- Zlonamerna programska oprema brez datotek se izvaja v pomnilniku in zlorablja legitimna orodja, kot sta PowerShell ali WMI.
- Lahko krade podatke, šifrira datoteke ali vohuni za računalniki, ne da bi pustil očitno sled na disku.
- Učinkovito odkrivanje zahteva spremljanje vedenja in procesov, ne le datotek.
- Zaščita zahteva EDR, segmentacijo, nameščanje popravkov in zmanjšanje uporabe skriptov in makrov.
V zadnjih letih je zlonamerna programska oprema brez datotek Zlonamerna programska oprema brez datotek je postala ena največjih težav za IT in varnostne ekipe. Ne govorimo o tipičnem virusu, ki ga prenesete v priponko in ga lahko odstranite s protivirusnim pregledom, temveč o nečem veliko bolj prikritem, kar se skriva v lastnih procesih sistema.
Ta vrsta grožnje izkorišča legitimna orodja operacijskega sistemaŠe posebej v sistemu Windows lahko izvaja zlonamerno kodo neposredno v RAM. Ker na disku skoraj ne pušča sledi, se lahko izogne številnim tradicionalnim protivirusnim programom in ostane aktiven dovolj dolgo, da krade informacije, šifrira datoteke ali vzdržuje zadnja vrata, ne da bi ga odkrili.
Kaj točno je zlonamerna programska oprema brez datotek?
Ko govorimo o zlonamerni programski opremi brez datotek, mislimo na zlonamerna koda, ki ni odvisna od klasične izvedljive datoteke na disku za delovanje. Namesto da bi bil nameščen kot kateri koli drug program, se za nalaganje in izvajanje navodil neposredno v pomnilniku zanaša na komponente, ki so že prisotne v sistemu (skripte, storitve, interpreterje ukazov itd.).
S tehničnega vidika ta zlonamerna programska oprema običajno vbrizgati v procese, ki se že izvajajo ali pa jih je mogoče zagnati z ukazi, ki vse naložijo v RAM. To pomeni, da ko je računalnik izklopljen ali ponovni zagon, številne različice izginejo, vendar imajo medtem dovolj časa, da povzročijo resno škodo.
V primerjavi z zlonamerno programsko opremo, ki temelji na datotekah, so te grožnje lažji, bolj diskreten in veliko težje sledljivNa disku ne boste našli sumljive datoteke .exe, niti nujno zlonamernega namestitvenega programa: težava je v tem, kaj se dogaja znotraj procesov, ki se zdijo zaupanja vredni.
Vzpon tega pristopa je strmoglavil okoli leta 2017, ko so kampanje začele združevati tehnike brez datotek z trojanski konji klikerji, napredna oglaševalska programska oprema in orodja za oddaljeni dostop (RAT)Danes so integrirani v vse vrste operacij: od vohunjenja in APT-jev do izsiljevalske programske opreme in rudarjenja kriptovalut.
Kako deluje zlonamerna programska oprema brez datotek v notranjosti
Da bi razumeli, kako deluje, je vredno vedeti, da je večina običajnih aplikacij distribuiranih kot datoteka, ki se zapiše na disk in nato naloži v pomnilnik ko jo uporabnik zažene. Zlonamerna programska oprema brez datotek pa preskoči prvi korak in se materializira neposredno v RAM-u z uporabo mehanizmov samega operacijskega sistema.
Številne kampanje se zanašajo na idejo "živeti od zemlje" (živeti od zemlje): napadalec zlorablja legitimna upravna pooblastila namesto uvajanja novih binarnih datotek. V sistemu Windows je glavni primer PowerShell, vendar se izkoriščajo tudi skripti WMI, mshta, rundll32, VBScript ali JScript in druge zaupanja vredne binarne datoteke (LoLBins).
