- Bezsúborový malvér beží v pamäti a zneužíva legitímne nástroje, ako napríklad PowerShell alebo WMI.
- Dokáže kradnúť dáta, šifrovať súbory alebo špehovať počítače bez toho, aby zanechal zjavnú stopu na disku.
- Účinná detekcia si vyžaduje monitorovanie správania a procesov, nielen súborov.
- Obrana vyžaduje EDR, segmentáciu, opravy a zníženie používania skriptov a makier.
V posledných rokoch bezsúborový malvér Bezsúborový malvér sa stal jedným z najväčších problémov IT a bezpečnostných tímov. Nehovoríme o typickom víruse, ktorý si stiahnete v prílohe a môžete ho odstrániť antivírusovou kontrolou, ale o niečom oveľa nenápadnejšom, čo sa skrýva vo vlastných procesoch systému.
Tento typ hrozby využíva legitímne nástroje operačného systémuNajmä v systéme Windows dokáže spúšťať škodlivý kód priamo do pamäte RAM. Keďže na disku nezanecháva takmer žiadne stopy, dokáže sa vyhnúť mnohým tradičným antivírusovým programom a zostať aktívny dostatočne dlho na to, aby ukradol informácie, zašifroval súbory alebo udržiaval zadné vrátka bez toho, aby bol odhalený.
Čo presne je bezsúborový malware?
Keď hovoríme o bezsúborovom malvéri, máme na mysli škodlivý kód, ktorý nezávisí od klasického spustiteľného súboru na disku fungovať. Namiesto toho, aby bol nainštalovaný ako ktorýkoľvek iný program, sa spolieha na komponenty, ktoré sú už v systéme prítomné (skripty, služby, interpretery príkazov atď.), aby načítal a vykonal svoje inštrukcie priamo v pamäti.
Z technického hľadiska tento malvér zvyčajne vstreknúť do procesov, ktoré už bežia alebo ich možno spustiť pomocou príkazov, ktoré všetko načítajú do pamäte RAM. To znamená, že po vypnutí alebo reštartovaní počítača mnohé varianty zmiznú, ale medzitým majú dostatok času na to, aby spôsobili vážne škody.
V porovnaní so súborovým malvérom sú tieto hrozby ľahší, diskrétnejší a oveľa ťažšie sledovateľnýNa disku nenájdete podozrivý súbor .exe, ani nevyhnutne škodlivý inštalátor: problém spočíva v tom, čo sa deje v procesoch, ktoré sa zdajú byť dôveryhodné.
Vzostup tohto prístupu prudko vzrástol okolo roku 2017, keď kampane začali kombinovať techniky bez súborov s trójske kone typu clicker, pokročilý adware a nástroje na vzdialený prístup (RAT)Dnes sú integrované do všetkých druhov operácií: od špionáže a APT až po ransomvér a ťažbu kryptomien.
Ako funguje bezsúborový malvér vo vnútri
Aby sme pochopili, ako to funguje, je potrebné pripomenúť, že väčšina bežných aplikácií je distribuovaná ako súbor, ktorý sa zapíše na disk a potom načíta do pamäte keď ho používateľ spustí. Bezsúborový malvér na druhej strane preskočí prvý krok a zhmotní sa priamo v pamäti RAM pomocou mechanizmov samotného operačného systému.
Mnohé kampane sa spoliehajú na myšlienku „žiť z pôdy“ (žijúci mimo pôdy): útočník zneužíva legitímne administratívne právomoci namiesto zavádzania nových binárnych súborov. V systéme Windows je hlavným príkladom PowerShell, ale zneužívané sú aj skripty WMI, mshta, rundll32, VBScript alebo JScript a ďalšie dôveryhodné binárne súbory (LoLBins).
Typický scenár by bol: používateľ otvorí dokument balíka Office so škodlivým obsahom alebo klikne na phishingový odkaz; odtiaľ skript, ktorý spúšťa PowerShell alebo iný nástroj na stiahnutie, dešifrovanie alebo vloženie kódu pre ďalšiu fázu do pamäte. Toto všetko sa môže stať bez vytvorenia trvalého súboru na pevnom disku.
