- Perisian hasad tanpa fail berjalan dalam memori dan menyalahgunakan alat yang sah seperti PowerShell atau WMI.
- Ia boleh mencuri data, menyulitkan fail atau mengintip komputer tanpa meninggalkan kesan yang jelas pada cakera.
- Pengesanan yang berkesan memerlukan pemantauan tingkah laku dan proses, bukan sekadar fail.
- Pembelaan memerlukan EDR, segmentasi, penampalan dan pengurangan penggunaan skrip dan makro.
Dalam tahun-tahun kebelakangan ini perisian hasad tanpa fail Perisian hasad tanpa fail telah menjadi salah satu masalah paling serius bagi pasukan IT dan keselamatan. Kita bukan bercakap tentang virus biasa yang anda muat turun dalam lampiran dan boleh dialih keluar dengan imbasan antivirus, tetapi sesuatu yang jauh lebih tersembunyi yang tersembunyi di dalam proses sistem itu sendiri.
Ancaman jenis ini mengambil kesempatan alat sistem pengendalian yang sahTerutamanya pada Windows, ia boleh melaksanakan kod berniat jahat terus ke dalam RAM. Oleh kerana ia hampir tidak meninggalkan kesan pada cakera, ia boleh mengelak daripada banyak program antivirus tradisional dan kekal aktif cukup lama untuk mencuri maklumat, menyulitkan fail atau menyelenggara pintu belakang tanpa dikesan.
Apakah sebenarnya perisian hasad tanpa fail?
Apabila kita bercakap tentang perisian hasad tanpa fail, kita merujuk kepada kod berniat jahat yang tidak bergantung pada fail boleh laku klasik pada cakera untuk berfungsi. Daripada dipasang seperti mana-mana program lain, ia bergantung pada komponen yang sedia ada dalam sistem (skrip, perkhidmatan, penterjemah arahan, dll.) untuk memuatkan dan melaksanakan arahannya terus dalam ingatan.
Dari sudut pandangan teknikal, perisian hasad ini biasanya untuk disuntik ke dalam proses yang sedang berjalan atau ia boleh dilancarkan menggunakan arahan yang memuatkan semuanya ke dalam RAM. Ini bermakna, sebaik sahaja komputer dimatikan atau dimulakan semula, banyak varian akan hilang, tetapi dalam masa yang sama ia mempunyai banyak masa untuk menyebabkan kerosakan yang serius.
Berbanding dengan perisian hasad berasaskan fail, ancaman ini adalah lebih ringan, lebih berhati-hati dan lebih sukar untuk dijejakiAnda tidak akan menemui fail .exe yang mencurigakan pada cakera, mahupun pemasang yang berniat jahat: masalahnya terletak pada apa yang berlaku dalam proses yang nampaknya dipercayai.
Kebangkitan pendekatan ini melonjak sekitar tahun 2017, apabila kempen mula menggabungkan teknik tanpa fail dengan trojan clicker, adware canggih dan alat akses jauh (RAT)Hari ini mereka telah disepadukan ke dalam semua jenis operasi: daripada pengintipan dan APT kepada ransomware dan cryptomining.
Cara perisian hasad tanpa fail berfungsi di dalam
Untuk memahami cara ia berfungsi, perlu diingat bahawa kebanyakan aplikasi normal diedarkan sebagai fail yang ditulis ke cakera dan kemudian dimuatkan ke dalam memori apabila pengguna menjalankannya. Sebaliknya, perisian hasad tanpa fail melangkau langkah pertama dan muncul terus dalam RAM menggunakan mekanisme sistem pengendalian itu sendiri.
Banyak kempen bergantung pada idea "hidup dari tanah" (hidup dari tanah): penyerang menyalahgunakan kuasa pentadbiran yang sah dan bukannya memperkenalkan binari baharu. Pada Windows, contoh utama ialah PowerShell, tetapi skrip WMI, mshta, rundll32, VBScript atau JScript dan binari dipercayai lain (LoLBins) juga dieksploitasi.