Tipičen scenarij bi bil: uporabnik odpre Officeov dokument z zlonamerno vsebino ali klikne lažno povezavo; od tam skript, ki pokliče PowerShell ali drugo orodje za prenos, dešifriranje ali vbrizgavanje kode za naslednjo fazo v pomnilnik. Vse to se lahko zgodi brez ustvarjanja trajne datoteke na trdem disku.
Drug pogost vektor vključuje izkoriščanje ranljivosti oddaljenega izvajanja kode, kot so prelivanja medpomnilnika v brskalnikih, vtičnikih ali strežniških aplikacijah. Z izkoriščanjem ranljivosti lahko napadalec neposredno izvede shellcode znotraj ranljivega procesa in od tam naloži preostale komponente v pomnilnik.
Nekatere različice se celo zatekajo k Register sistema Windows ali načrtovana opravila za shranjevanje skriptov ali ukazov, ki ponovno aktivirajo napad, ko se sistem zažene ali se uporabnik prijavi. Tudi če se nekaj zapiše v register, glavna zlonamerna logika še naprej deluje v pomnilniku, zaradi česar jo je težko zaznati z orodji, osredotočenimi izključno na datotečni sistem.
Metode okužbe in začetni dostop
Vhodna vrata so običajno precej klasična: lažna e-poštna sporočila, zlonamerne povezave in ponarejeni dokumenti Še vedno so kralji začetnega dostopa, čeprav se spodaj uporabljajo tehnike brez datotek. Trik je v tem, da se skozi celotno verigo po najboljših močeh trudijo zmanjšati porabo diska.
Uporabljajo se v številnih incidentih Dokumenti Microsoft Officea z makri Ko so aktivirani, ti makri pokličejo PowerShell ali WMI, da prenese in izvede naslednjo fazo napada v pomnilniku. Tudi brez makrov napadalci izkoriščajo ranljivosti v Wordu, Excelu, Bralniki PDF ali sam skriptni mehanizem za dosego izvajanja kode.
Drug pristop vključuje neposredno izkoriščanje na videz neškodljive izvedljive datoteke ki ga uporabnik prejme po e-pošti ali prenese s spleta. Ta izvedljiva datoteka lahko izvleče zlonamerni modul in ga naloži v pomnilnik z uporabo tehnik, kot je odboj v .NET, ne da bi ga dejansko shranila na disk kot ločeno datoteko.
Obstajajo tudi kampanje, usmerjene na spletne strežnike ali aplikacije, izpostavljene internetu, kjer se ranljivost uporablja za nameščanje spletne lupine z brezfiletnimi komponentamiNedavni primer je uporaba Godzille in podobnih orodij, pri katerih zlonamerna koda potuje znotraj zahtev HTTP in se vbrizga neposredno v pomnilnik na ogroženem strežniku.
Končno se napadalci pogosto zatečejo k ukradene poverilniceČe pridobijo uporabniško ime in geslo skrbnika ali privilegiranega računa, se lahko prijavijo prek RDP ali drugih kanalov in ročno zaženejo skripte PowerShell, ukaze WMI ali skrbniška orodja, ki naložijo zlonamerno programsko opremo v pomnilnik, ne da bi v sistemu pustile nove izvedljive datoteke.
Specifične tehnike, ki jih uporablja zlonamerna programska oprema brez datotek
Eden od ključev teh napadov je ponovna uporaba izvorna orodja za Windows kot sredstvo za svoje skripte. Zaradi tega se zlonamerna dejavnost prepleta z običajnimi administrativnimi opravili, kar otežuje analizo in odzivanje.
Med najpogostejšimi tehnikami najdemo uporabo PowerShell kot vgrajeni zaganjalnik kode neposredno iz ukazne vrstice. Na primer, zakriti skript se posreduje kot parameter, pravilnik izvajanja je onemogočen, okno je skrito in koristni tovor se prenese neposredno v pomnilnik, vse to brez vidne datoteke .ps1 ali kakršne koli sumljive izvedljive datoteke.
