มัลแวร์ไร้ไฟล์: มันคืออะไร ทำงานอย่างไร และจะป้องกันได้อย่างไร

การผจญภัยสากล » ทั่วไป » มัลแวร์ไร้ไฟล์: มันคืออะไร ทำงานอย่างไร และจะป้องกันได้อย่างไร

ในปีที่ผ่านมา มัลแวร์ไร้ไฟล์ มัลแวร์แบบไร้ไฟล์ได้กลายเป็นปัญหาใหญ่ที่สุดอย่างหนึ่งสำหรับทีมไอทีและทีมรักษาความปลอดภัย เราไม่ได้พูดถึงไวรัสทั่วไปที่คุณดาวน์โหลดผ่านไฟล์แนบและสามารถกำจัดได้ด้วยการสแกนไวรัส แต่เป็นสิ่งที่ซ่อนตัวได้แนบเนียนกว่ามาก โดยจะแทรกซึมเข้าไปในกระบวนการทำงานของระบบเอง

ภัยคุกคามประเภทนี้ใช้ประโยชน์จากช่องโหว่ เครื่องมือระบบปฏิบัติการที่ถูกต้องตามกฎหมายโดยเฉพาะบนระบบปฏิบัติการ Windows มันสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยตรงในหน่วยความจำ RAM ได้ เนื่องจากมันแทบไม่ทิ้งร่องรอยใดๆ บนดิสก์ จึงสามารถหลบเลี่ยงโปรแกรมป้องกันไวรัสแบบดั้งเดิมได้หลายโปรแกรม และยังคงทำงานอยู่ได้นานพอที่จะขโมยข้อมูล เข้ารหัสไฟล์ หรือรักษาช่องโหว่โดยไม่ถูกตรวจพบ

มัลแวร์แบบไร้ไฟล์คืออะไรกันแน่?

เมื่อเราพูดถึงมัลแวร์แบบไร้ไฟล์ เราหมายถึง... โค้ดที่เป็นอันตรายซึ่งไม่ขึ้นอยู่กับไฟล์ปฏิบัติการแบบคลาสสิกบนดิสก์ เพื่อให้ทำงานได้ แทนที่จะติดตั้งเหมือนโปรแกรมอื่นๆ โปรแกรมนี้อาศัยส่วนประกอบที่มีอยู่แล้วในระบบ (สคริปต์ บริการ ตัวแปลคำสั่ง ฯลฯ) ในการโหลดและเรียกใช้คำสั่งโดยตรงในหน่วยความจำ

จากมุมมองทางเทคนิค มัลแวร์ชนิดนี้มักจะ เพื่อแทรกเข้าไปในกระบวนการที่กำลังทำงานอยู่แล้ว หรืออาจเรียกใช้งานโดยใช้คำสั่งที่โหลดทุกอย่างเข้าไปในหน่วยความจำหลัก (RAM) ซึ่งหมายความว่า เมื่อปิดเครื่องคอมพิวเตอร์หรือรีสตาร์ท โปรแกรมหลายเวอร์ชันจะหายไป แต่ในระหว่างนั้น พวกมันจะมีเวลามากพอที่จะก่อให้เกิดความเสียหายร้ายแรงได้

เมื่อเปรียบเทียบกับมัลแวร์ที่ทำงานบนไฟล์ ภัยคุกคามเหล่านี้คือ เบากว่า แนบเนียนกว่า และติดตามได้ยากกว่ามากคุณจะไม่พบไฟล์ .exe ที่น่าสงสัยบนดิสก์ หรือโปรแกรมติดตั้งที่เป็นอันตรายแต่อย่างใด ปัญหาอยู่ที่สิ่งที่เกิดขึ้นภายในกระบวนการที่ดูเหมือนจะน่าเชื่อถือต่างหาก

แนวทางนี้ได้รับความนิยมอย่างมากในช่วงปี 2017 เมื่อแคมเปญต่างๆ เริ่มผสมผสานเทคนิคที่ไม่ต้องใช้ไฟล์เข้ากับ... มัลแวร์ประเภทคลิกเกอร์ โทรจัน แอดแวร์ขั้นสูง และเครื่องมือเข้าถึงระยะไกล (RATs)ปัจจุบันเทคโนโลยีเหล่านี้ถูกนำไปผสานรวมเข้ากับการปฏิบัติการทุกรูปแบบ ตั้งแต่การจารกรรมและการโจมตีแบบ APT ไปจนถึงแรนซัมแวร์และการขุดคริปโตเคอร์เรนซี

