- תוכנה זדונית חסרת קבצים פועלת בזיכרון ומנצלת לרעה כלים לגיטימיים כמו PowerShell או WMI.
- זה יכול לגנוב נתונים, להצפין קבצים או לרגל אחר מחשבים מבלי להשאיר עקבות ברורים בדיסק.
- זיהוי יעיל דורש ניטור התנהגות ותהליכים, לא רק קבצים.
- הגנה דורשת EDR, פילוח, תיקון קבצים וצמצום השימוש בסקריפטים ובפקודות מאקרו.
בשנים האחרונות תוכנות זדוניות ללא קבצים תוכנות זדוניות ללא קבצים הפכו לאחד מכאבי הראש הרציניים ביותר עבור צוותי IT ואבטחה. אנחנו לא מדברים על הווירוס הטיפוסי שמורידים כקובץ מצורף ויכולים להסיר באמצעות סריקת אנטי-וירוס, אלא על משהו הרבה יותר חשאי שמסתתר בתוך התהליכים של המערכת עצמה.
איום מסוג זה מנצל אותו כלי מערכת הפעלה לגיטימייםבמיוחד ב-Windows, הוא יכול להריץ קוד זדוני ישירות לתוך ה-RAM. מכיוון שהוא כמעט ולא משאיר עקבות בדיסק, הוא יכול להתחמק מתוכנות אנטי-וירוס מסורתיות רבות ולהישאר פעילות מספיק זמן כדי לגנוב מידע, להצפין קבצים או לתחזק דלתות אחוריות מבלי להתגלות.
מהי בדיוק תוכנה זדונית ללא קבצים?
כשאנחנו מדברים על תוכנות זדוניות ללא קבצים, אנחנו מתייחסים לתוכנות זדוניות קוד זדוני שאינו תלוי בקובץ הפעלה קלאסי בדיסק כדי לתפקד. במקום להיות מותקן כמו כל תוכנית אחרת, היא מסתמכת על רכיבים שכבר קיימים במערכת (סקריפטים, שירותים, מפרשי פקודות וכו') כדי לטעון ולבצע את הוראותיה ישירות בזיכרון.
מנקודת מבט טכנית, תוכנה זדונית זו בדרך כלל להזריק לתהליכים שכבר פועלים או שניתן להפעיל אותם באמצעות פקודות שטוענות הכל ל-RAM. משמעות הדבר היא שברגע שהמחשב כבוי או מופעל מחדש, גרסאות רבות נעלמות, אך בינתיים יש להן מספיק זמן לגרום נזק חמור.
בהשוואה לתוכנות זדוניות מבוססות קבצים, איומים אלה קל יותר, דיסקרטי יותר, וקשה הרבה יותר לעקוב אחריולא תמצאו קובץ .exe חשוד בדיסק, וגם לא בהכרח תוכנת התקנה זדונית: הבעיה טמונה במה שקורה בתוך תהליכים שנראים מהימנים.
עלייתה של גישה זו זינקה בסביבות 2017, כאשר קמפיינים החלו לשלב טכניקות ללא קבצים עם טרויאנים מסוג קליקר, תוכנות פרסום מתקדמות וכלי גישה מרחוק (RATs)כיום הם משולבים בכל מיני פעולות: החל מריגול ו-APTs ועד תוכנות כופר וכריית קריפטו.
כיצד תוכנות זדוניות ללא קבצים פועלות מבפנים
כדי להבין איך זה עובד, כדאי לזכור שרוב היישומים הרגילים מופצים כ... קובץ שנכתב לדיסק ולאחר מכן נטען לזיכרון כאשר המשתמש מפעיל אותו. לעומת זאת, תוכנה זדונית ללא קבצים מדלגת על השלב הראשון ומתממשת ישירות ב-RAM באמצעות מנגנונים של מערכת ההפעלה עצמה.
קמפיינים רבים מסתמכים על הרעיון של "חיים מהאדמה" (לחיות מהאדמה): התוקף עושה שימוש לרעה בסמכויות אדמיניסטרטיביות לגיטימיות במקום להציג קבצים בינאריים חדשים. ב-Windows, הדוגמה העיקרית היא PowerShell, אך גם WMI, mshta, rundll32, סקריפטים של VBScript או JScript, וקבצים בינאריים מהימנים אחרים (LoLBins) מנוצלים.