Druga zelo priljubljena taktika je shranjevanje zlonamernih skriptov v Naročnine na Windows Management Instrumentation (WMI)WMI občasno sproži skript, ki lahko izvaja kodo iz pomnilnika, se poveže s strežniki za upravljanje in nadzor ali zažene nove faze okužbe.
Podobno številne skupine uporabljajo Register sistema Windows in razporejevalnik opravil kot zatočišče za svoje skripte in ukaze. Namesto da bi izvedljivo datoteko namestili v zagonsko mapo, definirajo zagonske ključe ali načrtovana opravila, ki izvajajo skripte PowerShell, mshta ali rundll32 z vdelano ali sprotno kodo.
Tehnike so vidne tudi v refleksija v .NETkjer lahka izvedljiva datoteka vsebuje šifrirane ali stisnjene sklope, ki se naložijo neposredno v pomnilnik z uporabo Reflection.Load, ne da bi se kdaj zapisali kot datoteke .dll na disk. To omogoča namestitev zelo sofisticiranih trojanskih konjev v enem samem, na videz običajnem procesu.
Kaj lahko stori napad brez datotek?
Kljub svojemu imenu napad brez datotek ni omejen v svojem vplivu. Pravzaprav lahko izvede enake funkcije kot tradicionalna zlonamerna programska oprema: kraja informacij, šifriranje podatkov, lateralno gibanje, vohunjenje, rudarjenje kriptovalut ali namestitev trajnih zadnjih vrat.
Številne kampanje brez datotek se obnašajo kot tat poverilnicTo vključuje zajemanje gesel, žetonov sej ali zgoščevalnih vrednosti za preverjanje pristnosti iz pomnilnika občutljivih procesov. To olajša stopnjevanje privilegijev, ogrožanje več sistemov in vzdrževanje dolgotrajnega dostopa brez uporabe dodatnih binarnih datotek.
Drugi se osredotočajo na izsiljevalska programska oprema brez datotekkjer se del logike šifriranja in komunikacije izvaja neposredno v pomnilniku. Čeprav se lahko zdi, da komponenta diska na neki točki manipulira z velikim številom datotek, se začetno nalaganje in nadzor napada izvajata s tehnikami brez datotek, da se prepreči zgodnje odkrivanje.
Napadalci lahko namestijo tudi rootkiti ali napredni RAT-i Ko so ta orodja enkrat vzpostavljena, uporabljajo kanale brez datotek za prejemanje ukazov, premikanje po omrežju in posodabljanje modulov. Ker so integrirana v sistemske procese ali kritične storitve, jih je še posebej težko izkoreniniti.
Na gospodarskem področju se vpliv kaže v izguba podatkov, prekinitve storitev, regulativne globe in škoda za ugledKer ti vdori pogosto ostanejo neodkriti več mesecev, sta lahko količina ukradenih informacij in obseg kršitve ogromna.
Faze napada zlonamerne programske opreme brez datotek
Čeprav so tehnični vidiki drugačni, je življenjski cikel napada brez datotek precej podoben življenjskemu ciklu katerega koli naprednega vdora. Katere so spremembe? mehanizmi, uporabljeni v vsaki fazi in način, kako se kamuflirajo.
V fazi začetni dostopNapadalec potrebuje začetno oporo: klik na lažno povezavo, odpiranje dokumenta, ki vsebuje makre, izkoriščanje ranljivega strežnika ali ponovno uporabo ogroženih poverilnic. Od tam naprej je cilj izvajanje kode v ciljnem sistemu.
Ko je ta korak dosežen, se začne naslednja faza izvajanje v pomnilnikuTukaj pridejo v poštev PowerShell, WMI, mshta, rundll32, VBScript, JScript ali drugi interpreterji, ki naložijo in aktivirajo koristni tovor, ne da bi pri tem ustvarili trajne izvedljive datoteke na disku. Koda je običajno zakrita ali šifrirana in dešifrirana le v RAM-u.