มัลแวร์ไร้ไฟล์ทำงานอย่างไรจากภายใน

เพื่อให้เข้าใจวิธีการทำงาน เราควรจำไว้ว่าแอปพลิเคชันทั่วไปส่วนใหญ่จะถูกแจกจ่ายในรูปแบบนี้ ไฟล์ที่ถูกเขียนลงดิสก์แล้วโหลดเข้าสู่หน่วยความจำ เมื่อผู้ใช้เรียกใช้งาน โปรแกรมมัลแวร์แบบไร้ไฟล์จะทำงาน ในทางกลับกัน มัลแวร์แบบไร้ไฟล์จะข้ามขั้นตอนแรกไป และปรากฏตัวโดยตรงในหน่วยความจำ RAM โดยใช้กลไกของระบบปฏิบัติการเอง

แคมเปญจำนวนมากอาศัยแนวคิดเรื่อง "การดำรงชีวิตด้วยทรัพยากรจากธรรมชาติ" (อาศัยอยู่นอกแผ่นดิน): ผู้โจมตี ละเมิดอำนาจบริหารที่ชอบด้วยกฎหมาย แทนที่จะแนะนำไบนารีใหม่ ตัวอย่างที่เด่นชัดที่สุดใน Windows คือ PowerShell แต่ WMI, mshta, rundll32, สคริปต์ VBScript หรือ JScript และไบนารีที่เชื่อถือได้อื่นๆ (LoLBins) ก็ถูกโจมตีเช่นกัน

สถานการณ์ทั่วไปอาจเป็นดังนี้: ผู้ใช้เปิดเอกสาร Office ที่มีเนื้อหาที่เป็นอันตราย หรือคลิกที่ลิงก์ฟิชชิ่ง จากนั้น... สคริปต์ที่เรียกใช้ PowerShell หรือใช้เครื่องมืออื่นในการดาวน์โหลด ถอดรหัส หรือแทรกโค้ดสำหรับขั้นตอนถัดไปลงในหน่วยความจำ ทั้งหมดนี้สามารถทำได้โดยไม่ต้องสร้างไฟล์ถาวรบนฮาร์ดไดรฟ์

อีกหนึ่งวิธีที่พบบ่อยคือการฉวยโอกาส ช่องโหว่การเรียกใช้โค้ดจากระยะไกลเช่น ช่องโหว่บัฟเฟอร์โอเวอร์โฟลว์ในเบราว์เซอร์ ปลั๊กอิน หรือแอปพลิเคชันเซิร์ฟเวอร์ โดยการใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีสามารถเรียกใช้เชลล์โค้ดโดยตรงภายในกระบวนการที่มีช่องโหว่ และจากนั้นโหลดส่วนประกอบที่เหลือเข้าสู่หน่วยความจำได้

บางรูปแบบถึงกับใช้วิธีอื่น รีจิสทรีของ Windows หรืองานที่กำหนดเวลาไว้ เพื่อจัดเก็บสคริปต์หรือคำสั่งที่จะเปิดใช้งานการโจมตีอีกครั้งเมื่อระบบเริ่มต้นหรือผู้ใช้ล็อกอิน แม้ว่าจะมีการเขียนบางสิ่งลงในรีจิสทรีแล้ว แต่ตรรกะที่เป็นอันตรายหลักยังคงทำงานในหน่วยความจำ ทำให้ตรวจจับได้ยากด้วยเครื่องมือที่เน้นเฉพาะระบบไฟล์เท่านั้น

วิธีการติดเชื้อและการเข้าถึงเบื้องต้น

ประตูหน้าบ้านมักจะมีดีไซน์แบบคลาสสิก: อีเมลหลอกลวง ลิงก์ที่เป็นอันตราย และเอกสารปลอม พวกเขายังคงเป็นเจ้าแห่งการเข้าถึงข้อมูลเบื้องต้น แม้ว่าจะใช้เทคนิคแบบไร้ไฟล์อยู่เบื้องหลังก็ตาม เคล็ดลับอยู่ที่ว่าตลอดทั้งกระบวนการนั้น มีความพยายามทุกวิถีทางเพื่อลดการใช้พื้นที่ดิสก์ให้น้อยที่สุด