Ďalším bežným vektorom je zneužívanie zraniteľnosti pri vzdialenom spúšťaní kódu, ako napríklad pretečenia vyrovnávacej pamäte v prehliadačoch, doplnkoch alebo serverových aplikáciách. Zneužitím tejto zraniteľnosti môže útočník priamo spustiť shellcode v rámci zraniteľného procesu a odtiaľ načítať zvyšok komponentov do pamäte.
Niektoré varianty sa dokonca uchyľujú k Register systému Windows alebo naplánované úlohy na ukladanie skriptov alebo príkazov, ktoré útok znovu aktivujú pri spustení systému alebo prihlásení používateľa. Aj keď sa niečo zapíše do registra, hlavná škodlivá logika naďalej beží v pamäti, čo sťažuje jej detekciu nástrojmi zameranými výlučne na súborový systém.
Metódy infekcie a počiatočný prístup
Vchodové dvere sú zvyčajne celkom klasické: phishingové e-maily, škodlivé odkazy a falšované dokumenty Zostávajú kráľmi počiatočného prístupu, aj keď sa v nich používajú bezsúborové techniky. Trik spočíva v tom, že v celom reťazci sa vynakladá maximálne úsilie na minimalizáciu akejkoľvek diskovej stopy.
V mnohých prípadoch sa používajú Dokumenty balíka Microsoft Office s makrami Po aktivácii tieto makrá volajú PowerShell alebo WMI na stiahnutie a vykonanie ďalšej fázy útoku v pamäti. Aj bez makier útočníci zneužívajú zraniteľnosti v programoch Word, Excel, Čítačky PDF alebo samotný skriptovací engine na dosiahnutie spustenia kódu.
Ďalší prístup zahŕňa priame využitie zdanlivo neškodné spustiteľné súbory ktorý používateľ dostane e-mailom alebo si stiahne z webu. Tento spustiteľný súbor dokáže extrahovať škodlivý modul a načítať ho do pamäte pomocou techník, ako je napríklad reflexia v .NET, bez toho, aby ho musel uložiť na disk ako samostatný súbor.
Existujú aj kampane zamerané na webové servery alebo aplikácie vystavené internetu, kde sa zraniteľnosť využíva na nasadenie webové shell s bezsúborovými komponentmiNedávnym príkladom je použitie Godzilly a podobných nástrojov, v ktorých sa škodlivý kód šíri v rámci HTTP požiadaviek a je vstrekovaný priamo do pamäte na napadnutom serveri.
Útočníci sa nakoniec často uchyľujú k ukradnuté prihlasovacie údajeAk získajú používateľské meno a heslo správcu alebo privilegovaného účtu, môžu sa prihlásiť cez RDP alebo iné kanály a manuálne spustiť skripty PowerShellu, príkazy WMI alebo administratívne nástroje, ktoré načítajú malvér do pamäte bez toho, aby v systéme zostali akékoľvek nové spustiteľné súbory.
Špecifické techniky používané bezsúborovým malvérom
Jedným z kľúčov k týmto útokom je opätovné použitie natívne nástroje systému Windows ako nástroj pre svoje skripty. To spôsobuje, že škodlivá aktivita sa prelína s bežnými administratívnymi úlohami, čo komplikuje analýzu a reakciu.
Medzi najbežnejšie techniky patrí použitie PowerShell ako vstavaný spúšťač kódu priamo z príkazového riadku. Napríklad, ako parameter sa odovzdá obfuskovaný skript, politika vykonávania sa zakáže, okno sa skryje a užitočné zaťaženie sa stiahne priamo do pamäte, a to všetko bez toho, aby zostal viditeľný súbor .ps1 alebo akýkoľvek podozrivý spustiteľný súbor.