Nato se začne zasledovanje vztrajnostČeprav veliko brezdatotečnih koristnih podatkov izgine, ko se računalnik znova zažene, prefinjeni napadalci kombinirajo skripte, shranjene v RAM-u, s ključi registra, načrtovanimi opravili ali naročninami WMI, ki znova zaženejo kodo vsakič, ko je izpolnjen določen pogoj, kot je zagon sistema ali prijava uporabnika.
Končno, končni cilji Napadalčeva dejanja vključujejo: krajo in izbruh podatkov, šifriranje informacij, namestitev dodatne zlonamerne programske opreme, nenehno vohunjenje in sabotažo kritičnih sistemov. Vse to počnejo ob hkratnem ohranjanju čim nižjega profila, da bi se izognili zgodnjim opozorilom in forenzični analizi.
Zakaj je tako težko odkriti?
Velika težava z zlonamerno programsko opremo brez datotek je, da Prekinja klasični obrambni model, ki temelji na datotekah in podpisihČe ni sumljive izvedljive datoteke za analizo, mnogi protivirusni programi ostanejo slepi za dogajanje v pomnilniku in legitimnih procesih.
Odsotnost datotek na disku pomeni, da Ni predmetov za periodično skeniranje v iskanju znanih vzorcev. Poleg tega se z uporabo binarnih datotek, ki jih je podpisal sam operacijski sistem, kot so PowerShell.exe, wscript.exe ali rundll32.exe, zlonamerna dejavnost prikrije za imeni, ki jim skrbnik običajno zaupa.
Poleg tega imajo številni podedovani izdelki Omejen vpogled v tekoče proceseOsredotočajo se na datotečni sistem in omrežni promet, vendar komaj pregledujejo notranje klice API-ja, parametre ukazne vrstice, vedenje skriptov ali dogodke v registru, ki bi lahko izdali napad brez datotek.
Napadalci, ki se zavedajo teh omejitev, se zatečejo k tehnike zakrivanja, šifriranja in fragmentacije kodeNa primer, zlonamerno skripto razdelijo na več fragmentov, ki se sestavljajo v realnem času, ali pa skrijejo navodila znotraj slik, vdelanih virov ali na videz neškodljivih nizov.
V okoljih, kjer se sistemi redko znova zaženejo (kritični strežniki, produkcijski terminali itd.), lahko zlonamerna programska oprema, ki je rezidentna v pomnilniku ostanejo aktivni tedne ali mesece ne da bi vas odkrili, še posebej, če se premikate previdno in zmanjšate promet ali opazna dejanja.
Omejitve tradicionalne obrambe
Začetni odziv mnogih ponudnikov na to grožnjo je bil poskus omejite ali neposredno blokirajte orodja, kot sta PowerShell ali makri sistema OfficeČeprav lahko zmanjša nekatere vektorje, v večini organizacij ni realistična ali popolna rešitev.
PowerShell je postal ključna komponenta za administracijo sistema WindowsAvtomatizacija opravil, uvajanje programske opreme in upravljanje strežnikov. Popolna blokada bi ohromila delovne procese IT in prisilila k ponovnemu izvajanju številnih notranjih procesov.
Poleg tega obstaja z vidika napadalca več načinov za obhod preproste politike blokiranjaObstajajo tehnike za nalaganje mehanizma PowerShell iz knjižnic (dll) z uporabo rundll32, pretvorbo skriptov v izvedljive datoteke z orodji, kot je PS2EXE, uporabo spremenjenih kopij PowerShell.exe ali celo vdelavo skriptov PowerShell v slike PNG in njihovo izvajanje z zakritimi ukaznimi vrsticami.