ในหลายกรณีมีการใช้งาน เอกสาร Microsoft Office ที่มีมาโคร เมื่อเปิดใช้งาน มาโครเหล่านี้จะเรียกใช้ PowerShell หรือ WMI เพื่อดาวน์โหลดและดำเนินการขั้นตอนต่อไปของการโจมตีในหน่วยความจำ แม้ไม่มีมาโคร ผู้โจมตีก็สามารถใช้ประโยชน์จากช่องโหว่ใน Word, Excel ได้เช่นกัน โปรแกรมอ่าน PDF หรือใช้เอนจินสคริปต์เองเพื่อทำการเรียกใช้โค้ด

อีกแนวทางหนึ่งเกี่ยวข้องกับการใช้ประโยชน์โดยตรง ไฟล์ปฏิบัติการที่ดูเหมือนไม่มีอันตราย ไฟล์ดังกล่าวซึ่งผู้ใช้ได้รับผ่านทางอีเมลหรือดาวน์โหลดจากเว็บไซต์ สามารถดึงโมดูลที่เป็นอันตรายออกมาและโหลดเข้าสู่หน่วยความจำโดยใช้เทคนิคต่างๆ เช่น การสะท้อน (reflection) ใน .NET โดยไม่ต้องบันทึกลงดิสก์เป็นไฟล์แยกต่างหาก

นอกจากนี้ ยังมีแคมเปญที่มุ่งเป้าไปที่เว็บเซิร์ฟเวอร์หรือแอปพลิเคชันที่เปิดเผยสู่สาธารณะทางอินเทอร์เน็ต โดยใช้ช่องโหว่ดังกล่าวในการโจมตี เว็บเชลล์ที่มีส่วนประกอบแบบไม่ใช้ไฟล์ตัวอย่างล่าสุดคือการใช้ Godzilla และเครื่องมือที่คล้ายกัน ซึ่งโค้ดที่เป็นอันตรายจะแทรกซึมไปพร้อมกับคำขอ HTTP และถูกฉีดเข้าไปในหน่วยความจำโดยตรงบนเซิร์ฟเวอร์ที่ถูกโจมตี

สุดท้ายนี้ ผู้โจมตีมักจะใช้กลยุทธ์ต่างๆ ข้อมูลประจำตัวที่ถูกขโมยหากพวกเขาสามารถเข้าถึงชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบหรือบัญชีที่มีสิทธิ์พิเศษได้ พวกเขาสามารถล็อกอินผ่าน RDP หรือช่องทางอื่น ๆ และเรียกใช้สคริปต์ PowerShell คำสั่ง WMI หรือเครื่องมือการจัดการด้วยตนเอง เพื่อโหลดมัลแวร์เข้าไปในหน่วยความจำโดยไม่ทิ้งไฟล์ปฏิบัติการใหม่ใด ๆ ไว้ในระบบ

เทคนิคเฉพาะที่ใช้โดยมัลแวร์ไร้ไฟล์

หนึ่งในกุญแจสำคัญของการโจมตีเหล่านี้คือการนำกลับมาใช้ใหม่ เครื่องมือ windows ดั้งเดิม ใช้เป็นช่องทางสำหรับสคริปต์ของพวกเขา ซึ่งทำให้กิจกรรมที่เป็นอันตรายกลมกลืนกับงานบริหารปกติ ส่งผลให้การวิเคราะห์และการตอบสนองทำได้ยากขึ้น

หนึ่งในเทคนิคที่พบได้บ่อยที่สุดคือการใช้ PowerShell ในฐานะตัวเรียกใช้งานโค้ดแบบฝังตัว โดยตรงจากบรรทัดคำสั่ง ตัวอย่างเช่น สคริปต์ที่เข้ารหัสลับจะถูกส่งเป็นพารามิเตอร์ นโยบายการดำเนินการจะถูกปิดใช้งาน หน้าต่างจะถูกซ่อน และเพย์โหลดจะถูกดาวน์โหลดลงในหน่วยความจำโดยตรง ทั้งหมดนี้โดยไม่ทิ้งไฟล์ .ps1 หรือไฟล์ปฏิบัติการที่น่าสงสัยใดๆ ให้เห็น