Senario biasa ialah: pengguna membuka dokumen Office dengan kandungan berniat jahat atau mengklik pautan pancingan data; dari situ skrip yang memanggil PowerShell atau alat lain untuk memuat turun, menyahsulit atau menyuntik kod untuk fasa seterusnya ke dalam memori. Semua ini boleh berlaku tanpa mencipta fail kekal pada cakera keras.
Satu lagi vektor biasa melibatkan pengambilan kesempatan kelemahan pelaksanaan kod jauh, seperti limpahan penimbal dalam pelayar, pemalam atau aplikasi pelayan. Dengan mengeksploitasi kerentanan, penyerang boleh melaksanakan kod shell secara langsung dalam proses yang terdedah dan, dari situ, memuatkan komponen lain ke dalam memori.
Sesetengah varian juga menggunakan Pendaftaran Windows atau tugasan yang dijadualkan untuk menyimpan skrip atau arahan yang mengaktifkan semula serangan apabila sistem bermula atau pengguna log masuk. Walaupun sesuatu ditulis ke Pejabat Pendaftaran, logik berniat jahat utama terus berjalan dalam ingatan, menjadikannya sukar untuk dikesan dengan alat yang hanya tertumpu pada sistem fail.
Kaedah jangkitan dan akses awal
Pintu depan biasanya agak klasik: e-mel pancingan data, pautan berniat jahat dan dokumen palsu Mereka kekal sebagai raja akses awal, walaupun teknik tanpa fail digunakan di bawahnya. Caranya ialah sepanjang keseluruhan rantaian, setiap usaha dilakukan untuk meminimumkan sebarang jejak cakera.
Ia digunakan dalam banyak kejadian Dokumen Microsoft Office dengan makro Apabila diaktifkan, makro ini akan memanggil PowerShell atau WMI untuk memuat turun dan melaksanakan peringkat serangan seterusnya dalam memori. Walaupun tanpa makro, penyerang mengeksploitasi kelemahan dalam Word, Excel, Pembaca PDF atau enjin skrip itu sendiri untuk mencapai pelaksanaan kod.
Satu lagi pendekatan melibatkan penggunaan secara langsung boleh laku yang nampaknya tidak berbahaya yang diterima pengguna melalui e-mel atau muat turun dari web. Boleh laku ini boleh mengekstrak modul berniat jahat dan memuatkannya ke dalam memori menggunakan teknik seperti pantulan dalam .NET, tanpa menyimpannya ke cakera sebagai fail berasingan.
Terdapat juga kempen yang menyasarkan pelayan web atau aplikasi yang terdedah kepada Internet, di mana kerentanan digunakan untuk menggunakan cangkerang web dengan komponen tanpa failSatu contoh terbaru ialah penggunaan Godzilla dan alat serupa, di mana kod berniat jahat bergerak dalam permintaan HTTP dan disuntik terus ke dalam memori pada pelayan yang dikompromi.
Akhirnya, penyerang sering menggunakan tauliah yang dicuriJika mereka memperoleh nama pengguna dan kata laluan pentadbir atau akaun istimewa, mereka boleh log masuk melalui RDP atau saluran lain dan melancarkan skrip PowerShell, arahan WMI atau alat pentadbiran secara manual yang memuatkan perisian hasad ke dalam memori tanpa meninggalkan sebarang fail boleh laku baharu pada sistem.
Teknik khusus yang digunakan oleh perisian hasad tanpa fail
Salah satu kunci kepada serangan ini ialah penggunaan semula alat tingkap asli sebagai wahana untuk skrip mereka. Ini menyebabkan aktiviti berniat jahat bercampur dengan tugas pentadbiran biasa, merumitkan analisis dan tindak balas.
Antara teknik yang paling biasa kita temui ialah penggunaan PowerShell sebagai pelancar kod terbenam terus daripada baris arahan. Contohnya, skrip yang dikaburkan diluluskan sebagai parameter, dasar pelaksanaan dinyahdayakan, tetingkap disembunyikan dan muatan dimuat turun terus ke dalam memori, semuanya tanpa meninggalkan fail .ps1 atau sebarang fail boleh laku yang mencurigakan kelihatan.