תרחיש טיפוסי יהיה: משתמש פותח מסמך אופיס עם תוכן זדוני או לוחץ על קישור פישינג; משם... סקריפט שמפעיל את PowerShell או כלי אחר להורדה, פענוח או הזרקה של הקוד לשלב הבא לזיכרון. כל זה יכול לקרות מבלי ליצור קובץ קבוע בכונן הקשיח.
וקטור נפוץ נוסף כרוך בניצול פגיעויות ביצוע קוד מרחוק, כגון גלישות מאגר בדפדפנים, תוספים או יישומי שרת. על ידי ניצול הפגיעות, התוקף יכול לבצע ישירות קוד מעטפת בתוך התהליך הפגיע, ומשם לטעון את שאר הרכיבים לזיכרון.
חלק מהגרסאות אף פונות ל רישום Windows או משימות מתוזמנות לאחסן סקריפטים או פקודות שמפעילים מחדש את ההתקפה כאשר המערכת מופעלת או משתמש מתחבר. גם אם משהו נכתב לרישום, ההיגיון הזדוני העיקרי ממשיך לרוץ בזיכרון, מה שמקשה על זיהויו באמצעות כלים המתמקדים אך ורק במערכת הקבצים.
שיטות הדבקה וגישה ראשונית
דלת הכניסה היא בדרך כלל די קלאסית: הודעות דוא"ל של פישינג, קישורים זדוניים ומסמכים מזויפים הם נשארים מלכי הגישה הראשונית, למרות שמתחתיה נעשה שימוש בטכניקות ללא קבצים. הטריק הוא שלאורך כל השרשרת, נעשה כל מאמץ למזער כל טביעת רגל של הדיסק.
במקרים רבים הם משמשים מסמכי Microsoft Office עם מאקרו כאשר הם מופעלים, פקודות מאקרו אלה קוראות ל-PowerShell או ל-WMI כדי להוריד ולבצע את השלב הבא של ההתקפה בזיכרון. אפילו ללא פקודות מאקרו, תוקפים מנצלים פגיעויות ב-Word, Excel, קוראי PDF או מנוע הסקריפטים עצמו כדי להשיג ביצוע קוד.
גישה נוספת כוללת מינוף ישיר קבצי הרצה לכאורה לא מזיקים שהמשתמש מקבל בדוא"ל או בהורדה מהאינטרנט. קובץ ההפעלה הזה יכול לחלץ מודול זדוני ולטעון אותו לזיכרון באמצעות טכניקות כמו השתקפות ב-.NET, מבלי לשמור אותו בפועל בדיסק כקובץ נפרד.
ישנם גם קמפיינים המכוונים לשרתי אינטרנט או יישומים החשופים לאינטרנט, שבהם הפגיעות משמשת לפריסה קונסולות רשת עם רכיבים ללא קבציםדוגמה עדכנית היא השימוש בגודזילה ובכלים דומים, שבהם קוד זדוני עובר בתוך בקשות HTTP ומוזרק ישירות לזיכרון בשרת הפגוע.
לבסוף, תוקפים פונים לעתים קרובות אל אישורים גנוביםאם הם משיגים את שם המשתמש והסיסמה של מנהל או חשבון מורשה, הם יכולים להתחבר דרך RDP או ערוצים אחרים ולהפעיל ידנית סקריפטים של PowerShell, פקודות WMI או כלי ניהול שטוענים את התוכנה הזדונית לזיכרון מבלי להשאיר קבצי הפעלה חדשים במערכת.
טכניקות ספציפיות בהן משתמשים תוכנות זדוניות חסרות קבצים
אחד המפתחות להתקפות אלו הוא שימוש חוזר ב כלי חלונות מקוריים ככלי לסקריפטים שלהם. זה גורם לפעילות זדונית להשתלב עם משימות ניהול רגילות, מה שמסבך את הניתוח והתגובה.
בין הטכניקות הנפוצות ביותר אנו מוצאים את השימוש ב PowerShell כמפעיל קוד מוטמע ישירות משורת הפקודה. לדוגמה, סקריפט מעורפל מועבר כפרמטר, מדיניות הביצוע מושבתת, החלון מוסתר, ומטען מוריד ישירות לזיכרון, והכל מבלי להשאיר קובץ .ps1 או כל קובץ הפעלה חשוד גלוי.
