Filløs skadevare: hva det er, hvordan det fungerer og hvordan man kan forsvare seg mot det

Universelt eventyr » Informasjon » Filløs skadevare: hva det er, hvordan det fungerer og hvordan man kan forsvare seg mot det

De siste årene har filløs skadelig programvare Filløs skadevare har blitt en av de mest alvorlige hodepinene for IT- og sikkerhetsteam. Vi snakker ikke om det typiske viruset du laster ned i et vedlegg og kan fjerne med en antivirusskanning, men noe mye mer skjult som gjemmer seg i systemets egne prosesser.

Denne typen trussel utnytter legitime operativsystemverktøySpesielt på Windows kan den kjøre skadelig kode direkte inn i RAM. Fordi den nesten ikke etterlater spor på disken, kan den unngå mange tradisjonelle antivirusprogrammer og forbli aktiv lenge nok til å stjele informasjon, kryptere filer eller opprettholde bakdører uten å bli oppdaget.

Hva er egentlig filløs skadelig programvare?

Når vi snakker om filløs skadelig programvare, refererer vi til ondsinnet kode som ikke er avhengig av en klassisk kjørbar fil på disken for å fungere. I stedet for å bli installert som et hvilket som helst annet program, er det avhengig av komponenter som allerede finnes i systemet (skript, tjenester, kommandotolkere osv.) for å laste inn og utføre instruksjonene direkte i minnet.

Fra et teknisk synspunkt er denne skadelige programvaren vanligvis som skal injiseres i prosesser som allerede kjører eller de kan startes ved hjelp av kommandoer som laster alt inn i RAM. Dette betyr at når datamaskinen slås av eller startes på nytt, forsvinner mange varianter, men i mellomtiden har de god tid til å forårsake alvorlig skade.

Sammenlignet med filbasert skadelig programvare er disse truslene lettere, mer diskret og mye vanskeligere å sporeDu finner ikke en mistenkelig .exe-fil på disken, og heller ikke nødvendigvis et ondsinnet installasjonsprogram: problemet ligger i hva som skjer i prosesser som ser ut til å være klarerte.

Fremveksten av denne tilnærmingen skjøt i været rundt 2017, da kampanjer begynte å kombinere filløse teknikker med klikktrojanere, avansert reklameprogrammer og verktøy for fjerntilgang (RAT-er)I dag har de blitt integrert i alle slags operasjoner: fra spionasje og APT-er til ransomware og kryptoutvinning.

Hvordan filløs skadevare fungerer på innsiden

For å forstå hvordan det fungerer, er det verdt å huske at de fleste vanlige applikasjoner distribueres som en fil som skrives til disk og deretter lastes inn i minnet når brukeren kjører den. Filløs skadevare, derimot, hopper over det første trinnet og materialiserer seg direkte i RAM ved hjelp av mekanismer i selve operativsystemet.

Mange kampanjer er avhengige av ideen om å «leve av landet» (lever av landet): angriperen misbruker legitime administrative fullmakter i stedet for å introdusere nye binærfiler. På Windows er PowerShell det viktigste eksemplet, men WMI, mshta, rundll32, VBScript- eller JScript-skript og andre klarerte binærfiler (LoLBins) utnyttes også.

Et typisk scenario ville være: en bruker åpner et Office-dokument med skadelig innhold eller klikker på en phishing-lenke; derfra en skript som starter PowerShell eller et annet verktøy for å laste ned, dekryptere eller injisere koden for neste fase i minnet. Alt dette kan skje uten å opprette en permanent fil på harddisken.

En annen vanlig vektor innebærer å utnytte sårbarheter for ekstern kjøring av kode, som bufferoverløp i nettlesere, programtillegg eller serverapplikasjoner. Ved å utnytte sårbarheten kan angriperen kjøre skallkode direkte i den sårbare prosessen og derfra laste inn resten av komponentene i minnet.

Noen varianter tyr til og med til Windows-registeret eller planlagte oppgaver å lagre skript eller kommandoer som reaktiverer angrepet når systemet starter eller en bruker logger seg inn. Selv om noe skrives til registeret, fortsetter den viktigste ondsinnede logikken å kjøre i minnet, noe som gjør det vanskelig å oppdage med verktøy som utelukkende fokuserer på filsystemet.

