi berbasis cloud sebagai layanan Perangkat tersebut membutuhkan konektivitas konstan dan, terkadang, beroperasi dengan penundaan yang terlalu lama untuk mencegah eksekusi awal malware. Jika keputusan pemblokiran dibuat beberapa detik atau menit kemudian, kerusakan mungkin sudah terjadi.
Pergeseran fokus: dari file ke perilaku
Karena berkas bukan lagi elemen utama, solusi pertahanan modern berfokus pada... memantau perilaku proses alih-alih hanya memeriksa isi file. Idenya adalah, meskipun ada ribuan varian malware, pola aktivitas jahatnya jauh kurang beragam.
Pendekatan ini bergantung pada mesin-mesin analisis perilaku dan pembelajaran mesin yang terus memantau apa yang dilakukan setiap proses: perintah apa yang dijalankannya, sumber daya sistem apa yang diaksesnya, bagaimana ia berkomunikasi dengan dunia luar, dan perubahan apa yang coba diperkenalkannya ke dalam lingkungan.
Sebagai contoh, suatu proses Office dapat ditandai sebagai mencurigakan jika menjalankan perintah PowerShell yang disamarkan dengan parameter untuk menonaktifkan kebijakan keamanan dan mengunduh kode dari domain yang mencurigakan. Atau sebuah proses yang, tanpa alasan yang jelas, tiba-tiba mengakses ratusan file sensitif atau memodifikasi kunci registri penting.
Generasi terbaru sistem EDR dan platform XDR mengumpulkan telemetri terperinci dari titik akhir, server, dan jaringan.dan mampu merekonstruksi cerita lengkap (kadang-kadang disebut StoryLines) tentang bagaimana suatu insiden bermula, proses apa yang terlibat, dan perubahan apa yang dialami mesin yang terdampak.
Mesin analisis perilaku yang baik tidak hanya mendeteksi ancaman, tetapi juga dapat mengurangi atau secara otomatis membalikkan tindakan jahat: menghentikan proses yang terlibat, mengisolasi komputer, memulihkan file yang terenkripsi, membatalkan perubahan pada Registry, dan memutus komunikasi ke domain perintah dan kontrol.
Teknologi dan sumber peristiwa penting di Windows
Untuk menganalisis ancaman tanpa file di Windows, sangat bermanfaat untuk memanfaatkan hal berikut: mekanisme telemetri sistem operasi asli, yang sudah ada dan menawarkan banyak informasi tentang apa yang terjadi di balik layar.
Di satu sisi adalah Pelacakan Peristiwa untuk Windows (ETW)ETW adalah kerangka kerja yang memungkinkan perekaman peristiwa yang sangat detail terkait dengan eksekusi proses, panggilan API, akses memori, dan aspek sistem internal lainnya. Banyak solusi EDR mengandalkan ETW untuk mendeteksi perilaku tidak lazim secara real-time.
Bagian penting lainnya adalah Antarmuka Pemindaian Antimalware (AMSI)AMSI adalah API yang dirancang oleh Microsoft untuk memungkinkan mesin keamanan memeriksa skrip dan konten dinamis tepat sebelum dijalankan, bahkan jika telah dienkripsi. AMSI sangat berguna dengan PowerShell, VBScript, JScript, dan bahasa skrip lainnya.
Selain itu, mesin-mesin modern dianalisis secara berkala. area sensitif seperti Registry, Task Scheduler, langganan WMI, atau kebijakan eksekusi skripPerubahan mencurigakan di area ini seringkali merupakan tanda bahwa serangan tanpa berkas telah berhasil membangun persistensi.
Semua ini dilengkapi dengan heuristik yang mempertimbangkan tidak hanya proses saat ini, tetapi juga konteks eksekusi: dari mana proses induk berasal, aktivitas jaringan apa yang telah diamati sebelum dan sesudahnya, apakah ada kegagalan yang aneh, penyumbatan anomali, atau sinyal lain yang, jika digabungkan, mengarah pada kecurigaan.