Ďalšou veľmi populárnou taktikou je ukladanie škodlivých skriptov do Predplatné služby Windows Management Instrumentation (WMI)WMI občas spustí skript, ktorý dokáže spustiť kód z pamäte, pripojiť sa k veliteľským a riadiacim serverom alebo spustiť nové fázy infekcie.
Podobne mnoho skupín používa Register systému Windows a Plánovač úloh ako útočisko pre svoje skripty a príkazy. Namiesto umiestnenia spustiteľného súboru do priečinka po spustení definujú spúšťacie kľúče alebo naplánované úlohy, ktoré spúšťajú skripty PowerShell, mshta alebo rundll32 s vloženým alebo za behu spusteným kódom.
Techniky sa vyskytujú aj v reflexia v .NETkde ľahký spustiteľný súbor obsahuje šifrované alebo komprimované zostavy, ktoré sa načítajú priamo do pamäte pomocou Reflection.Load bez toho, aby sa niekedy zapísali ako súbory .dll na disk. To umožňuje nasadenie veľmi sofistikovaných trójskych koní v rámci jedného, zdanlivo bežného procesu.
Čo dokáže útok bez súborov?
Napriek svojmu názvu nie je útok bez súborov obmedzený svojím dopadom. V skutočnosti môže vykonávať rovnaké funkcie ako tradičný malwarekrádež informácií, šifrovanie údajov, laterálny pohyb, špionáž, ťažba kryptomien alebo inštalácia trvalých zadných vrátok.
Mnohé kampane bez súborov sa správajú ako zlodej povereníTo zahŕňa zachytávanie hesiel, tokenov relácií alebo hashov autentifikácie z pamäte citlivých procesov. To uľahčuje eskaláciu privilégií, kompromitáciu viacerých systémov a udržiavanie dlhodobého prístupu bez použitia ďalších binárnych súborov.
Iní sa zameriavajú na bezsúborový ransomvérkde sa časť šifrovacej a komunikačnej logiky vykonáva priamo v pamäti. Hoci sa môže zdať, že disková súčasť v určitom okamihu manipuluje s veľkým počtom súborov, počiatočné načítanie a riadenie útoku sa vykonáva bezsúborovými technikami, aby sa predišlo včasnému odhaleniu.
Útočníci môžu tiež nainštalovať rootkity alebo pokročilé RATy Po zavedení tieto nástroje používajú bezsúborové kanály na prijímanie príkazov, pohyb po sieti a aktualizáciu modulov. Keďže sú integrované do systémových procesov alebo kritických služieb, je obzvlášť ťažké tieto nástroje odstrániť.
Na ekonomickej úrovni sa vplyv prejavuje strata údajov, prerušenia služieb, regulačné pokuty a poškodenie reputácieKeďže tieto narušenia často zostávajú celé mesiace nepovšimnuté, objem uniknutých informácií a rozsah narušenia môžu byť obrovské.
Fázy útoku škodlivého softvéru bez súborov
Hoci sú technické aspekty odlišné, životný cyklus útoku bez súborov je dosť podobný životnému cyklu akéhokoľvek pokročilého prieniku. Aké sú zmeny? mechanizmy používané v každej fáze a spôsob, akým sa maskujú.
V štádiu počiatočný prístupÚtočník potrebuje počiatočnú oporu: kliknutie na phishingový odkaz, otvorenie dokumentu obsahujúceho makrá, zneužitie zraniteľného servera alebo opätovné použitie kompromitovaných prihlasovacích údajov. Cieľom je následne spustiť kód v cieľovom systéme.
Po dosiahnutí tohto kroku sa začína ďalšia fáza vykonávanie v pamätiTu prichádzajú na rad interprety PowerShell, WMI, mshta, rundll32, VBScript, JScript alebo iné, ktoré načítajú a aktivujú užitočné zaťaženie bez generovania trvalých spustiteľných súborov na disku. Kód je zvyčajne obfuskovaný alebo šifrovaný a dešifrovaný iba v RAM.