Nekaj podobnega se zgodi z makri sistema Office: Številna podjetja so odvisna od njih za avtomatizacijo poročil, izračunov in poslovnih procesov. Če jih onemogočite globalno, lahko pride do motenj v delovanju notranjih aplikacij, medtem ko zanašanje izključno na statično analizo kode VBA pogosto povzroči težko obvladljivo stopnjo lažno pozitivnih in lažno negativnih rezultatov.
Poleg tega nekateri pristopi, ki temeljijo na zaznavanje kot storitev v oblaku Zahtevajo stalno povezljivost in včasih delujejo s preveliko zamudo, da bi preprečili začetno izvajanje zlonamerne programske opreme. Če se odločitev o blokiranju sprejme nekaj sekund ali minut pozneje, je škoda morda že storjena.
Premiki fokusa: od datotek k vedenju
Ker datoteka ni več glavni element, se sodobne obrambne rešitve osredotočajo na spremljati vedenje procesov namesto da bi zgolj pregledali vsebino datotek. Ideja je, da čeprav obstaja na tisoče različic zlonamerne programske opreme, so vzorci zlonamerne dejavnosti veliko manj raznoliki.
Ta pristop temelji na motorjih vedenjska analiza in strojno učenje ki nenehno spremljajo, kaj vsak proces počne: katere ukaze zažene, katerih sistemskih virov se dotika, kako komunicira z zunanjim svetom in katere spremembe poskuša vnesti v okolje.
Na primer, postopek v sistemu Office je lahko označen kot sumljiv, če izvede zakriti ukaz PowerShell s parametri za onemogočanje varnostnih pravilnikov in prenos kode iz sumljive domene. Ali pa proces, ki brez očitnega razloga nenadoma dostopa do stotin občutljivih datotek ali spreminja kritične ključe registra.
Najnovejša generacija sistemov EDR in platform XDR zbira podrobna telemetrija končnih točk, strežnikov in omrežjain so sposobni rekonstruirati celotne zgodbe (včasih imenovane StoryLines) o tem, kako je incident nastal, kateri procesi so bili vključeni in katere spremembe je doživel prizadeti stroj.
Dober vedenjski mehanizem ne le zazna grožnjo, ampak jo lahko tudi ublaži ali samodejno razveljavi zlonamerna dejanja: uniči vpletene procese, izoliraj računalnik, obnovi šifrirane datoteke, razveljavi spremembe v registru in prekini komunikacijo z domenami ukazov in nadzora.
Tehnologije in viri ključnih dogodkov v sistemu Windows
Za analizo groženj brez datotek v sistemu Windows je še posebej koristno izkoristiti izvorni telemetrični mehanizmi operacijskega sistema, ki so že tam in ponujajo veliko informacij o dogajanju v zakulisju.
Po eni strani je Sledenje dogodkom za Windows (ETW)ETW je ogrodje, ki omogoča beleženje zelo podrobnih dogodkov, povezanih z izvajanjem procesov, klici API-ja, dostopom do pomnilnika in drugimi notranjimi sistemskimi vidiki. Številne rešitve EDR se zanašajo na ETW za zaznavanje netipičnega vedenja v realnem času.
Drug ključni del je Vmesnik za skeniranje proti zlonamerni programski opremi (AMSI)AMSI je API, ki ga je zasnoval Microsoft, da bi varnostnim orodjem omogočil pregled skriptov in dinamične vsebine tik pred zagonom, tudi če so zakriti. AMSI je še posebej uporaben s PowerShellom, VBScript, JScript in drugimi skriptnimi jeziki.
Poleg tega se sodobni motorji periodično analizirajo občutljiva področja, kot so register, razporejevalnik opravil, naročnine WMI ali pravilniki za izvajanje skriptovSumljive spremembe na teh območjih so pogosto znak, da je napad brez datotek vzpostavil vztrajnost.
Vse to dopolnjujejo hevristike, ki upoštevajo ne le trenutni proces, temveč tudi kontekst izvajanjaod kod prihaja nadrejeni proces, kakšna omrežna aktivnost je bila opažena pred in po tem, ali je prišlo do nenavadnih napak, anomalnih blokad ali drugih signalov, ki skupaj nagibajo tehtnico k sumu.
