- Вредоносное ПО без файлов работает в оперативной памяти и использует в своих целях легитимные инструменты, такие как PowerShell или WMI.
- Оно может красть данные, шифровать файлы или шпионить за компьютерами, не оставляя видимых следов на диске.
- Для эффективного обнаружения необходимо отслеживать поведение и процессы, а не только файлы.
- Для защиты необходимы EDR (сканирование, обнаружение и восстановление данных), сегментация, установка патчей и сокращение использования скриптов и макросов.
В последние годы вредоносное ПО без файлов Вредоносные программы, не содержащие файлов, стали одной из самых серьезных проблем для ИТ-специалистов и служб безопасности. Речь идет не о типичном вирусе, который вы скачиваете в виде вложения и можете удалить с помощью антивирусного сканирования, а о чем-то гораздо более скрытном, что прячется внутри собственных процессов системы.
Этот тип угрозы использует в своих целях. легитимные инструменты операционной системыВ частности, в Windows он может выполнять вредоносный код непосредственно в оперативной памяти. Поскольку он практически не оставляет следов на диске, он может обходить многие традиционные антивирусные программы и оставаться активным достаточно долго, чтобы красть информацию, шифровать файлы или поддерживать бэкдоры, оставаясь незамеченным.
Что именно представляет собой вредоносное ПО без файлов?
Когда мы говорим о вредоносном ПО без файлов, мы имеем в виду именно его. Вредоносный код, не зависящий от классического исполняемого файла на диске. для функционирования. Вместо установки, как любая другая программа, она полагается на компоненты, уже присутствующие в системе (скрипты, службы, интерпретаторы команд и т. д.), для загрузки и выполнения своих инструкций непосредственно в памяти.
С технической точки зрения, это вредоносное ПО обычно внедрять в уже запущенные процессы Или же их можно запустить с помощью команд, которые загружают всё в оперативную память. Это означает, что после выключения или перезагрузки компьютера многие варианты исчезают, но за это время у них есть достаточно времени, чтобы нанести серьёзный ущерб.
По сравнению с вредоносным ПО, распространяемым через файлы, эти угрозы представляют собой легче, незаметнее и гораздо сложнее отследить.Вы не найдете на диске подозрительного файла .exe, и уж тем более вредоносного установщика: проблема заключается в том, что происходит внутри процессов, которые кажутся надежными.
Популярность этого подхода резко возросла примерно в 2017 году, когда в кампаниях начали сочетать бесфайловые методы с Трояны-кликеры, продвинутое рекламное ПО и инструменты удаленного доступа (RAT)Сегодня они интегрированы во всевозможные операции: от шпионажа и APT-атак до программ-вымогателей и криптомайнинга.
Как работает вредоносное ПО без файлов изнутри
Чтобы понять, как это работает, стоит помнить, что большинство обычных приложений распространяются как... файл, который записывается на диск, а затем загружается в память. Когда пользователь запускает его. Бесфайловое вредоносное ПО, с другой стороны, пропускает первый шаг и материализуется непосредственно в оперативной памяти, используя механизмы самой операционной системы.
Многие кампании опираются на идею «жизни за счет даров земли» (жить за счет земли): нападающий злоупотребляет законными административными полномочиями Вместо того чтобы внедрять новые бинарные файлы. В Windows лучшим примером является PowerShell, но также используются уязвимости в WMI, mshta, rundll32, скриптах VBScript или JScript, а также в других доверенных бинарных файлах (LoLBins).
Типичный сценарий выглядит следующим образом: пользователь открывает документ Office со вредоносным содержимым или переходит по фишинговой ссылке; после этого происходит следующее... скрипт, который запускает PowerShell или другой инструмент для загрузки, расшифровки или внедрения кода для следующего этапа в память. Все это может происходить без создания постоянного файла на жестком диске.
Ещё один распространённый способ — это извлечение выгоды. уязвимости удаленного выполнения коданапример, переполнение буфера в браузерах, плагинах или серверных приложениях. Используя эту уязвимость, злоумышленник может напрямую выполнить шеллкод внутри уязвимого процесса и оттуда загрузить остальные компоненты в память.