Potom sa začne prenasledovanie vytrvalosťHoci mnohé dáta bez súborov zmiznú po reštartovaní počítača, sofistikovaní útočníci kombinujú skripty rezidentné v pamäti RAM s kľúčmi databázy Registry, naplánovanými úlohami alebo predplatnými služby WMI, ktoré reštartujú kód vždy, keď je splnená určitá podmienka, ako je spustenie systému alebo prihlásenie používateľa.
Nakoniec, konečné ciele Medzi akcie útočníka patrí: krádež a exfiltrácia údajov, šifrovanie informácií, nasadenie ďalšieho škodlivého softvéru, nepretržitá špionáž a sabotáž kritických systémov. Toto všetko sa deje pri snahe udržať si čo najnižší profil, aby sa predišlo včasným varovaniam a forenznej analýze.
Prečo je to také ťažké odhaliť?
Veľkým problémom bezsúborového malvéru je, že Prelomí klasický obranný model založený na súboroch a podpisoch.Ak neexistuje žiadny podozrivý spustiteľný súbor na analýzu, mnoho antivírusových nástrojov zostáva slepých voči tomu, čo sa deje v pamäti a legitímnych procesoch.
Absencia súborov na disku znamená, že Nie sú k dispozícii žiadne objekty na pravidelné skenovanie pri hľadaní známych vzorov. Okrem toho, využitím binárnych súborov podpísaných samotným operačným systémom, ako napríklad PowerShell.exe, wscript.exe alebo rundll32.exe, sa škodlivá aktivita maskuje za názvy, ktorým správca bežne dôveruje.
Okrem toho má mnoho zdedených produktov Obmedzený prehľad o spustených procesochZameriavajú sa na súborový systém a sieťovú prevádzku, ale sotva kontrolujú interné volania API, parametre príkazového riadka, správanie skriptov alebo udalosti v registri, ktoré by mohli prezradiť útok bez súborov.
Útočníci, vedomí si týchto obmedzení, sa uchyľujú k techniky zahmlievania, šifrovania a fragmentácie kóduNapríklad rozdelia škodlivý skript na niekoľko fragmentov, ktoré sa zostavujú v reálnom čase, alebo skryjú inštrukcie v obrázkoch, vložených zdrojoch alebo zdanlivo neškodných reťazcoch.
V prostrediach, kde sa systémy zriedkavo reštartujú (kritické servery, produkčné terminály atď.), môže malvér uložený v pamäti zostať aktívny týždne alebo mesiace bez toho, aby vás niekto odhalil, najmä ak sa pohybujete opatrne a minimalizujete objem premávky alebo nápadných akcií.
Obmedzenia tradičnej obrany
Prvotnou reakciou mnohých poskytovateľov na túto hrozbu bolo pokúsiť sa obmedziť alebo priamo blokovať nástroje ako PowerShell alebo makrá balíka OfficeHoci to môže znížiť niektoré vektory, vo väčšine organizácií to nie je realistické ani úplné riešenie.
PowerShell sa stal kľúčová súčasť pre správu systému WindowsAutomatizácia úloh, nasadenie softvéru a správa serverov. Úplné zablokovanie by paralyzovalo pracovné postupy IT a vynútilo by si prepracovanie mnohých interných procesov.
Okrem toho, z pohľadu útočníka existuje viacero spôsobov, ako obchádzanie jednoduchej blokovacej politikyExistujú techniky na načítanie PowerShell enginu z knižníc (dll) pomocou rundll32, konverziu skriptov na spustiteľné súbory pomocou nástrojov ako PS2EXE, použitie upravených kópií PowerShell.exe alebo dokonca vloženie PowerShell skriptov do obrázkov PNG a ich spúšťanie pomocou obfusovaných príkazových riadkov.