Satu lagi taktik yang sangat popular adalah menyimpan skrip berniat jahat dalam Langganan Instrumentasi Pengurusan Windows (WMI)Sekali-sekala, WMI mencetuskan skrip, yang boleh melaksanakan kod daripada memori, menyambung ke pelayan arahan dan kawalan atau melancarkan peringkat baharu jangkitan.
Begitu juga, banyak kumpulan menggunakan Pendaftar dan Penjadual Tugas Windows sebagai tempat perlindungan untuk skrip dan arahan mereka. Daripada meletakkan fail boleh laku dalam folder permulaan, mereka mentakrifkan kekunci permulaan atau tugasan berjadual yang menjalankan skrip PowerShell, mshta atau rundll32 dengan kod terbenam atau kod semasa.
Teknik juga dilihat dalam pantulan dalam .NETdi mana fail boleh laku ringan mengandungi pemasangan yang disulitkan atau dimampatkan yang dimuatkan terus ke dalam memori menggunakan Reflection.Load, tanpa pernah ditulis sebagai fail .dll ke cakera. Ini membolehkan penggunaan Trojan yang sangat canggih dalam satu proses yang nampaknya normal.
Apa yang boleh dilakukan oleh serangan tanpa fail?
Walaupun namanya, serangan tanpa fail tidak terhad impaknya. Malah, ia boleh melakukan fungsi yang sama seperti perisian hasad tradisional: kecurian maklumat, penyulitan data, pergerakan lateral, pengintipan, perlombongan mata wang kripto atau pemasangan pintu belakang kekal.
Banyak kempen tanpa fail berkelakuan seperti pencuri kelayakanIni melibatkan penangkapan kata laluan, token sesi atau hash pengesahan daripada memori proses sensitif. Ini memudahkan peningkatan keistimewaan, menjejaskan lebih banyak sistem dan mengekalkan akses yang berpanjangan tanpa menggunakan binari tambahan.
Orang lain memberi tumpuan kepada perisian tebusan tanpa faildi mana sebahagian daripada logik penyulitan dan komunikasi dilaksanakan secara langsung dalam ingatan. Walaupun komponen cakera mungkin kelihatan pada satu ketika untuk memanipulasi sejumlah besar fail, pemuatan awal dan kawalan serangan dilakukan dengan teknik tanpa fail untuk mengelakkan pengesanan awal.
Penyerang juga boleh memasang rootkit atau RAT lanjutan Setelah diwujudkan, alat ini menggunakan saluran tanpa fail untuk menerima arahan, bergerak merentasi rangkaian dan mengemas kini modul. Oleh kerana ia disepadukan ke dalam proses sistem atau perkhidmatan kritikal, alat ini amat sukar untuk dihapuskan.
Dari segi ekonomi, impaknya diterjemahkan kepada kehilangan data, gangguan perkhidmatan, denda kawal selia dan kerosakan reputasiMemandangkan pencerobohan ini sering tidak dikesan selama berbulan-bulan, jumlah maklumat yang telah diekstrak dan skop pelanggaran boleh menjadi sangat besar.
Fasa serangan malware tanpa fail
Walaupun aspek teknikalnya berbeza, kitaran hayat serangan tanpa fail agak serupa dengan sebarang pencerobohan lanjutan. Apakah perubahan yang berlaku? mekanisme yang digunakan dalam setiap fasa dan cara mereka menyamar.
Dalam peringkat akses awalPenyerang memerlukan kedudukan awal: satu klik pada pautan pancingan data, pembukaan dokumen yang mengandungi makro, eksploitasi pelayan yang terdedah atau penggunaan semula kelayakan yang dikompromi. Dari situ, matlamatnya adalah untuk melaksanakan kod dalam sistem sasaran.
Setelah langkah itu dicapai, fasa seterusnya bermula pelaksanaan dalam ingatanDi sinilah PowerShell, WMI, mshta, rundll32, VBScript, JScript atau penterjemah lain memainkan peranan untuk memuatkan dan mengaktifkan muatan tanpa menjana fail boleh laku kekal pada cakera. Kod tersebut biasanya dikaburkan atau disulitkan dan dinyahsulit hanya dalam RAM.