טקטיקה פופולרית נוספת היא לאחסן סקריפטים זדוניים ב- מנויי Windows Management Instrumentation (WMI)מדי פעם, WMI מפעיל את הסקריפט, שיכול לבצע קוד מהזיכרון, להתחבר לשרתי פיקוד ובקרה, או להפעיל שלבים חדשים של הזיהום.
באופן דומה, קבוצות רבות משתמשות ב- הרישום ומתזמן המשימות של Windows כמקום מפלט לסקריפטים ולפקודות שלהם. במקום להציב קובץ הפעלה בתיקיית האתחול, הם מגדירים מפתחות אתחול או משימות מתוזמנות שמריצות סקריפטים של PowerShell, mshta או rundll32 עם קוד מוטמע או קוד בזמן אמת.
טכניקות נראות גם ב השתקפות ב-.NETכאשר קובץ הרצה קל משקל מכיל אסמבלי מוצפנים או דחוסים שנטענים ישירות לזיכרון באמצעות Reflection.Load, מבלי להיכתב כקבצי .dll לדיסק. זה מאפשר פריסה של סוסים טרויאניים מתוחכמים מאוד בתוך תהליך יחיד, לכאורה רגיל.
מה יכולה לעשות התקפה ללא קבצים?
למרות שמה, התקפה ללא קבצים אינה מוגבלת בהשפעתה. למעשה, היא יכולה לבצע אותן פונקציות כמו תוכנות זדוניות מסורתיות: גניבת מידע, הצפנת נתונים, תנועה צידית, ריגול, כריית מטבעות קריפטוגרפיים או התקנת דלתות אחוריות קבועות.
קמפיינים רבים ללא קבצים מתנהגים כך גנב אישוריםזה כרוך בלכידת סיסמאות, טוקנים של סשנים או גיבובי אימות מהזיכרון של תהליכים רגישים. זה מקל על הסלמת הרשאות, פגיעה במערכות נוספות ותחזוקת גישה ממושכת מבלי להזדקק לקבצים בינאריים נוספים.
אחרים מתמקדים ב כופרה ללא קבציםכאשר חלק מההצפנה והלוגיקה של התקשורת מבוצעים ישירות בזיכרון. למרות שרכיב דיסק עשוי להופיע בשלב מסוים כדי לתפעל מספר רב של קבצים, הטעינה הראשונית והשליטה על ההתקפה נעשות באמצעות טכניקות ללא קבצים כדי למנוע גילוי מוקדם.
תוקפים יכולים גם להתקין ערכות רוט או RATs מתקדמים לאחר שהוקמו, כלים אלה משתמשים בערוצים ללא קבצים כדי לקבל פקודות, לנוע ברשת ולעדכן מודולים. מכיוון שהם משולבים בתהליכי מערכת או בשירותים קריטיים, כלים אלה קשים במיוחד למיגור.
מבחינה כלכלית, ההשפעה מתבטאת ב... אובדן נתונים, הפרעות שירות, קנסות רגולטוריים ונזק למוניטיןמאחר שחדירות אלו לעיתים קרובות נותרות בלתי מזוהות במשך חודשים, נפח המידע המוחרם והיקף הפריצה יכולים להיות עצומים.
שלבים של מתקפת תוכנה זדונית ללא קבצים
למרות שההיבטים הטכניים שונים, מחזור החיים של מתקפה ללא קבצים דומה למדי לזה של כל חדירה מתקדמת. אילו שינויים הם מנגנונים המשמשים בכל שלב והדרך בה הם מסווים את עצמם.
בשלב של גישה ראשוניתהתוקף זקוק לנקודת אחיזה ראשונית: לחיצה על קישור פישינג, פתיחת מסמך המכיל פקודות מאקרו, ניצול שרת פגיע, או שימוש חוזר באישורים שנפגעו. משם, המטרה היא לבצע קוד בתוך מערכת היעד.
לאחר שהשלב הזה מושג, מתחיל השלב הבא ביצוע בזיכרוןכאן נכנסים לתמונה PowerShell, WMI, mshta, rundll32, VBScript, JScript או מפרשים אחרים כדי לטעון ולהפעיל את המטען מבלי ליצור קבצי הרצה קבועים בדיסק. הקוד בדרך כלל מעורפל או מוצפן ומפוענח רק ב-RAM.