Некоторые варианты даже прибегают к Реестр Windows или запланированные задачи Для хранения скриптов или команд, которые активируют атаку при запуске системы или входе пользователя в систему. Даже если что-то записано в реестр, основная вредоносная логика продолжает работать в памяти, что затрудняет обнаружение с помощью инструментов, ориентированных исключительно на файловую систему.
Методы заражения и первоначальный доступ
Входная дверь обычно имеет довольно классический вид: фишинговые электронные письма, вредоносные ссылки и поддельные документы Они остаются лидерами по первоначальному доступу, несмотря на использование бесфайловых технологий. Секрет в том, что на протяжении всей цепочки прилагаются все усилия для минимизации занимаемого дисковым пространством объема.
Во многих случаях они используются. Документы Microsoft Office с макросами При активации эти макросы вызывают PowerShell или WMI для загрузки и выполнения следующего этапа атаки в памяти. Даже без макросов злоумышленники используют уязвимости в Word, Excel и других программах. Читатели PDF или с помощью самого механизма написания скриптов для выполнения кода.
Другой подход предполагает прямое использование казалось бы безобидные исполняемые файлы Этот исполняемый файл получает пользователь по электронной почте или загружает его из интернета. Он может извлечь вредоносный модуль и загрузить его в память, используя такие методы, как рефлексия в .NET, без фактического сохранения его на диск в виде отдельного файла.
Также проводятся кампании, направленные на веб-серверы или приложения, доступные через Интернет, где уязвимость используется для развертывания веб-оболочки с бесфайловыми компонентамиНедавний пример — использование Godzilla и подобных инструментов, в которых вредоносный код распространяется в HTTP-запросах и внедряется непосредственно в память скомпрометированного сервера.
Наконец, злоумышленники часто прибегают к украденные учетные данныеПолучив имя пользователя и пароль администратора или привилегированной учетной записи, они могут войти в систему через RDP или другие каналы и вручную запустить сценарии PowerShell, команды WMI или административные инструменты, которые загружают вредоносное ПО в память, не оставляя при этом никаких новых исполняемых файлов в системе.
Специфические методы, используемые вредоносным ПО без файлов.
Один из ключевых элементов этих атак — повторное использование встроенные инструменты Windows в качестве средства распространения своих скриптов. Это приводит к тому, что вредоносная деятельность сливается с обычными административными задачами, что усложняет анализ и реагирование.
Среди наиболее распространенных методов можно выделить использование PowerShell как средство запуска встроенного кода непосредственно из командной строки. Например, в качестве параметра передается обфусцированный скрипт, политика выполнения отключается, окно скрывается, и полезная нагрузка загружается непосредственно в память, при этом не остается видимым файл .ps1 или какой-либо подозрительный исполняемый файл.
Ещё одна очень распространённая тактика — хранение вредоносных скриптов в... Подписки на Windows Management Instrumentation (WMI)Время от времени WMI запускает скрипт, который может выполнять код из памяти, подключаться к серверам управления и контроля или запускать новые этапы заражения.
Аналогичным образом, многие группы используют Реестр Windows и планировщик задач в качестве убежища для своих скриптов и команд. Вместо того чтобы размещать исполняемый файл в папке автозагрузки, они определяют ключи автозагрузки или запланированные задачи, которые запускают скрипты PowerShell, mshta или rundll32 со встроенным или выполняемым на лету кодом.
Эти методы также встречаются в рефлексия в .NETгде легковесный исполняемый файл содержит зашифрованные или сжатые сборки, которые загружаются непосредственно в память с помощью Reflection.Load, не записываясь на диск в виде файлов .dll. Это позволяет развертывать очень сложные трояны в рамках одного, казалось бы, обычного процесса.
Что может сделать атака без использования файлов?
Несмотря на своё название, атака без использования файлов не ограничивается в своём воздействии. На самом деле, она может выполнять те же функции, что и у традиционного вредоносного ПО.кража информации, шифрование данных, горизонтальное перемещение, шпионаж, майнинг криптовалют или установка постоянных бэкдоров.