อีกหนึ่งกลยุทธ์ที่ได้รับความนิยมอย่างมากคือการจัดเก็บสคริปต์ที่เป็นอันตรายไว้ใน การสมัครใช้งาน Windows Management Instrumentation (WMI)ในบางครั้ง WMI จะเรียกใช้สคริปต์ ซึ่งสามารถเรียกใช้โค้ดจากหน่วยความจำ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ หรือเริ่มขั้นตอนใหม่ของการติดเชื้อได้

ในทำนองเดียวกัน หลายกลุ่มก็ใช้ รีจิสทรีของ Windows และตัวกำหนดเวลาทำงาน เพื่อเป็นที่เก็บสคริปต์และคำสั่งต่างๆ แทนที่จะวางไฟล์ปฏิบัติการไว้ในโฟลเดอร์เริ่มต้น พวกเขาจะกำหนดคีย์เริ่มต้นหรือกำหนดเวลาทำงานที่เรียกใช้สคริปต์ PowerShell, mshta หรือ rundll32 พร้อมโค้ดที่ฝังอยู่หรือโค้ดที่ทำงานแบบเรียลไทม์

เทคนิคเหล่านี้ยังพบเห็นได้ใน การสะท้อนใน .NETโดยไฟล์ปฏิบัติการขนาดเล็กนั้นประกอบด้วยแอสเซมบลีที่เข้ารหัสหรือบีบอัด ซึ่งจะถูกโหลดเข้าสู่หน่วยความจำโดยตรงโดยใช้ Reflection.Load โดยไม่ต้องเขียนเป็นไฟล์ .dll ลงดิสก์เลย วิธีนี้ทำให้สามารถติดตั้งโทรจันที่ซับซ้อนมาก ๆ ภายในกระบวนการเดียวที่ดูเหมือนปกติได้

การโจมตีแบบไม่ใช้ไฟล์สามารถทำอะไรได้บ้าง?

แม้ชื่อจะบอกว่าไร้ไฟล์ แต่ผลกระทบไม่ได้จำกัดอยู่แค่เพียงเท่านั้น ในความเป็นจริง มันสามารถดำเนินการได้หลากหลายรูปแบบ ฟังก์ชันการทำงานเหมือนกับมัลแวร์แบบดั้งเดิมการขโมยข้อมูล การเข้ารหัสข้อมูล การเคลื่อนย้ายข้อมูลในแนวนอน การจารกรรม การขุดคริปโตเคอร์เรนซี หรือการติดตั้งช่องโหว่ถาวร

แคมเปญที่ไม่ใช้ไฟล์จำนวนมากทำงานในลักษณะนี้ ขโมยข้อมูลประจำตัววิธีการนี้เกี่ยวข้องกับการดักจับรหัสผ่าน โทเค็นเซสชัน หรือแฮชการตรวจสอบสิทธิ์จากหน่วยความจำของกระบวนการที่สำคัญ ซึ่งทำให้การยกระดับสิทธิ์ การเจาะระบบได้มากขึ้น และการเข้าถึงเป็นเวลานานโดยไม่ต้องใช้ไบนารีเพิ่มเติมทำได้ง่ายขึ้น

คนอื่นๆ มุ่งเน้นไปที่ แรนซัมแวร์แบบไม่มีไฟล์โดยส่วนหนึ่งของตรรกะการเข้ารหัสและการสื่อสารจะถูกประมวลผลโดยตรงในหน่วยความจำ แม้ว่าส่วนประกอบของดิสก์อาจปรากฏขึ้นในบางจุดเพื่อจัดการไฟล์จำนวนมาก แต่การโหลดและการควบคุมการโจมตีในขั้นต้นจะดำเนินการด้วยเทคนิคที่ไม่ใช้ไฟล์เพื่อหลีกเลี่ยงการตรวจจับในระยะเริ่มต้น

ผู้โจมตีสามารถติดตั้งได้เช่นกัน รูทคิตหรือ RAT ขั้นสูง เมื่อติดตั้งแล้ว เครื่องมือเหล่านี้จะใช้ช่องทางที่ไม่ต้องใช้ไฟล์ในการรับคำสั่ง ส่งข้อมูลผ่านเครือข่าย และอัปเดตโมดูล เนื่องจากเครื่องมือเหล่านี้ถูกรวมเข้ากับกระบวนการของระบบหรือบริการที่สำคัญ จึงยากที่จะกำจัดออกไปได้เป็นพิเศษ

