- Szkodliwe oprogramowanie bezplikowe działa w pamięci i wykorzystuje legalne narzędzia, takie jak PowerShell czy WMI.
- Potrafi kraść dane, szyfrować pliki lub szpiegować komputery, nie pozostawiając widocznego śladu na dysku.
- Skuteczne wykrywanie wymaga monitorowania zachowań i procesów, a nie tylko plików.
- Obrona wymaga EDR, segmentacji, stosowania poprawek oraz ograniczenia korzystania ze skryptów i makr.
W ostatnich latach złośliwe oprogramowanie bezplikowe Złośliwe oprogramowanie bezplikowe stało się jednym z najpoważniejszych problemów dla zespołów IT i bezpieczeństwa. Nie mówimy tu o typowym wirusie, który pobiera się w załączniku i można usunąć za pomocą skanowania antywirusowego, ale o czymś znacznie bardziej dyskretnym, ukrywającym się w procesach systemowych.
Ten rodzaj zagrożenia wykorzystuje legalne narzędzia systemu operacyjnegoZwłaszcza w systemie Windows, może wykonywać złośliwy kod bezpośrednio w pamięci RAM. Ponieważ nie pozostawia praktycznie żadnych śladów na dysku, potrafi ominąć wiele tradycyjnych programów antywirusowych i pozostać aktywny wystarczająco długo, aby wykraść informacje, zaszyfrować pliki lub zainstalować tylne furtki bez wykrycia.
Czym właściwie jest złośliwe oprogramowanie bezplikowe?
Kiedy mówimy o złośliwym oprogramowaniu bezplikowym, mamy na myśli złośliwy kod, który nie jest zależny od klasycznego pliku wykonywalnego na dysku Aby działać. Zamiast instalować się jak każdy inny program, opiera się na komponentach już obecnych w systemie (skryptach, usługach, interpreterach poleceń itp.), które ładują i wykonują jego instrukcje bezpośrednio w pamięci.
Z technicznego punktu widzenia to złośliwe oprogramowanie zwykle do wstrzyknięcia do procesów, które już działają Można je również uruchomić za pomocą poleceń ładujących wszystko do pamięci RAM. Oznacza to, że po wyłączeniu lub ponownym uruchomieniu komputera wiele wariantów znika, ale w międzyczasie mają mnóstwo czasu, aby wyrządzić poważne szkody.
W porównaniu do złośliwego oprogramowania opartego na plikach zagrożenia te są lżejsze, bardziej dyskretne i znacznie trudniejsze do śledzeniaNa dysku nie znajdziesz podejrzanego pliku .exe ani też złośliwego instalatora: problem leży w tym, co dzieje się w procesach, które wydają się zaufane.
Popularność tego podejścia gwałtownie wzrosła około 2017 r., kiedy kampanie zaczęły łączyć techniki bezplikowe z trojany klikerowe, zaawansowane oprogramowanie reklamowe i narzędzia do zdalnego dostępu (RAT)Dziś są one wykorzystywane we wszelkiego rodzaju operacjach: od szpiegostwa i zaawansowanych ataków APT po ransomware i wydobywanie kryptowalut.
Jak działa złośliwe oprogramowanie bezplikowe od środka
Aby zrozumieć, jak to działa, warto pamiętać, że większość normalnych aplikacji jest dystrybuowana jako plik zapisywany na dysku, a następnie ładowany do pamięci Z kolei złośliwe oprogramowanie bezplikowe pomija pierwszy krok i materializuje się bezpośrednio w pamięci RAM, wykorzystując mechanizmy samego systemu operacyjnego.
Wiele kampanii opiera się na idei „życia z ziemi” (życie z ziemi): atakujący nadużywa legalnych uprawnień administracyjnych Zamiast wprowadzania nowych plików binarnych. W systemie Windows głównym przykładem jest PowerShell, ale wykorzystywane są również WMI, mshta, rundll32, skrypty VBScript lub JScript oraz inne zaufane pliki binarne (LoLBins).