Kemudian pengejaran bermula ketekunanWalaupun banyak muatan tanpa fail hilang apabila komputer dimulakan semula, penyerang yang canggih menggabungkan skrip pemastautin RAM dengan kunci Pendaftaran, tugasan berjadual atau langganan WMI yang melancarkan semula kod setiap kali syarat tertentu dipenuhi, seperti permulaan sistem atau log masuk pengguna.
Akhirnya, objektif akhir Tindakan penyerang termasuk: kecurian dan penyusupan data, penyulitan maklumat, penggunaan lebih banyak perisian hasad, pengintipan berterusan dan sabotaj sistem kritikal. Semua ini dilakukan sambil cuba mengekalkan profil serendah mungkin untuk mengelakkan amaran awal dan analisis forensik.
Mengapa begitu sukar untuk dikesan?
Masalah besar dengan perisian hasad tanpa fail ialah Ia memecahkan model pertahanan klasik berdasarkan fail dan tandatanganJika tiada fail boleh laku yang mencurigakan untuk dianalisis, banyak enjin antivirus kekal buta terhadap apa yang berlaku dalam memori dan proses yang sah.
Ketiadaan fail pada cakera menunjukkan bahawa Tiada objek untuk diimbas secara berkala mencari corak yang diketahui. Tambahan pula, dengan memanfaatkan binari yang ditandatangani oleh sistem pengendalian itu sendiri, seperti PowerShell.exe, wscript.exe atau rundll32.exe, aktiviti berniat jahat disembunyikan di sebalik nama yang biasanya dipercayai oleh pentadbir.
Di samping itu, banyak produk yang diwarisi mempunyai Penglihatan terhad ke dalam proses yang sedang berjalanMereka memberi tumpuan kepada sistem fail dan trafik rangkaian, tetapi hampir tidak memeriksa panggilan API dalaman, parameter baris arahan, tingkah laku skrip atau peristiwa Pendaftaran yang mungkin menunjukkan serangan tanpa fail.
Penyerang, yang menyedari batasan ini, menggunakan teknik pengaburan, penyulitan dan pemecahan kodContohnya, mereka membahagikan skrip berniat jahat kepada beberapa serpihan yang dipasang dalam masa nyata, atau mereka menyembunyikan arahan dalam imej, sumber terbenam atau rentetan yang nampaknya tidak berbahaya.
Dalam persekitaran di mana sistem jarang dimulakan semula (pelayan kritikal, terminal pengeluaran, dll.), perisian hasad pemastautin memori boleh kekal aktif selama berminggu-minggu atau berbulan-bulan tanpa dikesan, terutamanya jika anda bergerak dengan berhati-hati dan meminimumkan jumlah lalu lintas atau tindakan yang mudah dilihat.
Had pertahanan tradisional
Respons awal banyak penyedia terhadap ancaman ini adalah dengan mencuba menyekat atau menyekat secara langsung alat seperti makro PowerShell atau OfficeWalaupun ia boleh mengurangkan beberapa vektor, ia bukanlah penyelesaian yang realistik atau lengkap dalam kebanyakan organisasi.
PowerShell telah menjadi komponen utama untuk pentadbiran sistem WindowsAutomasi tugas, penggunaan perisian dan pengurusan pelayan. Menyekatnya sepenuhnya akan melumpuhkan aliran kerja IT dan memaksa pengulangan pelbagai proses dalaman.
Tambahan pula, dari sudut pandangan penyerang, terdapat pelbagai cara untuk memintas dasar sekatan mudahTerdapat teknik untuk memuatkan enjin PowerShell daripada pustaka (dll) menggunakan rundll32, menukar skrip kepada fail boleh laku dengan alatan seperti PS2EXE, menggunakan salinan PowerShell.exe yang diubah suai atau membenamkan skrip PowerShell dalam imej PNG dan menjalankannya dengan baris arahan yang dikaburkan.
Sesuatu yang serupa berlaku dengan makro Office: Banyak syarikat bergantung kepada mereka untuk mengautomasikan laporan, pengiraan dan proses perniagaan. Melumpuhkannya secara global boleh merosakkan aplikasi dalaman, sementara hanya bergantung pada analisis statik kod VBA selalunya mengakibatkan kadar positif palsu dan negatif palsu yang sukar diurus.