Многие кампании без файлов ведут себя следующим образом: похититель учетных данныхЭто включает в себя перехват паролей, токенов сеансов или хешей аутентификации из памяти конфиденциальных процессов. Это упрощает повышение привилегий, компрометацию большего количества систем и поддержание длительного доступа без использования дополнительных исполняемых файлов.
Другие сосредотачиваются на бесфайловый вымогательгде часть логики шифрования и связи выполняется непосредственно в памяти. Хотя на каком-то этапе может появиться дисковый компонент для обработки большого количества файлов, первоначальная загрузка и управление атакой осуществляются с помощью бесфайловых методов, чтобы избежать раннего обнаружения.
Злоумышленники также могут установить руткиты или продвинутые RAT-программы После установки эти инструменты используют каналы без файлов для приема команд, перемещения по сети и обновления модулей. Поскольку они интегрированы в системные процессы или критически важные службы, эти инструменты особенно трудно удалить.
В экономическом плане это приводит к следующим последствиям: потеря данных, перебои в работе сервисов, штрафы со стороны регулирующих органов и ущерб репутации.Поскольку подобные вторжения часто остаются незамеченными в течение нескольких месяцев, объем похищенной информации и масштабы утечки могут быть огромными.
Этапы атаки вредоносного ПО без использования файлов
Хотя технические аспекты различаются, жизненный цикл атаки без использования файлов весьма схож с жизненным циклом любого сложного вторжения. Какие именно изменения происходят? механизмы, используемые на каждом этапе и то, как они маскируются.
В стадии первоначальный доступЗлоумышленнику необходима первоначальная точка опоры: клик по фишинговой ссылке, открытие документа, содержащего макросы, использование уязвимости сервера или повторное использование скомпрометированных учетных данных. После этого цель состоит в выполнении кода в целевой системе.
После достижения этого этапа начинается следующая фаза. выполнение в памятиЗдесь в дело вступают PowerShell, WMI, mshta, rundll32, VBScript, JScript или другие интерпретаторы, которые загружают и активируют полезную нагрузку без создания постоянных исполняемых файлов на диске. Код обычно обфусцируется или шифруется и расшифровывается только в оперативной памяти.
Затем начинается погоня. настойчивостьХотя многие вредоносные программы, не содержащие файлов, исчезают после перезагрузки компьютера, опытные злоумышленники комбинируют скрипты, находящиеся в оперативной памяти, с ключами реестра, запланированными задачами или подписками WMI, которые перезапускают код каждый раз при выполнении определенного условия, например, при запуске системы или входе пользователя в систему.
Наконец, конечные цели Действия злоумышленника включают в себя: кражу и утечку данных, шифрование информации, развертывание новых вредоносных программ, непрерывный шпионаж и саботаж критически важных систем. Все это делается с целью сохранения минимальной заметности во избежание ранних предупреждений и криминалистического анализа.
Почему это так сложно обнаружить?
Главная проблема вредоносных программ, не содержащих файлов, заключается в том, что Это разрушает классическую модель защиты, основанную на файлах и сигнатурах.Если нет подозрительного исполняемого файла для анализа, многие антивирусные программы остаются невосприимчивыми к тому, что происходит в памяти и в легитимных процессах.
Отсутствие файлов на диске означает, что Нет объектов, которые нужно периодически сканировать. в поисках известных закономерностей. Кроме того, используя бинарные файлы, подписанные самой операционной системой, такие как PowerShell.exe, wscript.exe или rundll32.exe, вредоносная деятельность маскируется под имена, которым администратор обычно доверяет.
Кроме того, многие унаследованные продукты имеют Ограниченная прозрачность в отношении запущенных процессов.Они сосредотачиваются на файловой системе и сетевом трафике, но практически не изучают внутренние вызовы API, параметры командной строки, поведение скриптов или события реестра, которые могли бы выдать атаку без использования файлов.
Зная об этих ограничениях, нападающие прибегают к... методы обфускации, шифрования и фрагментации кодаНапример, они разбивают вредоносный скрипт на несколько фрагментов, которые собираются в режиме реального времени, или скрывают инструкции в изображениях, встроенных ресурсах или, казалось бы, безобидных строках.