Strategi deteksi dan pencegahan praktis
Dalam praktiknya, melindungi diri dari ancaman-ancaman ini melibatkan kombinasi teknologi, proses, dan pelatihanMenginstal antivirus saja dan melupakannya tidaklah cukup; diperlukan strategi berlapis yang disesuaikan dengan perilaku sebenarnya dari malware tanpa file.
Dari segi teknis, penerapan ini sangat penting. Solusi EDR atau XDR dengan kemampuan analisis perilaku dan visibilitas tingkat proses. Alat-alat ini harus mampu merekam dan mengkorelasikan aktivitas secara real-time, memblokir perilaku anomali, dan memberikan informasi forensik yang jelas kepada tim keamanan.
Ini juga nyaman Membatasi penggunaan PowerShell, WMI, dan interpreter lainnya. pada hal-hal yang benar-benar diperlukan, menerapkan daftar kontrol akses, penandatanganan skrip (Code Signing) dan kebijakan eksekusi yang membatasi kode apa yang dapat dijalankan dan dengan hak akses apa.
Dari sisi pengguna, pelatihan tetap sangat penting: pelatihan perlu diperkuat kesadaran akan phishing, tautan mencurigakan, dan dokumen yang tidak terdugaHal ini sangat penting terutama bagi personel yang memiliki akses ke informasi sensitif atau hak akses tingkat tinggi. Mengurangi jumlah klik yang ceroboh secara signifikan menurunkan potensi serangan.
Terakhir, kita tidak bisa mengabaikan hal ini. siklus patch dan pembaruan perangkat lunakBanyak serangan tanpa berkas dimulai dengan mengeksploitasi kerentanan yang sudah diketahui dan tambalannya sudah tersedia. Memperbarui peramban, plugin, aplikasi perusahaan, dan sistem operasi secara berkala menutup celah berharga bagi penyerang.
Layanan terkelola dan perburuan ancaman
Di organisasi menengah dan besar, di mana volume kejadian sangat besar, tim internal kesulitan untuk mengawasi semuanya. Itulah mengapa mereka semakin populer. layanan pemantauan dan respons terkelola (MDR/EMDR) dan pusat operasi keamanan eksternal (SOC).
Layanan-layanan ini menggabungkan teknologi canggih dengan tim analis memantau 24/7 Lingkungan klien mereka, mengkorelasikan sinyal lemah yang mungkin luput dari perhatian. Idenya adalah untuk mendeteksi perilaku khas malware tanpa file sebelum kerusakan terjadi.
Banyak SOC (Security Operations Center) bergantung pada kerangka kerja seperti... MITRE ATT & CK untuk mengkatalogkan taktik, teknik, dan prosedur (TTP) musuh dan membangun aturan spesifik yang diarahkan pada eksekusi dalam memori, penyalahgunaan LoLBins, WMI berbahaya, atau pola eksfiltrasi data tersembunyi.
Selain pemantauan berkelanjutan, layanan ini biasanya mencakup analisis forensik, respons insiden, dan konsultasi untuk meningkatkan arsitektur keamanan, menutup celah yang berulang, dan memperkuat kontrol pada titik akhir dan server.
Bagi banyak perusahaan, melakukan outsourcing sebagian fungsi ini adalah cara yang paling layak untuk mengimbangi ancaman yang kompleks tersebut, karena tidak semua perusahaan mampu memiliki tim internal yang khusus menangani perburuan malware canggih.
Kenyataannya adalah bahwa malware tanpa file telah mengubah selamanya cara kita memahami keamanan endpoint: Berkas bukan lagi satu-satunya indikator kunci.Dan hanya kombinasi dari visibilitas mendalam, analisis perilaku, praktik manajemen yang baik, dan budaya keamanan siber yang diperluas yang dapat mencegahnya dalam kegiatan sehari-hari.