Selain itu, beberapa pendekatan berdasarkan pengesanan berasaskan awan sebagai perkhidmatan Ia memerlukan sambungan yang berterusan dan, kadangkala, beroperasi dengan terlalu banyak kelewatan untuk menghalang pelaksanaan awal perisian hasad. Jika keputusan penyekatan dibuat beberapa saat atau beberapa minit kemudian, kerosakan mungkin sudah berlaku.
Peralihan fokus: daripada fail kepada tingkah laku
Oleh kerana fail bukan lagi elemen utama, penyelesaian pertahanan moden memberi tumpuan kepada memantau tingkah laku proses bukannya hanya memeriksa kandungan fail. Ideanya ialah, walaupun terdapat beribu-ribu varian perisian hasad, corak aktiviti berniat jahat adalah kurang pelbagai.
Pendekatan ini bergantung pada enjin analisis tingkah laku dan pembelajaran mesin yang sentiasa memantau apa yang dilakukan oleh setiap proses: apa yang diarahkannya dilancarkan, sumber sistem yang disentuhnya, bagaimana ia berkomunikasi dengan dunia luar dan perubahan apa yang cuba diperkenalkannya ke dalam persekitaran.
Contohnya, proses Office boleh ditandakan sebagai mencurigakan jika melaksanakan arahan PowerShell yang dikaburkan dengan parameter untuk melumpuhkan dasar keselamatan dan memuat turun kod daripada domain yang mencurigakan. Atau proses yang, tanpa sebab yang jelas, tiba-tiba mengakses ratusan fail sensitif atau mengubah suai kunci pendaftaran kritikal.
Generasi terkini sistem EDR dan platform XDR mengumpul telemetri terperinci titik akhir, pelayan dan rangkaiandan dapat membina semula cerita lengkap (kadangkala dipanggil Jalan Cerita) tentang bagaimana sesuatu kejadian bermula, proses yang terlibat dan perubahan yang dialami oleh mesin yang terjejas.
Enjin tingkah laku yang baik bukan sahaja mengesan ancaman, tetapi juga boleh mengurangkan atau membalikkan tindakan berniat jahat secara automatik: membunuh proses yang terlibat, mengasingkan komputer, memulihkan fail yang disulitkan, membatalkan perubahan pada Pendaftaran dan memutuskan komunikasi ke domain arahan dan kawalan.
Teknologi dan sumber peristiwa penting dalam Windows
Untuk menganalisis ancaman tanpa fail dalam Windows, adalah amat berguna untuk memanfaatkan mekanisme telemetri sistem pengendalian asli, yang sudah ada dan menawarkan banyak maklumat tentang apa yang berlaku di sebalik tabir.
Di satu pihak adalah Penjejakan Peristiwa untuk Windows (ETW)ETW ialah rangka kerja yang membolehkan rakaman peristiwa yang sangat terperinci berkaitan dengan pelaksanaan proses, panggilan API, akses memori dan aspek sistem dalaman yang lain. Banyak penyelesaian EDR bergantung pada ETW untuk mengesan tingkah laku atipikal dalam masa nyata.
Satu lagi bahagian kunci ialah Antara Muka Imbasan Antimalware (AMSI)AMSI ialah API yang direka oleh Microsoft untuk membolehkan enjin keselamatan memeriksa skrip dan kandungan dinamik sebelum ia dijalankan, walaupun dikaburkan. AMSI amat berguna dengan PowerShell, VBScript, JScript dan bahasa skrip lain.
Di samping itu, enjin moden dianalisis secara berkala kawasan sensitif seperti Pendaftaran, Penjadual Tugas, langganan WMI atau dasar pelaksanaan skripPerubahan yang mencurigakan dalam bidang ini selalunya merupakan tanda bahawa serangan tanpa fail telah mewujudkan kegigihan.
Semua ini dilengkapi dengan heuristik yang mengambil kira bukan sahaja proses semasa, tetapi juga konteks pelaksanaan: dari mana proses induk berasal, aktiviti rangkaian yang telah diperhatikan sebelum dan selepas, sama ada terdapat kegagalan pelik, sekatan anomali atau isyarat lain yang, jika digabungkan, akan menimbulkan syak wasangka.