В средах, где системы редко перезапускаются (критические серверы, производственные терминалы и т. д.), вредоносное ПО, резидентное в оперативной памяти, может оставаться активными в течение недель или месяцев незаметно, особенно если двигаться осторожно и минимизировать интенсивность движения или демонстративные действия.
Ограничения традиционных методов защиты
Первоначальная реакция многих поставщиков услуг на эту угрозу заключалась в попытке Ограничить или напрямую заблокировать такие инструменты, как PowerShell или макросы Office.Хотя это может уменьшить некоторые векторы распространения, в большинстве организаций это не является реалистичным или полным решением.
PowerShell стал ключевой компонент для администрирования системы WindowsАвтоматизация задач, развертывание программного обеспечения и управление серверами. Полная блокировка парализует рабочие процессы ИТ-отдела и вынудит переделывать множество внутренних процессов.
Кроме того, с точки зрения злоумышленника, существует множество способов... обход простой политики блокировкиСуществуют методы загрузки движка PowerShell из библиотек (dll) с помощью rundll32, преобразования скриптов в исполняемые файлы с помощью таких инструментов, как PS2EXE, использования модифицированных копий PowerShell.exe или даже встраивания скриптов PowerShell в изображения PNG и их запуска с обфусцированными командными строками.
Аналогичная ситуация наблюдается и с макросами Office: Многие компании зависят от них. для автоматизации отчетов, вычислений и бизнес-процессов. Глобальное отключение этих функций может привести к сбоям во внутренних приложениях, а полагаться исключительно на статический анализ кода VBA часто приводит к трудноуправляемому уровню ложноположительных и ложноотрицательных результатов.
Кроме того, существуют некоторые подходы, основанные на облачная услуга обнаружения Они требуют постоянного подключения к сети и иногда работают со слишком большой задержкой, чтобы предотвратить первоначальное выполнение вредоносного ПО. Если решение о блокировке принимается через несколько секунд или минут, ущерб может быть уже нанесен.
Смещение акцента: от файлов к поведению.
Поскольку файл перестал быть основным элементом, современные решения в области обороны сосредоточены на отслеживать поведение процессов Вместо того чтобы просто проверять содержимое файлов. Идея заключается в том, что, хотя существуют тысячи вариантов вредоносного ПО, модели вредоносной активности гораздо менее разнообразны.
Этот подход основан на использовании движков поведенческий анализ и машинное обучение которые постоянно отслеживают действия каждого процесса: какие команды он запускает, к каким системным ресурсам обращается, как взаимодействует с внешним миром и какие изменения пытается внести в окружающую среду.
Например, процесс Office может быть помечен как подозрительный, если выполняет обфусцированную команду PowerShell с параметрами, позволяющими отключать политики безопасности и загружать код с подозрительного домена. Или процесс, который без видимой причины внезапно получает доступ к сотням конфиденциальных файлов или изменяет важные ключи реестра.
Системы EDR последнего поколения и платформы XDR собирают Подробная телеметрия конечных точек, серверов и сети.и способны восстанавливать полные истории (иногда называемые сюжетными линиями) о том, как возник инцидент, какие процессы были задействованы и какие изменения претерпела затронутая машина.
Хороший поведенческий алгоритм не только обнаруживает угрозу, но и может смягчить или автоматически отменить вредоносные действия: завершить задействованные процессы, изолировать компьютер, восстановить зашифрованные файлы, отменить изменения в реестре и разорвать связь с доменами управления и контроля.
Технологии и источники ключевых событий в Windows
Для анализа угроз, не связанных с файлами, в Windows особенно полезно использовать следующие инструменты: встроенные механизмы телеметрии операционной системыкоторые уже существуют и предоставляют много информации о том, что происходит за кулисами.
С одной стороны Трассировка событий для Windows (ETW)ETW — это фреймворк, позволяющий записывать очень подробные события, связанные с выполнением процессов, вызовами API, доступом к памяти и другими внутренними аспектами системы. Многие решения EDR используют ETW для обнаружения нетипичного поведения в режиме реального времени.
Еще одна ключевая часть — это Интерфейс сканирования на вредоносное ПО (AMSI)AMSI — это API, разработанный Microsoft, позволяющий механизмам безопасности проверять скрипты и динамический контент непосредственно перед их запуском, даже если они обфусцированы. AMSI особенно полезен для PowerShell, VBScript, JScript и других языков сценариев.