Infeksjonsmetoder og førstegangs tilgang

Inngangsdøren er vanligvis ganske klassisk: phishing-e-poster, ondsinnede lenker og forfalskede dokumenter De er fortsatt kongene av initial tilgang, selv om filløse teknikker brukes under. Trikset er at gjennom hele kjeden gjøres alt for å minimere ethvert diskavtrykk.

I mange tilfeller blir de brukt Microsoft Office-dokumenter med makroer Når de aktiveres, kaller disse makroene PowerShell eller WMI for å laste ned og utføre neste trinn i angrepet i minnet. Selv uten makroer utnytter angripere sårbarheter i Word, Excel, PDF -lesere eller selve skriptmotoren for å oppnå kodekjøring.

En annen tilnærming innebærer direkte utnyttelse av tilsynelatende ufarlige kjørbare filer som brukeren mottar via e-post eller nedlasting fra nettet. Denne kjørbare filen kan pakke ut en skadelig modul og laste den inn i minnet ved hjelp av teknikker som refleksjon i .NET, uten å faktisk lagre den på disk som en separat fil.

Det finnes også kampanjer som retter seg mot webservere eller applikasjoner som er eksponert for Internett, der sårbarheten brukes til å distribuere webshells med filløse komponenterEt nylig eksempel er bruken av Godzilla og lignende verktøy, der ondsinnet kode beveger seg innenfor HTTP-forespørsler og injiseres direkte i minnet på den kompromitterte serveren.

Til slutt tyr angripere ofte til stjålne legitimasjonsopplysningerHvis de får tak i brukernavnet og passordet til en administrator eller en privilegert konto, kan de logge på via RDP eller andre kanaler og manuelt starte PowerShell-skript, WMI-kommandoer eller administrative verktøy som laster inn skadelig programvare i minnet uten å legge igjen nye kjørbare filer på systemet.

Spesifikke teknikker brukt av filløs skadelig programvare

En av nøklene til disse angrepene er gjenbruk av innfødte Windows-verktøy som et verktøy for skriptene sine. Dette fører til at ondsinnet aktivitet blander seg inn i vanlige administrative oppgaver, noe som kompliserer analyse og respons.

Blant de vanligste teknikkene finner vi bruken av PowerShell som en innebygd kodestarter direkte fra kommandolinjen. For eksempel sendes et obfuskert skript som en parameter, utførelsespolicyen deaktiveres, vinduet skjules, og en nyttelast lastes ned direkte til minnet, alt uten å la en .ps1-fil eller noen mistenkelig kjørbar fil være synlig.

En annen veldig populær taktikk er å lagre ondsinnede skript i Windows Management Instrumentation (WMI)-abonnementerMed jevne mellomrom utløser WMI skriptet, som kan kjøre kode fra minnet, koble til kommando- og kontrollservere eller starte nye stadier av infeksjonen.

På samme måte bruker mange grupper Windows-registeret og oppgaveplanleggeren som et tilfluktssted for skriptene og kommandoene sine. I stedet for å plassere en kjørbar fil i oppstartsmappen, definerer de oppstartsnøkler eller planlagte oppgaver som kjører PowerShell-, mshta- eller rundll32-skript med innebygd eller dynamisk kode.

Teknikker sees også i refleksjon i .NETder en lett kjørbar fil inneholder krypterte eller komprimerte samlinger som lastes direkte inn i minnet ved hjelp av Reflection.Load, uten noen gang å bli skrevet som .dll-filer til disk. Dette tillater utplassering av svært sofistikerte trojanere i en enkelt, tilsynelatende normal prosess.

Hva kan et filløst angrep gjøre?

Til tross for navnet er ikke et filløst angrep begrenset i sin effekt. Faktisk kan det utføre de samme funksjonene som tradisjonell skadelig programvare: informasjonstyveri, datakryptering, sideveis bevegelse, spionasje, kryptovalutautvinning eller installasjon av permanente bakdører.

Mange filløse kampanjer oppfører seg som legitimasjonstyvDette innebærer å fange passord, økttokener eller autentiseringshasher fra minnet til sensitive prosesser. Dette gjør det enklere å eskalere rettigheter, kompromittere flere systemer og opprettholde langvarig tilgang uten å ty til ekstra binærfiler.

