- Злонамерни софтвер без датотека ради у меморији и злоупотребљава легитимне алате као што су PowerShell или WMI.
- Може красти податке, шифровати датотеке или шпијунирати рачунаре без остављања видљивог трага на диску.
- Ефикасно откривање захтева праћење понашања и процеса, не само датотека.
- Одбрана захтева EDR, сегментацију, крпљење и смањење употребе скрипти и макроа.
Последњих година злонамерни софтвер без датотека Злонамерни софтвер без датотека постао је једна од највећих главобоља за ИТ и безбедносне тимове. Не говоримо о типичном вирусу који преузмете као прилог и можете га уклонити антивирусним скенирањем, већ о нечему много скривенијем што се крије унутар сопствених процеса система.
Ова врста претње користи легитимни алати оперативног системаПосебно на Windows-у, може да изврши злонамерни код директно у RAM меморију. Пошто готово да не оставља трагове на диску, може да избегне многе традиционалне антивирусне програме и да остане активан довољно дуго да украде информације, шифрује датотеке или одржава задња врата, а да не буде откривен.
Шта је тачно малвер без датотека?
Када говоримо о злонамерном програму без датотека, мислимо на злонамерни код који не зависи од класичне извршне датотеке на диску да би функционисао. Уместо да се инсталира као било који други програм, он се ослања на компоненте које су већ присутне у систему (скрипте, сервисе, интерпретаторе команди итд.) да би учитао и извршио своје инструкције директно у меморији.
Са техничке тачке гледишта, овај злонамерни софтвер обично да се убризга у процесе који су већ у току или се могу покренути помоћу команди које све учитавају у РАМ меморију. То значи да, када се рачунар искључи или поново покрене, многе варијанте нестају, али у међувремену имају довољно времена да изазову озбиљну штету.
У поређењу са злонамерним софтвером заснованим на датотекама, ове претње су лакши, дискретнији и много тежи за праћењеНећете пронаћи сумњиву .exe датотеку на диску, нити нужно злонамерни инсталатер: проблем лежи у ономе што се дешава унутар процеса који изгледају поуздано.
Успон овог приступа је нагло порастао око 2017. године, када су кампање почеле да комбинују технике без датотека са тројанци-кликери, напредни рекламни софтвер и алати за удаљени приступ (RAT)Данас су интегрисани у све врсте операција: од шпијунаже и АПТ-ова до рансомвера и крипто-рударења.
Како злонамерни софтвер без датотека функционише изнутра
Да бисте разумели како то функционише, вреди запамтити да се већина нормалних апликација дистрибуира као датотека која се записује на диск, а затим учитава у меморију када га корисник покрене. Злонамерни софтвер без датотека, с друге стране, прескаче први корак и материјализује се директно у РАМ меморији користећи механизме самог оперативног система.
Многе кампање се ослањају на идеју „живљења од земље“ (живећи од земље): нападач злоупотребљава легитимна административна овлашћења уместо увођења нових бинарних датотека. На Windows-у, главни пример је PowerShell, али се искоришћавају и WMI, mshta, rundll32, VBScript или JScript скрипте и друге поуздане бинарне датотеке (LoLBins).
Типичан сценарио би био: корисник отвори Office документ са злонамерним садржајем или кликне на фишинг линк; одатле скрипта која позива PowerShell или неки други алат за преузимање, дешифровање или убризгавање кода за следећу фазу у меморију. Све ово се може десити без креирања трајне датотеке на чврстом диску.
Још један уобичајени вектор укључује искоришћавање рањивости у даљинском извршавању кода, као што су препуњавање бафера у прегледачима, додацима или серверским апликацијама. Искоришћавањем рањивости, нападач може директно да изврши шел код унутар рањивог процеса и, одатле, учита остатак компоненти у меморију.
Неке варијанте чак прибегавају Windows регистар или заказани задаци да чува скрипте или команде које поново активирају напад када се систем покрене или се корисник пријави. Чак и ако се нешто упише у регистар, главна злонамерна логика наставља да се извршава у меморији, што отежава њено откривање алатима усмереним искључиво на систем датотека.
Методе инфекције и почетни приступ
Улазна врата су обично прилично класична: фишинг имејлови, злонамерни линкови и фалсификовани документи Они остају краљеви почетног приступа, иако се испод користе технике без датотека. Цака је у томе што се кроз цео ланац улаже сваки напор да се минимизира било какав отисак диска.
У многим инцидентима се користе Microsoft Office документи са макроима Када се активирају, ови макрои позивају PowerShell или WMI да преузму и изврше следећу фазу напада у меморији. Чак и без макроа, нападачи искоришћавају рањивости у Word-у, Excel-у, ПДФ читачи или сам скриптни механизам да би се постигло извршавање кода.