ในด้านเศรษฐกิจ ผลกระทบจะส่งผลให้... การสูญเสียข้อมูล การหยุดชะงักของบริการ ค่าปรับทางกฎหมาย และความเสียหายต่อชื่อเสียงเนื่องจากการบุกรุกเหล่านี้มักไม่ถูกตรวจพบเป็นเวลาหลายเดือน ปริมาณข้อมูลที่ถูกขโมยออกไปและขอบเขตของการละเมิดจึงอาจมีขนาดใหญ่มาก

ขั้นตอนของการโจมตีด้วยมัลแวร์แบบไร้ไฟล์

แม้ว่าแง่มุมทางเทคนิคจะแตกต่างกัน แต่รอบวัฏจักรของการโจมตีแบบไร้ไฟล์นั้นค่อนข้างคล้ายกับการบุกรุกขั้นสูงใดๆ สิ่งที่เปลี่ยนแปลงไปคือ... กลไกที่ใช้ในแต่ละขั้นตอน และวิธีที่พวกมันพรางตัว

อยู่ในขั้นตอนของ การเข้าถึงครั้งแรกผู้โจมตีจำเป็นต้องหาจุดเริ่มต้นในการเข้าสู่ระบบก่อน เช่น การคลิกที่ลิงก์ฟิชชิ่ง การเปิดเอกสารที่มีมาโคร การโจมตีเซิร์ฟเวอร์ที่มีช่องโหว่ หรือการใช้ข้อมูลประจำตัวที่ถูกบุกรุกซ้ำ จากนั้นเป้าหมายคือการเรียกใช้โค้ดภายในระบบเป้าหมาย

เมื่อขั้นตอนนั้นสำเร็จแล้ว ขั้นตอนต่อไปก็จะเริ่มต้นขึ้น การประมวลผลในหน่วยความจำนี่คือจุดที่ PowerShell, WMI, mshta, rundll32, VBScript, JScript หรือตัวแปลภาษาอื่นๆ เข้ามามีบทบาทในการโหลดและเรียกใช้เพย์โหลดโดยไม่ต้องสร้างไฟล์ปฏิบัติการถาวรบนดิสก์ โดยปกติแล้วโค้ดจะถูกทำให้ซับซ้อนหรือเข้ารหัส และถอดรหัสเฉพาะใน RAM เท่านั้น

จากนั้นการไล่ล่าก็เริ่มต้นขึ้น วิริยะแม้ว่ามัลแวร์แบบไร้ไฟล์จำนวนมากจะหายไปเมื่อรีสตาร์ทคอมพิวเตอร์ แต่แฮกเกอร์ที่มีความเชี่ยวชาญจะผสานสคริปต์ที่ทำงานอยู่ในหน่วยความจำ RAM เข้ากับคีย์รีจิสทรี งานที่กำหนดเวลาไว้ หรือการสมัครรับข้อมูล WMI เพื่อเรียกใช้โค้ดอีกครั้งทุกครั้งที่ตรงตามเงื่อนไขเฉพาะ เช่น การเริ่มต้นระบบหรือการเข้าสู่ระบบของผู้ใช้

สุดท้ายนี้ วัตถุประสงค์สุดท้าย การกระทำของผู้โจมตีประกอบด้วย: การขโมยและดึงข้อมูล การเข้ารหัสข้อมูล การติดตั้งมัลแวร์เพิ่มเติม การสอดแนมอย่างต่อเนื่อง และการก่อวินาศกรรมระบบที่สำคัญ ทั้งหมดนี้กระทำโดยพยายามรักษาความลับให้มากที่สุดเพื่อหลีกเลี่ยงการแจ้งเตือนล่วงหน้าและการวิเคราะห์ทางนิติวิทยาศาสตร์

ทำไมจึงตรวจจับได้ยากนัก?

ปัญหาใหญ่ของมัลแวร์แบบไร้ไฟล์คือ... มันทำลายรูปแบบการป้องกันแบบดั้งเดิมที่อิงตามไฟล์และลายเซ็นหากไม่มีไฟล์ปฏิบัติการที่น่าสงสัยให้วิเคราะห์ โปรแกรมป้องกันไวรัสหลายตัวจะไม่สามารถตรวจจับสิ่งที่เกิดขึ้นภายในหน่วยความจำและกระบวนการทำงานที่ถูกต้องได้