Andre fokuserer på filløs ransomwareder deler av krypterings- og kommunikasjonslogikken utføres direkte i minnet. Selv om en diskkomponent på et tidspunkt kan se ut til å manipulere et stort antall filer, gjøres den første lastingen og kontrollen av angrepet med filløse teknikker for å unngå tidlig oppdagelse.

Angripere kan også installere rootkits eller avanserte RAT-er Når disse verktøyene er etablert, bruker de filløse kanaler for å motta kommandoer, bevege seg over nettverket og oppdatere moduler. Fordi de er integrert i systemprosesser eller kritiske tjenester, er disse verktøyene spesielt vanskelige å utrydde.

På den økonomiske fronten viser virkningen seg i datatap, tjenesteavbrudd, bøter fra myndighetene og omdømmeskadeSiden disse inntrengingene ofte går uoppdaget i flere måneder, kan mengden av eksfiltrert informasjon og omfanget av innbruddet være enormt.

Faser av et filløst skadelig angrep

Selv om de tekniske aspektene er forskjellige, er livssyklusen til et filløst angrep ganske lik den for ethvert avansert inntrengingsangrep. Hvilke endringer er mekanismer som brukes i hver fase og måten de kamuflerer seg på.

I stadiet av første tilgangAngriperen trenger et første fotfeste: et klikk på en phishing-lenke, åpning av et dokument som inneholder makroer, utnyttelse av en sårbar server eller gjenbruk av kompromitterte legitimasjonsopplysninger. Derfra er målet å kjøre kode i målsystemet.

Når dette trinnet er nådd, begynner neste fase utførelse i minnetDet er her PowerShell, WMI, mshta, rundll32, VBScript, JScript eller andre tolker kommer inn i bildet for å laste inn og aktivere nyttelasten uten å generere permanente kjørbare filer på disken. Koden blir vanligvis obfuskert eller kryptert og dekryptert bare i RAM.

Så begynner jakten utholdenhetSelv om mange filløse nyttelaster forsvinner når datamaskinen startes på nytt, kombinerer sofistikerte angripere RAM-residente skript med registernøkler, planlagte oppgaver eller WMI-abonnementer som starter koden på nytt hver gang en bestemt betingelse er oppfylt, for eksempel systemoppstart eller brukerpålogging.

Til slutt, den endelige mål Angriperens handlinger inkluderer: datatyveri og eksfiltrering, informasjonskryptering, utplassering av mer skadelig programvare, kontinuerlig spionasje og sabotasje av kritiske systemer. Alt dette gjøres samtidig som man prøver å opprettholde lavest mulig profil for å unngå tidlige varsler og rettsmedisinske analyser.

Hvorfor er det så vanskelig å oppdage?

Det store problemet med filløs skadevare er at Det bryter den klassiske forsvarsmodellen basert på filer og signaturerHvis det ikke finnes noen mistenkelig kjørbar fil å analysere, forblir mange antivirusmotorer blinde for hva som skjer i minnet og legitime prosesser.

Fraværet av filer på disken antyder at Det finnes ingen objekter å skanne med jevne mellomrom på jakt etter kjente mønstre. Ved å utnytte binærfiler signert av selve operativsystemet, for eksempel PowerShell.exe, wscript.exe eller rundll32.exe, skjules skadelig aktivitet bak navn som administratoren vanligvis stoler på.

I tillegg har mange arvede produkter en Begrenset innsyn i kjørende prosesserDe fokuserer på filsystemet og nettverkstrafikken, men inspiserer knapt interne API-kall, kommandolinjeparametere, skriptoppførsel eller registerhendelser som kan avsløre et filløst angrep.

Angriperne, som er klar over disse begrensningene, tyr til teknikker for obfuskering, kryptering og kodefragmenteringFor eksempel deler de et ondsinnet skript inn i flere fragmenter som settes sammen i sanntid, eller de skjuler instruksjoner i bilder, innebygde ressurser eller tilsynelatende uskyldige strenger.

I miljøer der systemer sjelden startes på nytt (kritiske servere, produksjonsterminaler osv.), kan minneresident skadelig programvare forbli aktive i uker eller måneder uten å bli oppdaget, spesielt hvis du beveger deg forsiktig og minimerer trafikkmengden eller iøynefallende handlinger.