Typowy scenariusz wyglądałby następująco: użytkownik otwiera dokument pakietu Office zawierający szkodliwą treść lub klika link phishingowy; skrypt wywołujący program PowerShell lub innego narzędzia do pobrania, odszyfrowania lub wstrzyknięcia kodu kolejnej fazy do pamięci. Wszystko to może się odbyć bez tworzenia trwałego pliku na dysku twardym.
Innym powszechnym wektorem jest wykorzystywanie przewagi luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu, takich jak przepełnienia bufora w przeglądarkach, wtyczkach lub aplikacjach serwerowych. Wykorzystując tę lukę, atakujący może bezpośrednio wykonać kod powłoki w podatnym procesie i stamtąd załadować pozostałe komponenty do pamięci.
Niektóre warianty uciekają się nawet do Rejestr systemu Windows lub zadania zaplanowane do przechowywania skryptów lub poleceń, które reaktywują atak po uruchomieniu systemu lub zalogowaniu się użytkownika. Nawet jeśli coś zostanie zapisane w Rejestrze, główna złośliwa logika nadal działa w pamięci, co utrudnia jej wykrycie za pomocą narzędzi skupiających się wyłącznie na systemie plików.
Metody infekcji i początkowy dostęp
Drzwi wejściowe są zazwyczaj dość klasyczne: wiadomości e-mail typu phishing, złośliwe linki i sfałszowane dokumenty Pozostają królami początkowego dostępu, mimo że w tle stosowane są techniki bezplikowe. Sztuczka polega na tym, że w całym łańcuchu dokłada się wszelkich starań, aby zminimalizować ilość zajmowanego miejsca na dysku.
Są używane w wielu przypadkach Dokumenty pakietu Microsoft Office z makrami Po aktywacji te makra wywołują program PowerShell lub WMI, aby pobrać i wykonać kolejny etap ataku w pamięci. Nawet bez makr atakujący wykorzystują luki w zabezpieczeniach programów Word, Excel i… Czytniki PDF lub sam silnik skryptowy w celu wykonania kodu.
Innym podejściem jest bezpośrednie wykorzystanie pozornie nieszkodliwe pliki wykonywalne który użytkownik otrzymuje pocztą elektroniczną lub pobiera z internetu. Ten plik wykonywalny może wyodrębnić złośliwy moduł i załadować go do pamięci za pomocą technik takich jak refleksja w .NET, bez zapisywania go na dysku jako osobnego pliku.
Istnieją również kampanie skierowane przeciwko serwerom internetowym lub aplikacjom narażonym na działanie Internetu, w których luki w zabezpieczeniach są wykorzystywane do wdrażania powłoki internetowe z komponentami bezplikowymiOstatnim przykładem jest wykorzystanie Godzilli i podobnych narzędzi, w których złośliwy kod jest przesyłany w żądaniach HTTP i wstrzykiwany bezpośrednio do pamięci zainfekowanego serwera.
Wreszcie atakujący często uciekają się do skradzione dane uwierzytelniająceJeśli użytkownik uzyska nazwę użytkownika i hasło administratora lub konto uprzywilejowane, może zalogować się za pomocą protokołu RDP lub innych kanałów i ręcznie uruchomić skrypty programu PowerShell, polecenia WMI lub narzędzia administracyjne, które załadują złośliwe oprogramowanie do pamięci, nie pozostawiając w systemie żadnych nowych plików wykonywalnych.
Specyficzne techniki stosowane przez złośliwe oprogramowanie bezplikowe
Jednym z kluczy do tych ataków jest ponowne wykorzystanie natywne narzędzia systemu Windows jako nośnik dla ich skryptów. To powoduje, że złośliwa aktywność miesza się z normalnymi zadaniami administracyjnymi, komplikując analizę i reakcję.
Do najpopularniejszych technik zaliczamy wykorzystanie PowerShell jako wbudowany program uruchamiający kod Bezpośrednio z wiersza poleceń. Na przykład, zaciemniony skrypt jest przekazywany jako parametr, polityka wykonywania jest wyłączana, okno jest ukrywane, a ładunek jest pobierany bezpośrednio do pamięci – wszystko to bez pozostawiania widocznego pliku .ps1 ani żadnego podejrzanego pliku wykonywalnego.