ואז מתחיל המרדף התמדהלמרות שמטענים רבים ללא קבצים נעלמים כאשר המחשב מופעל מחדש, תוקפים מתוחכמים משלבים סקריפטים רשומים ב-RAM עם מפתחות רישום, משימות מתוזמנות או מנויי WMI שמפעילים מחדש את הקוד בכל פעם שמתקיים תנאי מסוים, כגון הפעלת מערכת או כניסת משתמש.
לבסוף, ה- יעדים סופיים פעולות התוקף כוללות: גניבת נתונים וחילוץ, הצפנת מידע, פריסת תוכנות זדוניות נוספות, ריגול מתמשך וחבלה במערכות קריטיות. כל זאת תוך ניסיון לשמור על פרופיל נמוך ככל האפשר כדי להימנע מהתרעות מוקדמות וניתוח פורנזי.
למה כל כך קשה לזהות את זה?
הבעיה הגדולה עם תוכנות זדוניות ללא קבצים היא ש זה שובר את מודל ההגנה הקלאסי המבוסס על קבצים וחתימותאם אין קובץ הרצה חשוד לניתוח, מנועי אנטי-וירוס רבים נותרים עיוורים למה שקורה בתוך הזיכרון ובתהליכים לגיטימיים.
היעדר קבצים בדיסק מרמז על כך אין אובייקטים לסריקה תקופתית בחיפוש אחר דפוסים ידועים. יתר על כן, על ידי מינוף קבצים בינאריים החתומים על ידי מערכת ההפעלה עצמה, כגון PowerShell.exe, wscript.exe או rundll32.exe, פעילות זדונית מוסתרת מאחורי שמות שהמנהל בדרך כלל בוטח בהם.
בנוסף, למוצרים רבים בירושה יש נראות מוגבלת לתהליכים הפועליםהם מתמקדים במערכת הקבצים ובתעבורת הרשת, אך בקושי בודקים קריאות API פנימיות, פרמטרים של שורת פקודה, התנהגות סקריפטים או אירועי רישום שעשויים לחשוף מתקפה ללא קבצים.
התוקפים, המודעים למגבלות אלו, פונים אל טכניקות ערפול, הצפנה ופיצול קודלדוגמה, הם מחלקים סקריפט זדוני למספר מקטעים המורכבים בזמן אמת, או שהם מסתירים הוראות בתוך תמונות, משאבים מוטמעים או מחרוזות שנראות תמימות.
בסביבות שבהן מערכות מופעלות מחדש לעיתים רחוקות (שרתים קריטיים, מסופי ייצור וכו'), תוכנות זדוניות שוכנות בזיכרון עלולות להישאר פעילים במשך שבועות או חודשים מבלי להתגלות, במיוחד אם אתם נעים בזהירות וממזערים את נפח התנועה או פעולות בולטות.
מגבלות של הגנות מסורתיות
התגובה הראשונית של ספקים רבים לאיום זה הייתה לנסות הגבלה או חסימה ישירה של כלים כמו PowerShell או מאקרו של Officeלמרות שזה יכול להפחית כמה וקטורים, זה לא פתרון ריאלי או מלא ברוב הארגונים.
PowerShell הפך ל- רכיב מפתח לניהול מערכת Windowsאוטומציה של משימות, פריסת תוכנה וניהול שרתים. חסימה מוחלטת של אוטומציה זו תשתק את זרימות העבודה של ה-IT ותכריח ביצוע מחדש של תהליכים פנימיים רבים.
יתר על כן, מנקודת מבטו של התוקף, ישנן דרכים רבות לעשות זאת עקיפת מדיניות חסימה פשוטהישנן טכניקות לטעון את מנוע PowerShell מספריות (dll) באמצעות rundll32, להמיר סקריפטים לקבצי הרצה בעזרת כלים כמו PS2EXE, להשתמש בעותקים שעברו שינוי של PowerShell.exe, או אפילו להטמיע סקריפטים של PowerShell בתמונות PNG ולהפעיל אותם באמצעות שורות פקודה מעורפלות.