Begrensninger ved tradisjonelt forsvar

Den første responsen fra mange leverandører på denne trusselen har vært å prøve begrense eller direkte blokkere verktøy som PowerShell eller Office-makroerSelv om det kan redusere noen vektorer, er det ikke en realistisk eller komplett løsning i de fleste organisasjoner.

PowerShell har blitt en nøkkelkomponent for Windows-systemadministrasjonAutomatisering av oppgaver, programvaredistribusjon og serveradministrasjon. Å blokkere dette fullstendig ville lamme IT-arbeidsflyter og tvinge frem en rekke interne prosesser som måtte gjøres på nytt.

Dessuten, fra angriperens synspunkt, finnes det flere måter å omgå en enkel blokkeringspolicyDet finnes teknikker for å laste inn PowerShell-motoren fra biblioteker (dll) ved hjelp av rundll32, konvertere skript til kjørbare filer med verktøy som PS2EXE, bruke modifiserte kopier av PowerShell.exe, eller til og med legge inn PowerShell-skript i PNG-bilder og kjøre dem med obfuskerte kommandolinjer.

Noe lignende skjer med Office-makroer: Mange selskaper er avhengige av dem for å automatisere rapporter, beregninger og forretningsprosesser. Deaktivering av dem globalt kan ødelegge interne applikasjoner, mens det å utelukkende stole på statisk analyse av VBA-kode ofte resulterer i en vanskelig å håndtere falske positive og falske negative rate.

I tillegg er noen tilnærminger basert på skybasert deteksjon-som-en-tjeneste De krever konstant tilkobling og opererer noen ganger med for mye forsinkelse til å forhindre den første utføringen av skadelig programvare. Hvis blokkeringsbeslutningen tas sekunder eller minutter senere, kan skaden allerede være skjedd.

Fokus skifter: fra filer til oppførsel

Siden filen ikke lenger er hovedelementet, fokuserer moderne forsvarsløsninger på overvåke prosessenes oppførsel i stedet for bare å inspisere innholdet i filene. Tanken er at selv om det finnes tusenvis av varianter av skadelig programvare, er mønstrene av ondsinnet aktivitet mye mindre varierte.

Denne tilnærmingen er avhengig av motorer fra atferdsanalyse og maskinlæring som kontinuerlig overvåker hva hver prosess gjør: hvilke kommandoer den starter, hvilke systemressurser den berører, hvordan den kommuniserer med omverdenen og hvilke endringer den prøver å introdusere i miljøet.

For eksempel kan en Office-prosess flagges som mistenkelig hvis utfører en obfuskert PowerShell-kommando med parametere for å deaktivere sikkerhetspolicyer og laste ned kode fra et mistenkelig domene. Eller en prosess som, uten noen åpenbar grunn, plutselig får tilgang til hundrevis av sensitive filer eller endrer kritiske registernøkler.

Den nyeste generasjonen av EDR-systemer og XDR-plattformer samler detaljert telemetri av endepunkter, servere og nettverkog er i stand til å rekonstruere komplette historier (noen ganger kalt StoryLines) om hvordan en hendelse oppsto, hvilke prosesser som var involvert, og hvilke endringer den berørte maskinen gjennomgikk.

En god atferdsmotor oppdager ikke bare trusselen, men kan redusere eller automatisk reversere ondsinnede handlingerAvslutt involverte prosesser, isoler datamaskinen, gjenopprett krypterte filer, angre endringer i registeret og kutt av kommunikasjon til kommando- og kontrolldomener.

Teknologier og kilder til viktige hendelser i Windows

For å analysere filløse trusler i Windows er det spesielt nyttig å dra nytte av innebygde telemetrimekanismer for operativsystemer, som allerede finnes og tilbyr mye informasjon om hva som skjer bak kulissene.

På den ene siden er Hendelsessporing for Windows (ETW)ETW er et rammeverk som tillater registrering av svært detaljerte hendelser knyttet til prosessutførelse, API-kall, minnetilgang og andre interne systemaspekter. Mange EDR-løsninger er avhengige av ETW for å oppdage atypisk oppførsel i sanntid.

En annen nøkkelbrikke er Antimalware Scan Interface (AMSI)AMSI er et API utviklet av Microsoft for å la sikkerhetsmotorer inspisere skript og dynamisk innhold rett før de kjører, selv om de er obfuskert. AMSI er spesielt nyttig med PowerShell, VBScript, JScript og andre skriptspråk.