Inną bardzo popularną taktyką jest przechowywanie złośliwych skryptów w Subskrypcje usługi Windows Management Instrumentation (WMI)Co jakiś czas WMI uruchamia skrypt, który może wykonać kod z pamięci, połączyć się z serwerami poleceń i kontroli lub uruchomić nowe etapy infekcji.
Podobnie wiele grup korzysta z Rejestr systemu Windows i Harmonogram zadań jako schronienie dla skryptów i poleceń. Zamiast umieszczać plik wykonywalny w folderze startowym, definiują klucze startowe lub zaplanowane zadania, które uruchamiają skrypty programu PowerShell, mshta lub rundll32 z osadzonym lub generowanym w locie kodem.
Techniki te można również zobaczyć w odbicie w .NETgdzie lekki plik wykonywalny zawiera zaszyfrowane lub skompresowane pakiety, które są ładowane bezpośrednio do pamięci za pomocą Reflection.Load, bez zapisywania ich na dysku jako pliki .dll. Pozwala to na wdrażanie bardzo zaawansowanych trojanów w ramach jednego, pozornie normalnego procesu.
Jakie skutki może mieć atak bezplikowy?
Pomimo swojej nazwy, atak bezplikowy nie ma ograniczeń co do swojego wpływu. W rzeczywistości może on te same funkcje co tradycyjne złośliwe oprogramowanie: kradzież informacji, szyfrowanie danych, ruch boczny, szpiegostwo, wydobywanie kryptowalut lub instalowanie stałych tylnych drzwi.
Wiele kampanii bez plików zachowuje się jak złodziej danych uwierzytelniającychPolega ona na przechwytywaniu haseł, tokenów sesji lub skrótów uwierzytelniających z pamięci wrażliwych procesów. Ułatwia to eskalację uprawnień, kompromitację większej liczby systemów i utrzymanie długotrwałego dostępu bez uciekania się do dodatkowych plików binarnych.
Inni skupiają się na ransomware bezplikowygdzie część logiki szyfrowania i komunikacji jest wykonywana bezpośrednio w pamięci. Chociaż w pewnym momencie może pojawić się komponent dyskowy, który manipuluje dużą liczbą plików, początkowe ładowanie i kontrola ataku odbywają się przy użyciu technik bezplikowych, aby uniknąć wczesnego wykrycia.
Atakujący mogą również zainstalować rootkity lub zaawansowane RAT-y Po uruchomieniu narzędzia te wykorzystują kanały bezplikowe do odbierania poleceń, poruszania się po sieci i aktualizowania modułów. Ponieważ są zintegrowane z procesami systemowymi lub usługami krytycznymi, ich wyeliminowanie jest szczególnie trudne.
Na froncie ekonomicznym wpływ ten przekłada się na utrata danych, przerwy w świadczeniu usług, kary regulacyjne i szkody wizerunkowePonieważ tego typu włamania często pozostają niewykryte przez wiele miesięcy, ilość ujawnionych informacji i skala naruszenia bezpieczeństwa mogą być ogromne.
Fazy ataku złośliwego oprogramowania bez plików
Chociaż aspekty techniczne są różne, cykl życia ataku bezplikowego jest dość podobny do cyklu życia każdego zaawansowanego włamania. Jakie zmiany mechanizmy stosowane w każdej fazie i sposób w jaki się kamuflują.
Na etapie wstępny dostępAtakujący potrzebuje punktu zaczepienia: kliknięcia linku phishingowego, otwarcia dokumentu zawierającego makra, wykorzystania podatnego serwera lub ponownego użycia zhakowanych danych uwierzytelniających. Od tego momentu celem jest wykonanie kodu w systemie docelowym.
Po osiągnięciu tego kroku rozpoczyna się kolejna faza wykonywanie w pamięciW tym miejscu do gry wchodzą PowerShell, WMI, mshta, rundll32, VBScript, JScript lub inne interpretery, które ładują i aktywują ładunek bez generowania trwałych plików wykonywalnych na dysku. Kod jest zazwyczaj zaciemniany lub szyfrowany, a odszyfrowywany tylko w pamięci RAM.