משהו דומה קורה עם פקודות מאקרו של אופיס: חברות רבות תלויות בהן לאוטומציה של דוחות, חישובים ותהליכים עסקיים. השבתתם הגלובלית עלולה לשבש יישומים פנימיים, בעוד שהסתמכות בלבד על ניתוח סטטי של קוד VBA גורמת לעיתים קרובות לשיעור קשה לניהול של תוצאות חיוביות ושליליות שגויות.
בנוסף, גישות מסוימות המבוססות על גילוי כשירות מבוסס ענן הם דורשים קישוריות מתמדת, ולפעמים פועלים עם עיכוב גדול מדי כדי למנוע את ההפעלה הראשונית של התוכנה הזדונית. אם החלטת החסימה מתקבלת שניות או דקות לאחר מכן, הנזק עלול כבר להיגרם.
שינויי מיקוד: מקבצים להתנהגות
מכיוון שהקובץ כבר אינו המרכיב העיקרי, פתרונות הגנה מודרניים מתמקדים ב לנטר את התנהגות התהליכים במקום רק לבדוק את תוכן הקבצים. הרעיון הוא שלמרות שיש אלפי גרסאות של תוכנות זדוניות, דפוסי הפעילות הזדונית הרבה פחות מגוונים.
גישה זו מסתמכת על מנועים של ניתוח התנהגותי ולמידת מכונה שמנטרים באופן רציף את מה שכל תהליך עושה: אילו פקודות הוא מפעיל, באילו משאבי מערכת הוא נוגע, כיצד הוא מתקשר עם העולם החיצון, ואילו שינויים הוא מנסה להכניס לסביבה.
לדוגמה, תהליך של Office יכול להיות מסומן כחשוד אם מבצע פקודת PowerShell מעורפלת עם פרמטרים להשבתת מדיניות אבטחה והורדת קוד מדומיין חשוד. או תהליך שבלי סיבה נראית לעין, ניגש לפתע למאות קבצים רגישים או משנה מפתחות רישום קריטיים.
הדור האחרון של מערכות EDR ופלטפורמות XDR אוספות טלמטריה מפורטת של נקודות קצה, שרתים ורשתומסוגלים לשחזר סיפורים שלמים (הנקראים לפעמים "קווי עלילה") של כיצד נוצר אירוע, אילו תהליכים היו מעורבים, ואילו שינויים עברה המכונה שנפגעה.
מנוע התנהגותי טוב לא רק מזהה את האיום, אלא גם יכול למתן או לבטל באופן אוטומטי פעולות זדוניותלהרוג תהליכים מעורבים, לבודד את המחשב, לשחזר קבצים מוצפנים, לבטל שינויים ברישום ולנתק תקשורת עם דומיינים של פיקוד ובקרה.
טכנולוגיות ומקורות של אירועים מרכזיים ב-Windows
כדי לנתח איומים ללא קבצים ב-Windows, כדאי במיוחד לנצל את היתרונות של מנגנוני טלמטריה של מערכת הפעלה מקורית, שכבר קיימים ומציעים מידע רב על מה שקורה מאחורי הקלעים.
מצד אחד הוא מעקב אחר אירועים עבור Windows (ETW)ETW היא מסגרת המאפשרת רישום של אירועים מפורטים ביותר הקשורים לביצוע תהליכים, קריאות API, גישה לזיכרון והיבטים פנימיים אחרים של המערכת. פתרונות EDR רבים מסתמכים על ETW כדי לזהות התנהגות חריגה בזמן אמת.
קטע מפתח נוסף הוא ממשק סריקה נגד תוכנות זדוניות (AMSI)AMSI הוא ממשק API שתוכנן על ידי מיקרוסופט כדי לאפשר למנועי אבטחה לבדוק סקריפטים ותוכן דינמי רגע לפני שהם פועלים, גם אם הם מעורפלים. AMSI שימושי במיוחד עם PowerShell, VBScript, JScript ושפות סקריפטים אחרות.
בנוסף, מנועים מודרניים מנותחים מעת לעת, תחומים רגישים כגון הרישום, מתזמן המשימות, מנויי WMI או מדיניות ביצוע סקריפטיםשינויים חשודים באזורים אלה הם לעתים קרובות סימן לכך שהתקפה ללא קבצים ביססה עמידות.