Niečo podobné sa deje s makrami balíka Office: Mnoho spoločností je na nich závislých automatizovať reporty, výpočty a obchodné procesy. Ich globálne zakázanie môže narušiť fungovanie interných aplikácií, zatiaľ čo spoliehanie sa výlučne na statickú analýzu kódu VBA často vedie k ťažko zvládnuteľnej miere falošne pozitívnych a falošne negatívnych výsledkov.
Okrem toho, niektoré prístupy založené na cloudová detekcia ako služba Vyžadujú si neustále pripojenie a niekedy fungujú s príliš veľkým oneskorením, aby zabránili počiatočnému spusteniu škodlivého softvéru. Ak sa rozhodnutie o blokovaní prijme o niekoľko sekúnd alebo minút neskôr, škoda už môže byť napáchaná.
Presúva pozornosť: zo súborov na správanie
Keďže spis už nie je hlavným prvkom, moderné obranné riešenia sa zameriavajú na monitorovať správanie procesov namiesto toho, aby len kontrolovali obsah súborov. Myšlienka je taká, že hoci existujú tisíce variantov škodlivého softvéru, vzorce škodlivej aktivity sú oveľa menej rozmanité.
Tento prístup sa spolieha na motory behaviorálna analýza a strojové učenie ktoré nepretržite monitorujú, čo každý proces robí: aké príkazy spúšťa, akých systémových zdrojov sa dotýka, ako komunikuje s vonkajším svetom a aké zmeny sa snaží zaviesť do prostredia.
Napríklad proces balíka Office môže byť označený ako podozrivý, ak vykoná zahalený príkaz PowerShellu s parametrami na deaktiváciu bezpečnostných politík a sťahovanie kódu z podozrivej domény. Alebo proces, ktorý bez zjavného dôvodu náhle pristupuje k stovkám citlivých súborov alebo upravuje kritické kľúče registra.
Najnovšia generácia systémov EDR a platforiem XDR zhromažďuje podrobná telemetria koncových bodov, serverov a sietea sú schopní zrekonštruovať kompletné príbehy (niekedy nazývané StoryLines) o tom, ako incident vznikol, aké procesy boli zahrnuté a aké zmeny prešiel postihnutý stroj.
Dobrý behaviorálny nástroj nielenže detekuje hrozbu, ale dokáže zmierniť alebo automaticky zvrátiť škodlivé akcieukončiť zapojené procesy, izolovať počítač, obnoviť šifrované súbory, vrátiť späť zmeny v registri a prerušiť komunikáciu s doménami príkazov a riadenia.
Technológie a zdroje kľúčových udalostí v systéme Windows
Na analýzu bezsúborových hrozieb v systéme Windows je obzvlášť užitočné využiť mechanizmy telemetrie natívneho operačného systému, ktoré už existujú a ponúkajú množstvo informácií o dianí v zákulisí.
Na jednej strane je Sledovanie udalostí pre Windows (ETW)ETW je rámec, ktorý umožňuje zaznamenávanie veľmi detailných udalostí súvisiacich s vykonávaním procesov, volaniami API, prístupom do pamäte a ďalšími internými aspektmi systému. Mnohé riešenia EDR sa spoliehajú na ETW na detekciu atypického správania v reálnom čase.
Ďalším kľúčovým prvkom je Antimalware Scan Interface (AMSI)AMSI je API navrhnuté spoločnosťou Microsoft, ktoré umožňuje bezpečnostným enginom kontrolovať skripty a dynamický obsah tesne pred ich spustením, aj keď je zahalený. AMSI je obzvlášť užitočný s PowerShellom, VBScript, JScript a ďalšími skriptovacími jazykmi.
Okrem toho sa moderné motory pravidelne analyzujú citlivé oblasti, ako napríklad register, plánovač úloh, predplatné služby WMI alebo politiky vykonávania skriptovPodozrivé zmeny v týchto oblastiach sú často znakom toho, že útok bez súborov si vybudoval trvalú platnosť.