Кроме того, современные двигатели периодически проходят анализ. конфиденциальные области, такие как реестр, планировщик задач, подписки WMI или политики выполнения скриптов.Подозрительные изменения в этих областях часто являются признаком того, что бесфайловая атака закрепилась в системе.
Всё это дополняется эвристическими методами, учитывающими не только текущий процесс, но и... контекст выполнения: откуда берется родительский процесс, какая сетевая активность наблюдалась до и после, были ли странные сбои, аномальные блокировки или другие сигналы, которые в совокупности склоняют чашу весов в сторону подозрения.
Практические стратегии обнаружения и предотвращения
На практике защита от этих угроз предполагает сочетание различных мер. технологии, процессы и обучениеНедостаточно просто установить антивирус и забыть о нем; необходима многоуровневая стратегия, адаптированная к реальному поведению вредоносных программ, не содержащих файлов.
На техническом уровне развертывание имеет важное значение. Решения EDR или XDR Эти инструменты должны обладать возможностями поведенческого анализа и обеспечивать прозрачность на уровне процессов. Они должны уметь записывать и сопоставлять активность в режиме реального времени, блокировать аномальное поведение и предоставлять группе безопасности четкую аналитическую информацию.
Это также удобно Ограничение использования PowerShell, WMI и других интерпретаторов. Ограничиваясь только необходимым, мы применяем списки контроля доступа, подписывание скриптов (подписание кода) и политики выполнения, которые ограничивают то, какой код может выполняться и с какими привилегиями.
Со стороны пользователей обучение по-прежнему имеет решающее значение: необходимо закреплять знания. Осведомленность о фишинге, подозрительных ссылках и неожиданных документахЭто особенно важно для персонала, имеющего доступ к конфиденциальной информации или обладающего высокими привилегиями. Сокращение количества неосторожных кликов значительно уменьшает поверхность атаки.
Наконец, нельзя пренебрегать цикл установки исправлений и обновлений программного обеспеченияМногие цепочки разработки без использования файлов начинаются с эксплуатации известных уязвимостей, для которых уже существуют исправления. Поддержание браузеров, плагинов, корпоративных приложений и операционных систем в актуальном состоянии закрывает важные двери для злоумышленников.
Управляемые сервисы и поиск угроз
В средних и крупных организациях, где объем мероприятий огромен, внутренней команде сложно все увидеть. Именно поэтому они становятся все более популярными. услуги мониторинга и управления реагированием (MDR/EMDR) и внешние центры оперативного управления безопасностью (SOC).
Эти услуги сочетают в себе передовые технологии и Группы аналитиков ведут круглосуточный мониторинг. Анализируя окружение своих клиентов, они сопоставляют слабые сигналы, которые в противном случае остались бы незамеченными. Идея заключается в обнаружении типичного для бесфайловых вредоносных программ поведения до того, как будет нанесен ущерб.
Многие системы управления безопасностью на основе программного обеспечения (SOC) используют такие фреймворки, как... MITRE ATT & CK каталогизировать тактику, методы и процедуры (ТТП) противников и создавать специальные правила, ориентированные на выполнение операций в оперативной памяти, злоупотребление LoLBins, вредоносные WMI или скрытые схемы утечки данных.
Помимо непрерывного мониторинга, эти услуги обычно включают в себя: Судебно-криминалистический анализ, реагирование на инциденты и консультирование. улучшить архитектуру безопасности, устранить повторяющиеся уязвимости и усилить контроль над конечными устройствами и серверами.
Для многих компаний аутсорсинг части этой функции является наиболее жизнеспособным способом противостоять таким сложным угрозам, поскольку не каждая может позволить себе внутреннюю команду, специализирующуюся на поиске сложных вредоносных программ.
Реальность такова, что вредоносное ПО без файлов навсегда изменило наше понимание безопасности конечных точек: Файлы больше не являются единственным ключевым показателем.И только сочетание глубокого анализа ситуации, поведенческого анализа, эффективных методов управления и расширенной культуры кибербезопасности может сдерживать это в повседневной работе.