כל זה משלים היוריסטיקות שלוקחות בחשבון לא רק את התהליך הנוכחי, אלא גם את הקשר ביצוע: מהיכן מגיע תהליך האב, איזו פעילות רשת נצפתה לפניו ואחריו, האם היו כשלים מוזרים, חסימות חריגות או אותות אחרים אשר, יחד, מטים את הכף לחשד.
אסטרטגיות מעשיות לגילוי ומניעה
בפועל, הגנה מפני איומים אלה כרוכה בשילוב טכנולוגיה, תהליכים והדרכהלא מספיק להתקין אנטי-וירוס ולשכוח ממנו; נדרשת אסטרטגיה רב-שכבתית המותאמת להתנהגות האמיתית של תוכנות זדוניות חסרות קבצים.
ברמה הטכנית, חיוני לפרוס פתרונות EDR או XDR עם יכולות ניתוח התנהגותי ונראות ברמת התהליך. כלים אלה חייבים להיות מסוגלים לתעד ולקשר פעילות בזמן אמת, לחסום התנהגות חריגה ולספק מידע פורנזי ברור לצוות האבטחה.
זה גם נוח הגבלת השימוש ב-PowerShell, WMI ומפרשים אחרים למה שחייב לחלוטין, החלת רשימות בקרת גישה, חתימת סקריפטים (Code Signing) ומדיניות ביצוע המגבילות איזה קוד יכול לרוץ ועם אילו הרשאות.
בצד המשתמש, הכשרה נותרה קריטית: יש צורך לחזק את מודעות לפישינג, קישורים חשודים ומסמכים בלתי צפוייםזה חשוב במיוחד בקרב אנשי צוות עם גישה למידע רגיש או הרשאות ברמה גבוהה. צמצום מספר הקליקים הרשלניים מפחית משמעותית את משטח ההתקפה.
לבסוף, אי אפשר להתעלם מ- מחזור עדכון טלאים ותוכנהשרשראות רבות ללא קבצים מתחילות בניצול פגיעויות ידועות שכבר קיימות עבורן תיקונים. שמירה על דפדפנים, תוספים, יישומים ארגוניים ומערכות הפעלה מעודכנים סוגרת דלתות יקרות ערך בפני תוקפים.
שירותים מנוהלים וחיפוש איומים
בארגונים בינוניים וגדולים, שבהם נפח האירועים עצום, קשה לצוות הפנימי לראות הכל. זו הסיבה שהם צוברים פופולריות. שירותי ניטור ותגובה מנוהלים (MDR/EMDR) ומרכזי פעולות אבטחה חיצוניים (SOCs).
שירותים אלה משלבים טכנולוגיה מתקדמת עם צוותי אנליסטים עוקבים 24/7 את סביבות הלקוחות שלהם, תוך התאמה של אותות חלשים שאחרת היו נעלמים מעיניו. הרעיון הוא לזהות התנהגויות אופייניות לתוכנות זדוניות ללא קבצים לפני שנגרם נזק.
מערכות הפעלה (SOCs) רבות מסתמכות על מסגרות כגון MITER ATT & CK לקטלג טקטיקות, טכניקות ונהלים (TTP) של יריבים ולבנות כללים ספציפיים המכוונים לביצוע בזיכרון, שימוש לרעה ב-LoLBins, WMI זדוני או דפוסי חילוץ נתונים חשאיים.
בנוסף לניטור מתמשך, שירותים אלה כוללים בדרך כלל ניתוח פורנזי, תגובה לאירועים וייעוץ כדי לשפר את ארכיטקטורת האבטחה, לסגור פערים חוזרים ולחזק את הבקרות על נקודות קצה ושרתים.
עבור חברות רבות, מיקור חוץ של חלק מפונקציה זו הוא הדרך המעשית ביותר לעמוד בקצב איומים מורכבים כאלה, מכיוון שלא כולם יכולים להרשות לעצמם צוות פנימי המתמחה בציד תוכנות זדוניות מתקדמות.
המציאות היא שתוכנות זדוניות ללא קבצים שינו לנצח את האופן שבו אנו מבינים אבטחת נקודות קצה: קבצים אינם עוד המדד המרכזי היחידורק שילוב של נראות מעמיקה, ניתוח התנהגותי, נוהלי ניהול נכונים ותרבות אבטחת סייבר מורחבת יכולים למנוע זאת על בסיס יומיומי.