Toto všetko je doplnené heuristikami, ktoré zohľadňujú nielen aktuálny proces, ale aj kontext vykonávaniaodkiaľ pochádza rodičovský proces, aká sieťová aktivita bola pozorovaná pred a po, či sa vyskytli zvláštne zlyhania, anomálne blokády alebo iné signály, ktoré spolu vyvolávajú podozrenie.
Praktické stratégie detekcie a prevencie
V praxi ochrana pred týmito hrozbami zahŕňa kombináciu technológie, procesy a školeniaNestačí si nainštalovať antivírus a zabudnúť naň; je potrebná viacvrstvová stratégia prispôsobená skutočnému správaniu bezsúborového malvéru.
Na technickej úrovni je nevyhnutné nasadiť Riešenia EDR alebo XDR s možnosťami behaviorálnej analýzy a prehľadom na úrovni procesov. Tieto nástroje musia byť schopné zaznamenávať a korelovať aktivitu v reálnom čase, blokovať anomálne správanie a poskytovať jasné forenzné informácie bezpečnostnému tímu.
Je to tiež pohodlné Obmedzenie používania PowerShellu, WMI a iných interpretov na to, čo je nevyhnutne potrebné, uplatňovanie zoznamov riadenia prístupu, podpisovanie skriptov (podpisovanie kódu) a zásad vykonávania, ktoré obmedzujú, aký kód sa môže spustiť a s akými oprávneniami.
Na strane používateľov zostáva školenie kľúčové: je potrebné posilniť upozornenie na phishing, podozrivé odkazy a neočakávané dokumentyToto je obzvlášť dôležité pre personál s prístupom k citlivým informáciám alebo s vysokými oprávneniami. Zníženie počtu neopatrných kliknutí výrazne znižuje plochu pre útok.
Nakoniec nemožno zanedbávať ani cyklus aktualizácií záplat a softvéruMnohé reťazce bez súborov začínajú zneužívaním známych zraniteľností, pre ktoré už existujú záplaty. Udržiavanie prehliadačov, doplnkov, podnikových aplikácií a operačných systémov v aktuálnom stave zatvára útočníkom cenné dvere.
Spravované služby a vyhľadávanie hrozieb
V stredných a veľkých organizáciách, kde je objem udalostí obrovský, je pre interný tím ťažké vidieť všetko. Preto ich popularita rastie. monitorovacie a riadené služby reakcie (MDR/EMDR) a externé bezpečnostné operačné centrá (SOC).
Tieto služby kombinujú pokročilé technológie s tímy analytikov monitorujú 24 hodín denne, 7 dní v týždni prostredia svojich klientov a korelujú slabé signály, ktoré by inak zostali nepovšimnuté. Cieľom je odhaliť správanie typické pre bezsúborový malvér skôr, ako dôjde k poškodeniu.
Mnohé SOC sa spoliehajú na rámce ako napríklad MITRE ATT&CK katalogizovať taktiky, techniky a postupy (TTP) protivníkov a vytvoriť špecifické pravidlá zamerané na vykonávanie v pamäti, zneužívanie LoLBins, škodlivé WMI alebo skryté vzory úniku údajov.
Okrem nepretržitého monitorovania tieto služby zvyčajne zahŕňajú forenzná analýza, reakcia na incidenty a poradenstvo zlepšiť bezpečnostnú architektúru, odstrániť opakujúce sa medzery a posilniť kontroly na koncových bodoch a serveroch.
Pre mnohé spoločnosti je outsourcing časti tejto funkcie najschodnejším spôsobom, ako držať krok s takýmito komplexnými hrozbami, keďže nie každý si môže dovoliť interný tím špecializujúci sa na lov pokročilého malvéru.
Realita je taká, že bezsúborový malvér navždy zmenil spôsob, akým chápeme bezpečnosť koncových bodov: Súbory už nie sú jediným kľúčovým ukazovateľomA iba kombinácia hlbokého prehľadu, behaviorálnej analýzy, osvedčených postupov riadenia a rozsiahlej kultúry kybernetickej bezpečnosti ju môže udržať na uzde v každodennom živote.