Potem zaczyna się pościg wytrwałośćChociaż wiele ładunków bezplikowych znika po ponownym uruchomieniu komputera, wyrafinowani napastnicy łączą skrypty znajdujące się w pamięci RAM z kluczami rejestru, zaplanowanymi zadaniami lub subskrypcjami WMI, które ponownie uruchamiają kod za każdym razem, gdy spełniony zostanie określony warunek, taki jak uruchomienie systemu lub zalogowanie użytkownika.
Na koniec, cele końcowe Działania atakującego obejmują: kradzież i eksfiltrację danych, szyfrowanie informacji, wdrażanie kolejnego złośliwego oprogramowania, ciągłe szpiegostwo i sabotaż systemów krytycznych. Wszystko to odbywa się przy jednoczesnym zachowaniu jak najniższego profilu, aby uniknąć wczesnych alertów i analiz kryminalistycznych.
Dlaczego tak trudno to wykryć?
Największym problemem złośliwego oprogramowania bezplikowego jest to, że Łamie klasyczny model obrony oparty na plikach i podpisachJeśli nie ma podejrzanego pliku wykonywalnego do analizy, wiele silników antywirusowych nie wie, co dzieje się w pamięci i legalnych procesach.
Brak plików na dysku oznacza, że Brak obiektów do okresowego skanowania w poszukiwaniu znanych wzorców. Co więcej, wykorzystując pliki binarne podpisane przez sam system operacyjny, takie jak PowerShell.exe, wscript.exe lub rundll32.exe, złośliwa aktywność jest maskowana pod nazwami, którym administrator zazwyczaj ufa.
Ponadto wiele dziedziczonych produktów ma Ograniczona widoczność działających procesówKoncentrują się na systemie plików i ruchu sieciowym, ale prawie nie sprawdzają wewnętrznych wywołań API, parametrów wiersza poleceń, zachowania skryptów ani zdarzeń rejestru, które mogłyby zdradzać atak bezplikowy.
Atakujący, świadomi tych ograniczeń, uciekają się do techniki zaciemniania, szyfrowania i fragmentacji koduNa przykład dzielą złośliwy skrypt na kilka fragmentów, które są następnie składane w czasie rzeczywistym, lub ukrywają instrukcje w obrazach, osadzonych zasobach lub pozornie niegroźnych ciągach znaków.
W środowiskach, w których systemy rzadko są ponownie uruchamiane (serwery krytyczne, terminale produkcyjne itp.), złośliwe oprogramowanie rezydujące w pamięci może pozostać aktywnym przez tygodnie lub miesiące bez wykrycia, zwłaszcza jeśli poruszasz się ostrożnie i minimalizujesz natężenie ruchu lub podejmowane przez siebie działania.
Ograniczenia tradycyjnych metod obronnych
Pierwszą reakcją wielu dostawców na to zagrożenie było podjęcie próby ograniczać lub bezpośrednio blokować narzędzia takie jak PowerShell lub makra pakietu OfficeMimo że może to ograniczyć niektóre wektory, nie jest to realistyczne ani kompletne rozwiązanie w większości organizacji.
PowerShell stał się kluczowy komponent do administrowania systemem WindowsAutomatyzacja zadań, wdrażanie oprogramowania i zarządzanie serwerami. Całkowite zablokowanie tych funkcji sparaliżowałoby przepływy pracy IT i wymusiłoby ponowne wykonanie wielu procesów wewnętrznych.
Co więcej, z punktu widzenia atakującego istnieje wiele sposobów, aby: obejście prostej polityki blokowaniaIstnieją techniki umożliwiające ładowanie silnika PowerShell z bibliotek (dll) za pomocą rundll32, konwertowanie skryptów na pliki wykonywalne za pomocą narzędzi takich jak PS2EXE, używanie zmodyfikowanych kopii PowerShell.exe, a nawet osadzanie skryptów PowerShell w obrazach PNG i uruchamianie ich przy użyciu zaciemnionych wierszy poleceń.
Coś podobnego dzieje się w przypadku makr pakietu Office: Wiele firm jest od nich zależnych do automatyzacji raportów, obliczeń i procesów biznesowych. Ich globalne wyłączenie może spowodować awarię aplikacji wewnętrznych, a poleganie wyłącznie na statycznej analizie kodu VBA często skutkuje trudnym do opanowania wskaźnikiem wyników fałszywie dodatnich i fałszywie ujemnych.