Други приступ укључује директно коришћење наизглед безопасне извршне датотеке који корисник добија путем имејла или преузима са веба. Ова извршна датотека може да издвоји злонамерни модул и учита га у меморију користећи технике као што је рефлексија у .NET-у, без стварног чувања на диску као засебне датотеке.
Такође постоје кампање усмерене на веб сервере или апликације изложене интернету, где се рањивост користи за постављање веб шкољке са компонентама без датотекаНедавни пример је употреба Годзиле и сличних алата, у којима злонамерни код путује унутар HTTP захтева и убризгава се директно у меморију на компромитованом серверу.
Коначно, нападачи често прибегавају украдени акредитивиАко добију корисничко име и лозинку администратора или привилегованог налога, могу се пријавити путем RDP-а или других канала и ручно покренути PowerShell скрипте, WMI команде или административне алате који учитавају злонамерни софтвер у меморију без остављања нових извршних датотека на систему.
Специфичне технике које користи злонамерни софтвер без датотека
Један од кључева ових напада је поновна употреба изворни Виндовс алати као средство за њихове скрипте. Због тога се злонамерне активности мешају са нормалним административним задацима, што компликује анализу и реаговање.
Међу најчешћим техникама налазимо употребу PowerShell као уграђени покретач кода директно из командне линије. На пример, замаскирани скрипт се прослеђује као параметар, политика извршавања је онемогућена, прозор је скривен, а корисни терет се директно преузима у меморију, све то без остављања видљивим .ps1 датотеке или било које сумњиве извршне датотеке.
Још једна веома популарна тактика је чување злонамерних скрипти у Претплате на Windows Management Instrumentation (WMI)С времена на време, WMI покреће скрипту која може да извршава код из меморије, повезује се са командним и контролним серверима или покреће нове фазе инфекције.
Слично томе, многе групе користе Windows регистар и распоређивач задатака као уточиште за своје скрипте и команде. Уместо да извршну датотеку ставе у фолдер за покретање, они дефинишу кључеве за покретање или заказане задатке који покрећу PowerShell, mshta или rundll32 скрипте са уграђеним или кодом у ходу.
Технике се такође виде у рефлексија у .NET-угде лагани извршни фајл садржи шифроване или компресоване склопове који се директно учитавају у меморију помоћу Reflection.Load-а, без икаквог записивања као .dll датотеке на диск. Ово омогућава распоређивање веома софистицираних тројанских коња у оквиру једног, наизглед нормалног процеса.
Шта може да уради напад без датотека?
Упркос свом имену, напад без датотека није ограничен у свом утицају. У ствари, може да изврши исте функције као и традиционални злонамерни софтверкрађа информација, шифровање података, латерално кретање, шпијунажа, рударење криптовалута или инсталирање трајних задњих врата.
Многе кампање без датотека се понашају као крадљивац акредитиваОво подразумева снимање лозинки, токена сесије или хешева за аутентификацију из меморије осетљивих процеса. Ово олакшава ескалацију привилегија, компромитовање више система и одржавање дужег приступа без прибегавања додатним бинарним датотекама.
Други се фокусирају на ransomware без датотекагде се део логике шифровања и комуникације извршава директно у меморији. Иако се компонента диска може у неком тренутку појавити као да манипулише великим бројем датотека, почетно учитавање и контрола напада се врше техникама без датотека како би се избегло рано откривање.
Нападачи такође могу да инсталирају руткитови или напредни RAT-ови Једном када се успоставе, ови алати користе канале без датотека за примање команди, кретање по мрежи и ажурирање модула. Пошто су интегрисани у системске процесе или критичне сервисе, ове алате је посебно тешко искоренити.
На економском плану, утицај се претвара у губитак података, прекиди услуга, регулаторне казне и штета на репутацијиПошто ови упади често остају неоткривени месецима, количина украдених информација и обим кршења могу бити огромни.
Фазе напада злонамерног софтвера без датотека
Иако су технички аспекти различити, животни циклус напада без датотека је прилично сличан животном циклусу било ког напредног упада. Које су промене? механизми који се користе у свакој фази и начин на који се камуфлирају.
У фази од почетни приступНападачу је потребан почетни упориште: клик на фишинг линк, отварање документа који садржи макрое, искоришћавање рањивог сервера или поновна употреба угрожених акредитива. Одатле је циљ извршавање кода унутар циљног система.
Када се тај корак постигне, почиње следећа фаза извршење у меморијиОвде долазе до изражаја PowerShell, WMI, mshta, rundll32, VBScript, JScript или други интерпретатори који учитавају и активирају корисни терет без генерисања трајних извршних датотека на диску. Код је обично обфусциран или шифрован и дешифрован само у RAM меморији.