Strategi pengesanan dan pencegahan praktikal
Dalam praktiknya, melindungi diri daripada ancaman ini melibatkan gabungan teknologi, proses dan latihanTidak cukup hanya memasang antivirus dan melupakannya; strategi berlapis yang disesuaikan dengan tingkah laku sebenar perisian hasad tanpa fail diperlukan.
Pada peringkat teknikal, adalah penting untuk melaksanakan Penyelesaian EDR atau XDR dengan keupayaan analisis tingkah laku dan keterlihatan peringkat proses. Alat ini mesti berupaya merekod dan menghubungkan aktiviti dalam masa nyata, menyekat tingkah laku anomali dan memberikan maklumat forensik yang jelas kepada pasukan keselamatan.
Ia juga senang Mengehadkan penggunaan PowerShell, WMI dan penterjemah lain kepada apa yang benar-benar perlu, menggunakan senarai kawalan akses, penandatanganan skrip (Penandatanganan Kod) dan dasar pelaksanaan yang mengehadkan kod yang boleh dijalankan dan dengan keistimewaan apa.
Dari segi pengguna, latihan kekal penting: adalah perlu untuk memperkukuh kesedaran tentang pancingan data, pautan yang mencurigakan dan dokumen yang tidak dijangkaIni amat penting terutamanya dalam kalangan kakitangan yang mempunyai akses kepada maklumat sensitif atau keistimewaan peringkat tinggi. Mengurangkan bilangan klik yang cuai dapat mengurangkan permukaan serangan dengan ketara.
Akhirnya, seseorang tidak boleh mengabaikan tampalan dan kitaran kemas kini perisianBanyak rantaian tanpa fail bermula dengan mengeksploitasi kerentanan yang diketahui yang mana tampalannya sudah wujud. Mengemas kini pelayar, pemalam, aplikasi perusahaan dan sistem pengendalian akan menutup peluang berharga untuk penyerang.
Perkhidmatan terurus dan pemburuan ancaman
Dalam organisasi sederhana dan besar, di mana jumlah acara sangat besar, sukar bagi pasukan dalaman untuk melihat semuanya. Itulah sebabnya ia semakin popular. perkhidmatan pemantauan dan tindak balas terurus (MDR/EMDR) dan pusat operasi keselamatan luaran (SOC).
Perkhidmatan ini menggabungkan teknologi canggih dengan pasukan penganalisis memantau 24/7 persekitaran pelanggan mereka, mengaitkan isyarat lemah yang sebaliknya tidak akan disedari. Ideanya adalah untuk mengesan tingkah laku tipikal perisian hasad tanpa fail sebelum kerosakan berlaku.
Banyak SOC bergantung pada rangka kerja seperti MITRE ATT&CK untuk mengkatalogkan taktik, teknik dan prosedur (TTP) musuh dan membina peraturan khusus yang ditujukan kepada pelaksanaan dalam memori, penyalahgunaan LoLBins, WMI berniat jahat atau corak pengekstrakan data secara senyap.
Selain pemantauan berterusan, perkhidmatan ini biasanya merangkumi analisis forensik, tindak balas insiden dan perundingan untuk menambah baik seni bina keselamatan, menutup jurang berulang dan mengukuhkan kawalan pada titik akhir dan pelayan.
Bagi kebanyakan syarikat, penyumberan luar sebahagian daripada fungsi ini adalah cara paling berdaya maju untuk menangani ancaman yang begitu kompleks, kerana tidak semua orang mampu memiliki pasukan dalaman yang pakar dalam memburu perisian hasad canggih.
Realitinya ialah perisian hasad tanpa fail telah mengubah cara kita memahami keselamatan titik akhir selama-lamanya: Fail bukan lagi satu-satunya penunjuk utamaDan hanya gabungan keterlihatan yang mendalam, analisis tingkah laku, amalan pengurusan yang baik dan budaya keselamatan siber yang diperluas dapat mengatasinya setiap hari.