Ponadto niektóre podejścia oparte na wykrywanie w chmurze jako usługa Wymagają one stałej łączności i czasami działają ze zbyt dużym opóźnieniem, aby uniemożliwić uruchomienie złośliwego oprogramowania. Jeśli decyzja o zablokowaniu zostanie podjęta kilka sekund lub minut później, szkody mogą już zostać wyrządzone.
Zmiana punktu ciężkości: z plików na zachowanie
Ponieważ plik nie jest już elementem głównym, nowoczesne rozwiązania obronne skupiają się na monitorować zachowanie procesów Zamiast po prostu sprawdzać zawartość plików. Chodzi o to, że chociaż istnieją tysiące wariantów złośliwego oprogramowania, wzorce złośliwej aktywności są znacznie mniej zróżnicowane.
Podejście to opiera się na silnikach analiza behawioralna i uczenie maszynowe które nieustannie monitorują, co robi każdy proces: jakie polecenia uruchamia, jakich zasobów systemowych używa, w jaki sposób komunikuje się ze światem zewnętrznym i jakie zmiany próbuje wprowadzić do środowiska.
Na przykład proces pakietu Office może zostać oznaczony jako podejrzany, jeśli wykonuje zaciemnione polecenie programu PowerShell z parametrami wyłączającymi zasady bezpieczeństwa i pobierającymi kod z podejrzanej domeny. Albo proces, który bez wyraźnego powodu nagle uzyskuje dostęp do setek poufnych plików lub modyfikuje krytyczne klucze rejestru.
Najnowsza generacja systemów EDR i platform XDR gromadzi szczegółowa telemetria punktów końcowych, serwerów i siecii są w stanie odtworzyć kompletne historie (czasami zwane StoryLines) dotyczące tego, jak doszło do incydentu, jakie procesy były w to zaangażowane i jakie zmiany zaszły w danej maszynie.
Dobry silnik behawioralny nie tylko wykrywa zagrożenie, ale może również łagodzić lub automatycznie cofać złośliwe działania: zakończ procesy, odizoluj komputer, przywróć zaszyfrowane pliki, cofnij zmiany w rejestrze i odetnij komunikację z domenami poleceń i kontroli.
Technologie i źródła kluczowych zdarzeń w systemie Windows
Do analizy zagrożeń bezplikowych w systemie Windows szczególnie przydatne jest wykorzystanie natywne mechanizmy telemetrii systemu operacyjnego, które już istnieją i oferują wiele informacji o tym, co dzieje się za kulisami.
Z jednej strony jest Śledzenie zdarzeń dla systemu Windows (ETW)ETW to platforma umożliwiająca rejestrowanie bardzo szczegółowych zdarzeń związanych z wykonywaniem procesów, wywołaniami API, dostępem do pamięci i innymi wewnętrznymi aspektami systemu. Wiele rozwiązań EDR wykorzystuje ETW do wykrywania nietypowych zachowań w czasie rzeczywistym.
Kolejnym kluczowym elementem jest Interfejs skanowania antymalware (AMSI)AMSI to interfejs API opracowany przez firmę Microsoft, który umożliwia silnikom bezpieczeństwa inspekcję skryptów i dynamicznej zawartości tuż przed ich uruchomieniem, nawet jeśli są one zaciemnione. AMSI jest szczególnie przydatny w przypadku programów PowerShell, VBScript, JScript i innych języków skryptowych.
Ponadto nowoczesne silniki są poddawane okresowej analizie wrażliwe obszary, takie jak Rejestr, Harmonogram zadań, subskrypcje WMI lub zasady wykonywania skryptówPodejrzane zmiany w tych obszarach często świadczą o tym, że atak bez użycia plików jest już długotrwały.
Wszystko to uzupełniają heurystyki uwzględniające nie tylko bieżący proces, ale także kontekst wykonania:skąd pochodzi proces nadrzędny, jaką aktywność sieciową zaobserwowano przed i po, czy wystąpiły dziwne awarie, nietypowe blokady lub inne sygnały, które razem wzięte przemawiają za podejrzeniem.