Онда почиње потера упорностИако многи корисни терет без датотека нестаје када се рачунар поново покрене, софистицирани нападачи комбинују скрипте које се налазе у РАМ меморији са кључевима регистра, заказаним задацима или WMI претплатама које поново покрећу код сваки пут када се испуни одређени услов, као што је покретање система или пријава корисника.
Коначно, коначни циљеви Акције нападача укључују: крађу и извлачење података, шифровање информација, распоређивање још више злонамерног софтвера, континуирану шпијунажу и саботажу критичних система. Све се ово ради уз покушај одржавања најнижег могућег профила како би се избегла рана упозорења и форензичка анализа.
Зашто је тако тешко открити?
Велики проблем са злонамерним софтвером без датотека је тај што Разбија класични модел одбране заснован на датотекама и потписимаАко нема сумњивог извршног фајла за анализу, многи антивирусни системи остају слепи за оно што се дешава у меморији и легитимним процесима.
Одсуство датотека на диску подразумева да Нема објеката за периодично скенирање у потрази за познатим обрасцима. Штавише, коришћењем бинарних датотека које је потписао сам оперативни систем, као што су PowerShell.exe, wscript.exe или rundll32.exe, злонамерна активност се прикрива иза имена којима администратор обично верује.
Поред тога, многи наслеђени производи имају Ограничен увид у покренуте процесеОни се фокусирају на систем датотека и мрежни саобраћај, али једва да испитују интерне API позиве, параметре командне линије, понашање скрипти или догађаје у регистру који би могли да одају напад без датотека.
Нападачи, свесни ових ограничења, прибегавају технике замагљивања, шифровања и фрагментације кодаНа пример, они деле злонамерни скрипт на неколико фрагмената који се склапају у реалном времену, или крију инструкције унутар слика, уграђених ресурса или наизглед безопасних стрингова.
У окружењима где се системи ретко поново покрећу (критични сервери, производни терминали итд.), малвер који је стално у меморији може остају активни недељама или месецима а да вас не открију, посебно ако се крећете опрезно и минимизирате гужву саобраћаја или упадљиве радње.
Ограничења традиционалне одбране
Првобитни одговор многих добављача на ову претњу био је да покушају ограничите или директно блокирајте алате попут PowerShell-а или Office макроаИако може смањити неке векторе, то није реалистично или потпуно решење у већини организација.
PowerShell је постао кључна компонента за администрацију Windows системаАутоматизација задатака, имплементација софтвера и управљање серверима. Потпуно блокирање би паралисало ИТ токове рада и приморало на поновно покретање бројних интерних процеса.
Штавише, са становишта нападача, постоји више начина да се заобилажење једноставне политике блокирањаПостоје технике за учитавање PowerShell механизма из библиотека (dll) помоћу rundll32, претварање скрипти у извршне датотеке помоћу алата као што је PS2EXE, коришћење модификованих копија PowerShell.exe или чак уграђивање PowerShell скрипти у PNG слике и њихово покретање помоћу замаскираних командних линија.
Нешто слично се дешава са Office макроима: Многе компаније зависе од њих аутоматизовати извештаје, прорачуне и пословне процесе. Њихово глобално онемогућавање може покварити интерне апликације, док ослањање искључиво на статичку анализу VBA кода често резултира тешком стопом лажно позитивних и лажно негативних резултата.
Поред тога, неки приступи засновани на детекција као услуга у облаку Захтевају сталну повезаност и понекад раде са превеликим кашњењем како би спречили почетно извршавање злонамерног софтвера. Ако се одлука о блокирању донесе неколико секунди или минута касније, штета је можда већ начињена.
Фокус се помера: са датотека на понашање
Пошто фасцикла више није главни елемент, савремена одбрамбена решења се фокусирају на пратити понашање процеса уместо самог прегледа садржаја датотека. Идеја је да, иако постоје хиљаде варијанти злонамерног софтвера, обрасци злонамерних активности су много мање разноврсни.
Овај приступ се ослања на моторе анализа понашања и машинско учење који континуирано прате шта сваки процес ради: које команде покреће, које системске ресурсе додирује, како комуницира са спољним светом и које промене покушава да уведе у окружење.
На пример, Office процес може бити означен као сумњив ако извршава замаскирану PowerShell команду са параметрима за онемогућавање безбедносних политика и преузимање кода са сумњивог домена. Или процес који, без икаквог очигледног разлога, изненада приступа стотинама осетљивих датотека или мења критичне кључеве регистра.
Најновија генерација EDR система и XDR платформи прикупља детаљна телеметрија крајњих тачака, сервера и мрежеи способни су да реконструишу комплетне приче (понекад назване „StoryLines“) о томе како је инцидент настао, који су процеси били укључени и које су промене погођена машина претрпела.