การที่ไม่มีไฟล์อยู่ในดิสก์หมายความว่า ไม่มีวัตถุใดให้สแกนเป็นระยะ เพื่อค้นหารูปแบบที่รู้จัก นอกจากนี้ การใช้ไฟล์ไบนารีที่ลงนามโดยระบบปฏิบัติการเอง เช่น PowerShell.exe, wscript.exe หรือ rundll32.exe จะช่วยปกปิดกิจกรรมที่เป็นอันตรายโดยใช้ชื่อที่ผู้ดูแลระบบมักไว้วางใจ

นอกจากนี้ ผลิตภัณฑ์ที่ได้รับสืบทอดมาหลายอย่างยังมี การมองเห็นกระบวนการทำงานที่จำกัดพวกเขามุ่งเน้นไปที่ระบบไฟล์และการรับส่งข้อมูลเครือข่าย แต่แทบไม่ได้ตรวจสอบการเรียกใช้ API ภายใน พารามิเตอร์บรรทัดคำสั่ง พฤติกรรมของสคริปต์ หรือเหตุการณ์รีจิสทรีที่อาจบ่งชี้ถึงการโจมตีแบบไร้ไฟล์เลย

ผู้โจมตีตระหนักถึงข้อจำกัดเหล่านี้ จึงหันไปใช้กลยุทธ์อื่น เทคนิคการปกปิด การเข้ารหัส และการแบ่งส่วนรหัสตัวอย่างเช่น พวกเขาแบ่งสคริปต์ที่เป็นอันตรายออกเป็นหลายส่วนย่อยที่นำมาประกอบกันแบบเรียลไทม์ หรือซ่อนคำสั่งไว้ในรูปภาพ ทรัพยากรที่ฝังอยู่ หรือข้อความที่ดูเหมือนไม่มีพิษภัย

ในสภาพแวดล้อมที่ระบบไม่ค่อยถูกรีสตาร์ท (เช่น เซิร์ฟเวอร์สำคัญ เทอร์มินัลสำหรับการใช้งานจริง ฯลฯ) มัลแวร์ที่ทำงานอยู่ในหน่วยความจำสามารถแพร่กระจายได้ ยังคงใช้งานได้ต่อเนื่องเป็นเวลาหลายสัปดาห์หรือหลายเดือน โดยไม่ให้ใครสังเกตเห็น โดยเฉพาะอย่างยิ่งหากคุณเคลื่อนไหวอย่างระมัดระวังและลดปริมาณการจราจรหรือการกระทำที่เด่นชัดให้น้อยที่สุด

ข้อจำกัดของการป้องกันแบบดั้งเดิม

การตอบสนองเบื้องต้นของผู้ให้บริการหลายรายต่อภัยคุกคามนี้คือการพยายาม จำกัดหรือบล็อกเครื่องมือต่างๆ เช่น PowerShell หรือมาโครของ Office โดยตรงแม้ว่าจะสามารถลดปัจจัยบางอย่างได้ แต่ก็ไม่ใช่ทางออกที่สมจริงหรือสมบูรณ์แบบสำหรับองค์กรส่วนใหญ่

PowerShell ได้กลายเป็น ส่วนประกอบสำคัญสำหรับการบริหารระบบ Windowsการทำงานอัตโนมัติ การติดตั้งซอฟต์แวร์ และการจัดการเซิร์ฟเวอร์ การปิดกั้นการทำงานเหล่านี้โดยสิ้นเชิงจะทำให้กระบวนการทำงานด้านไอทีเป็นอัมพาตและบังคับให้ต้องทำกระบวนการภายในหลายอย่างใหม่ทั้งหมด

นอกจากนี้ จากมุมมองของผู้โจมตี มีหลายวิธีที่จะ... การหลีกเลี่ยงนโยบายการบล็อกแบบง่ายๆมีเทคนิคต่างๆ ในการโหลดเอนจิน PowerShell จากไลบรารี (dll) โดยใช้ rundll32 แปลงสคริปต์ให้เป็นไฟล์ปฏิบัติการด้วยเครื่องมืออย่าง PS2EXE ใช้สำเนาที่แก้ไขแล้วของ PowerShell.exe หรือแม้กระทั่งฝังสคริปต์ PowerShell ในภาพ PNG แล้วเรียกใช้ด้วยบรรทัดคำสั่งที่ซ่อนเร้น