Praktične strategije odkrivanja in preprečevanja
V praksi zaščita pred temi grožnjami vključuje kombiniranje tehnologija, procesi in usposabljanjeNi dovolj, da namestite protivirusni program in pozabite nanj; potrebna je večplastna strategija, prilagojena dejanskemu vedenju zlonamerne programske opreme brez datotek.
Na tehnični ravni je bistvenega pomena uvedba Rešitve EDR ali XDR z zmožnostmi vedenjske analize in preglednostjo na ravni procesov. Ta orodja morajo biti sposobna beležiti in povezovati dejavnosti v realnem času, blokirati nenavadno vedenje in varnostni ekipi zagotavljati jasne forenzične informacije.
Prav tako je priročno Omejevanje uporabe PowerShella, WMI in drugih interpreterjev na tisto, kar je nujno potrebno, z uporabo seznamov za nadzor dostopa, podpisovanjem skriptov (podpisovanje kode) in pravilniki izvajanja, ki omejujejo, katera koda se lahko izvaja in s kakšnimi privilegiji.
Na strani uporabnikov ostaja usposabljanje ključnega pomena: treba je okrepiti zavedanje o lažnem predstavljanju, sumljivih povezavah in nepričakovanih dokumentihTo je še posebej pomembno med osebjem z dostopom do občutljivih informacij ali visokimi privilegiji. Zmanjšanje števila neprevidnih klikov znatno zmanjša površino za napad.
Nenazadnje ne gre zanemariti niti cikel posodobitev in popravkov programske opremeŠtevilne verige brez datotek se začnejo z izkoriščanjem znanih ranljivosti, za katere že obstajajo popravki. Posodabljanje brskalnikov, vtičnikov, poslovnih aplikacij in operacijskih sistemov napadalcem zapira dragocena vrata.
Upravljane storitve in iskanje groženj
V srednje velikih in velikih organizacijah, kjer je obseg dogodkov ogromen, je za notranjo ekipo težko videti vse. Zato postajajo vse bolj priljubljeni. storitve spremljanja in upravljanega odzivanja (MDR/EMDR) in zunanji varnostno-operativni centri (SOC).
Te storitve združujejo napredno tehnologijo z ekipe analitikov, ki spremljajo 24 ur na dan, 7 dni v tednu okolja svojih strank in povezujejo šibke signale, ki bi sicer ostali neopaženi. Ideja je zaznati vedenje, značilno za zlonamerno programsko opremo brez datotek, preden pride do škode.
Številni SOC-ji se zanašajo na ogrodja, kot so MITRE ATT & CK za katalogiziranje taktik, tehnik in postopkov (TTP) nasprotnikov ter za izgradnjo posebnih pravil, usmerjenih v izvajanje v pomnilniku, zlorabo LoLBins, zlonamerni WMI ali prikrite vzorce kraje podatkov.
Poleg stalnega spremljanja te storitve običajno vključujejo forenzična analiza, odzivanje na incidente in svetovanje izboljšati varnostno arhitekturo, odpraviti ponavljajoče se vrzeli in okrepiti nadzor nad končnimi točkami in strežniki.
Za mnoga podjetja je zunanje izvajanje dela te funkcije najučinkovitejši način za spopadanje s tako kompleksnimi grožnjami, saj si ne more vsakdo privoščiti notranje ekipe, specializirane za iskanje napredne zlonamerne programske opreme.
Resničnost je, da je zlonamerna programska oprema brez datotek za vedno spremenila način, kako razumemo varnost končnih točk: Datoteke niso več edini ključni kazalnikIn le kombinacija poglobljene preglednosti, vedenjske analize, dobrih upravljavskih praks in razširjene kulture kibernetske varnosti jo lahko vsakodnevno zadržuje.