Добар бихејвиорални механизам не само да детектује претњу, већ може и ублажити или аутоматски поништити злонамерне радње: зауставити укључене процесе, изоловати рачунар, вратити шифроване датотеке, поништити измене у регистру и прекинути комуникацију са доменима команде и контроле.
Технологије и извори кључних догађаја у оперативном систему Windows
За анализу претњи без датотека у оперативном систему Windows, посебно је корисно искористити Механизми телеметрије нативног оперативног система, који су већ ту и нуде много информација о томе шта се дешава иза кулиса.
С једне стране је Праћење догађаја за Виндовс (ЕТВ)ETW је оквир који омогућава снимање веома детаљних догађаја везаних за извршавање процеса, API позиве, приступ меморији и друге интерне системске аспекте. Многа EDR решења се ослањају на ETW како би открила атипично понашање у реалном времену.
Још један кључни део је Интерфејс за скенирање против малвера (АМСИ)AMSI је API који је дизајнирао Microsoft како би омогућио безбедносним системима да прегледају скрипте и динамички садржај непосредно пре покретања, чак и ако је замаскиран. AMSI је посебно користан са PowerShell-ом, VBScript-ом, JScript-ом и другим скриптним језицима.
Поред тога, модерни мотори се периодично анализирају осетљиве области као што су регистар, распоред задатака, WMI претплате или политике извршавања скриптиСумњиве промене у овим областима су често знак да је напад без датотека успоставио перзистентност.
Све ово је допуњено хеуристикама које узимају у обзир не само тренутни процес, већ и контекст извршењаодакле долази родитељски процес, каква је мрежна активност примећена пре и после, да ли је било чудних кварова, аномалних блокада или других сигнала који, заједно, указују на сумњу.
Практичне стратегије откривања и превенције
У пракси, заштита од ових претњи подразумева комбиновање технологија, процеси и обукаНије довољно инсталирати антивирус и заборавити на њега; потребна је слојевита стратегија прилагођена стварном понашању злонамерног софтвера без датотека.
На техничком нивоу, неопходно је распоредити EDR или XDR решења са могућностима анализе понашања и видљивошћу на нивоу процеса. Ови алати морају бити у стању да снимају и корелирају активности у реалном времену, блокирају аномално понашање и пружају јасне форензичке информације безбедносном тиму.
Такође је згодно Ограничавање употребе PowerShell-а, WMI-ја и других интерпретера на оно што је строго неопходно, примењујући листе контроле приступа, потписивање скрипти (потписивање кода) и политике извршавања које ограничавају који код може да се покреће и са којим привилегијама.
Са стране корисника, обука остаје кључна: неопходно је ојачати свест о фишингу, сумњивим линковима и неочекиваним документимаОво је посебно важно међу особљем са приступом осетљивим информацијама или високим привилегијама. Смањење броја непажљивих кликова значајно смањује површину за напад.
Коначно, не може се занемарити ни циклус ажурирања закрпа и софтвераМноги ланци без датотека почињу искоришћавањем познатих рањивости за које већ постоје закрпе. Одржавање прегледача, додатака, пословних апликација и оперативних система ажурираним затвара драгоцена врата за нападаче.
Управљане услуге и лов на претње
У средњим и великим организацијама, где је обим догађаја огроман, интерном тиму је тешко да све види. Зато им расте популарност. услуге праћења и управљаног одговора (MDR/EMDR) и центри за спољне безбедносне операције (SOC).
Ове услуге комбинују напредну технологију са тимови аналитичара који прате 24/7 окружења својих клијената, корелирајући слабе сигнале који би иначе остали непримећени. Идеја је да се открију понашања типична за злонамерни софтвер без датотека пре него што дође до штете.
Многи SOC-ови се ослањају на оквире као што су МИТЕР АТТ&ЦК да каталогизују тактике, технике и процедуре противника (TTP) и изграде специфична правила усмерена ка извршавању у меморији, злоупотреби LoLBins-ова, злонамерном WMI-ју или прикривеним обрасцем крађе података.
Поред континуираног праћења, ове услуге обично укључују форензичка анализа, реаговање на инциденте и консултације да се побољша безбедносна архитектура, затворе понављајући недостаци и ојачају контроле на крајњим тачкама и серверима.
За многе компаније, аутсорсинг дела ове функције је најодрживији начин да се прате тако сложени претње, јер не могу сви да приуште интерни тим специјализован за лов на напредни малвер.
Реалност је да је злонамерни софтвер без датотека заувек променио начин на који разумемо безбедност крајњих тачака: Датотеке више нису једини кључни индикаторИ само комбинација дубоке видљивости, анализе понашања, добрих управљачких пракси и проширене културе сајбер безбедности може то држати на одстојању на свакодневној бази.