Praktyczne strategie wykrywania i zapobiegania
W praktyce ochrona przed tymi zagrożeniami polega na łączeniu technologia, procesy i szkoleniaNie wystarczy zainstalować programu antywirusowego i o nim zapomnieć; potrzebna jest wielowarstwowa strategia dostosowana do rzeczywistego zachowania bezplikowego złośliwego oprogramowania.
Na poziomie technicznym istotne jest wdrożenie Rozwiązania EDR lub XDR z możliwościami analizy behawioralnej i widocznością na poziomie procesów. Narzędzia te muszą rejestrować i korelować aktywność w czasie rzeczywistym, blokować nietypowe zachowania i dostarczać zespołowi ds. bezpieczeństwa przejrzystych informacji kryminalistycznych.
Jest to również wygodne Ograniczanie korzystania z programu PowerShell, WMI i innych interpreterów do tego, co jest absolutnie konieczne, stosując listy kontroli dostępu, podpisywanie skryptów (podpisywanie kodu) i zasady wykonywania, które ograniczają, jaki kod może być uruchamiany i z jakimi uprawnieniami.
Po stronie użytkownika szkolenia pozostają kluczowe: konieczne jest wzmocnienie świadomość phishingu, podejrzanych linków i nieoczekiwanych dokumentówJest to szczególnie ważne wśród personelu z dostępem do poufnych informacji lub wysokimi uprawnieniami. Zmniejszenie liczby nieuważnych kliknięć znacząco zmniejsza powierzchnię ataku.
Na koniec nie można zaniedbać cykl aktualizacji łatek i oprogramowaniaWiele łańcuchów bezplikowych zaczyna od wykorzystywania znanych luk, dla których istnieją już poprawki. Aktualizowanie przeglądarek, wtyczek, aplikacji korporacyjnych i systemów operacyjnych zamyka cenne drzwi dla atakujących.
Usługi zarządzane i wykrywanie zagrożeń
W średnich i dużych organizacjach, gdzie liczba zdarzeń jest ogromna, wewnętrznemu zespołowi trudno jest wszystko ogarnąć. Dlatego zyskują na popularności. usługi monitorowania i zarządzania reakcją (MDR/EMDR) i zewnętrzne centra operacji bezpieczeństwa (SOC).
Usługi te łączą zaawansowaną technologię z zespoły analityków monitorujące 24/7 środowiska swoich klientów, korelując słabe sygnały, które w przeciwnym razie pozostałyby niezauważone. Chodzi o wykrycie zachowań typowych dla złośliwego oprogramowania bezplikowego, zanim dojdzie do uszkodzenia.
Wiele SOC opiera się na takich ramach jak MITER ATT & CK katalogowania taktyk, technik i procedur (TTP) przeciwników oraz tworzenia szczegółowych reguł ukierunkowanych na wykonywanie operacji w pamięci, nadużywanie LoLBins, złośliwe działanie WMI lub ukryte wzorce eksfiltracji danych.
Oprócz ciągłego monitorowania usługi te zazwyczaj obejmują: analiza kryminalistyczna, reagowanie na incydenty i doradztwo w celu udoskonalenia architektury bezpieczeństwa, wyeliminowania powtarzających się luk i wzmocnienia kontroli punktów końcowych i serwerów.
Dla wielu firm zlecenie części tej funkcji na zewnątrz jest najlepszym sposobem, aby sprostać tak złożonym zagrożeniom, ponieważ nie każdy może sobie pozwolić na zatrudnienie wewnętrznego zespołu specjalizującego się w wykrywaniu zaawansowanego złośliwego oprogramowania.
Prawda jest taka, że złośliwe oprogramowanie bezplikowe na zawsze zmieniło nasze podejście do bezpieczeństwa punktów końcowych: Pliki nie są już jedynym kluczowym wskaźnikiemTylko połączenie dogłębnej widoczności, analizy zachowań, dobrych praktyk zarządzania i rozbudowanej kultury cyberbezpieczeństwa może pomóc w codziennym radzeniu sobie z tym problemem.