I tillegg analyseres moderne motorer med jevne mellomrom. sensitive områder som registeret, oppgaveplanleggeren, WMI-abonnementer eller skriptkjøringspolicyerMistenkelige endringer i disse områdene er ofte et tegn på at et filløst angrep har etablert vedvarende virkning.

Alt dette kompletteres av heuristikker som ikke bare tar hensyn til den nåværende prosessen, men også utførelseskontekst: hvor den overordnede prosessen kommer fra, hvilken nettverksaktivitet som har blitt observert før og etter, om det har vært merkelige feil, anomale blokkeringer eller andre signaler som, summert, tipper vektskålen mot mistanke.

Praktiske strategier for deteksjon og forebygging

I praksis innebærer det å beskytte seg mot disse truslene å kombinere teknologi, prosesser og opplæringDet er ikke nok å installere et antivirusprogram og glemme det; en lagdelt strategi tilpasset den virkelige oppførselen til filløs skadelig programvare er nødvendig.

På et teknisk nivå er det viktig å distribuere EDR- eller XDR-løsninger med funksjoner for atferdsanalyse og oversikt på prosessnivå. Disse verktøyene må kunne registrere og korrelere aktivitet i sanntid, blokkere unormal atferd og gi tydelig rettsmedisinsk informasjon til sikkerhetsteamet.

Det er også praktisk Begrense bruken av PowerShell, WMI og andre tolker til det som er strengt nødvendig, ved å bruke tilgangskontrolllister, skriptsignering (kodesignering) og utførelsespolicyer som begrenser hvilken kode som kan kjøres og med hvilke rettigheter.

På brukersiden er opplæring fortsatt avgjørende: det er nødvendig å forsterke bevissthet om phishing, mistenkelige lenker og uventede dokumenterDette er spesielt viktig blant personell med tilgang til sensitiv informasjon eller rettigheter på høyt nivå. Å redusere antallet uforsiktige klikk reduserer angrepsflaten betydelig.

Til slutt kan man ikke ignorere oppdateringssyklus for programvare og programvareMange filløse kjeder starter med å utnytte kjente sårbarheter som det allerede finnes oppdateringer for. Å holde nettlesere, programtillegg, bedriftsapplikasjoner og operativsystemer oppdaterte lukker verdifulle dører for angripere.

Administrerte tjenester og trusseljakt

I mellomstore og store organisasjoner, hvor volumet av arrangementer er enormt, er det vanskelig for det interne teamet å se alt. Det er derfor de vokser i popularitet. overvåkings- og administrerte responstjenester (MDR/EMDR) og eksterne sikkerhetsoperasjonssentre (SOC-er).

Disse tjenestene kombinerer avansert teknologi med Analytikerteam som overvåker døgnet rundt klientmiljøene sine, og korrelerer svake signaler som ellers ville gått ubemerket hen. Ideen er å oppdage atferd som er typisk for filløs skadelig programvare før det oppstår skade.

Mange SOC-er er avhengige av rammeverk som MITER ATT & CK å katalogisere motstandernes taktikker, teknikker og prosedyrer (TTP-er) og bygge spesifikke regler rettet mot utførelse i minnet, misbruk av LoLBins, ondsinnet WMI eller snikende datautfiltreringsmønstre.

I tillegg til kontinuerlig overvåking inkluderer disse tjenestene vanligvis rettsmedisinske analyser, hendelsesrespons og rådgivning for å forbedre sikkerhetsarkitekturen, tette tilbakevendende hull og styrke kontrollene på endepunkter og servere.

For mange selskaper er outsourcing av deler av denne funksjonen den mest levedyktige måten å holde tritt med slike komplekse trusler på, siden ikke alle har råd til et internt team som spesialiserer seg på å jakte på avansert skadelig programvare.

Realiteten er at filløs skadelig programvare for alltid har endret måten vi forstår endepunktsikkerhet på: Filer er ikke lenger den eneste nøkkelindikatorenOg bare en kombinasjon av dyp innsyn, atferdsanalyse, god ledelsespraksis og en utvidet cybersikkerhetskultur kan holde det i sjakk i det daglige.