สิ่งที่คล้ายกันนี้เกิดขึ้นกับมาโครของ Office: บริษัทหลายแห่งพึ่งพาพวกเขา เพื่อสร้างรายงาน การคำนวณ และกระบวนการทางธุรกิจโดยอัตโนมัติ การปิดใช้งานฟังก์ชันเหล่านี้ทั่วโลกอาจทำให้แอปพลิเคชันภายในเสียหาย ในขณะที่การพึ่งพาการวิเคราะห์โค้ด VBA แบบคงที่เพียงอย่างเดียว มักส่งผลให้เกิดอัตราผลลัพธ์ที่ผิดพลาดทั้งแบบบวกเท็จและลบเท็จ ซึ่งยากต่อการจัดการ

นอกจากนี้ แนวทางบางอย่างที่อิงตาม บริการตรวจจับบนระบบคลาวด์ โปรแกรมเหล่านี้ต้องการการเชื่อมต่ออย่างต่อเนื่อง และบางครั้งก็ทำงานล่าช้าเกินไปจนไม่สามารถป้องกันการทำงานเริ่มต้นของมัลแวร์ได้ หากการตัดสินใจบล็อกเกิดขึ้นช้าไปหลายวินาทีหรือหลายนาที ความเสียหายอาจเกิดขึ้นแล้ว

จุดสนใจเปลี่ยนไป: จากไฟล์ไปสู่พฤติกรรม

เนื่องจากไฟล์ไม่ได้เป็นองค์ประกอบหลักอีกต่อไปแล้ว โซลูชันด้านการป้องกันสมัยใหม่จึงมุ่งเน้นไปที่... ตรวจสอบพฤติกรรมของกระบวนการต่างๆ แทนที่จะตรวจสอบเฉพาะเนื้อหาของไฟล์ แนวคิดก็คือ แม้จะมีมัลแวร์หลายพันชนิด แต่รูปแบบการกระทำที่เป็นอันตรายนั้นมีความหลากหลายน้อยกว่ามาก

แนวทางนี้อาศัยกลไกของ การวิเคราะห์พฤติกรรมและการเรียนรู้ของเครื่องจักร ซึ่งจะคอยตรวจสอบการกระทำของแต่ละกระบวนการอย่างต่อเนื่อง เช่น คำสั่งที่ส่งออกไป ทรัพยากรระบบที่ใช้ วิธีการสื่อสารกับโลกภายนอก และการเปลี่ยนแปลงที่พยายามนำมาใช้ในสภาพแวดล้อม

ตัวอย่างเช่น กระบวนการทำงานในโปรแกรม Office อาจถูกระบุว่าน่าสงสัยหาก... เรียกใช้คำสั่ง PowerShell ที่ถูกเข้ารหัสลับ โดยมีพารามิเตอร์สำหรับปิดใช้งานนโยบายความปลอดภัยและดาวน์โหลดโค้ดจากโดเมนที่น่าสงสัย หรือกระบวนการที่จู่ๆ ก็เข้าถึงไฟล์สำคัญหลายร้อยไฟล์หรือแก้ไขคีย์รีจิสทรีที่สำคัญโดยไม่มีเหตุผลชัดเจน

ระบบ EDR และแพลตฟอร์ม XDR รุ่นล่าสุดรวบรวมข้อมูล ข้อมูลการวัดระยะทางโดยละเอียดของอุปกรณ์ปลายทาง เซิร์ฟเวอร์ และเครือข่ายและสามารถสร้างเรื่องราวทั้งหมดขึ้นมาใหม่ได้ (บางครั้งเรียกว่า StoryLines) ว่าเหตุการณ์เกิดขึ้นได้อย่างไร มีกระบวนการอะไรบ้าง และเครื่องจักรที่ได้รับผลกระทบมีการเปลี่ยนแปลงอะไรบ้าง

ระบบวิเคราะห์พฤติกรรมที่ดีไม่เพียงแต่ตรวจจับภัยคุกคามได้เท่านั้น แต่ยังสามารถ... ลดผลกระทบหรือย้อนกลับการกระทำที่เป็นอันตรายโดยอัตโนมัติ: ยุติกระบวนการที่เกี่ยวข้อง แยกคอมพิวเตอร์ออกจากระบบ กู้คืนไฟล์ที่เข้ารหัส ยกเลิกการเปลี่ยนแปลงในรีจิสทรี และตัดการสื่อสารกับโดเมนควบคุมและสั่งการ

เทคโนโลยีและแหล่งที่มาของเหตุการณ์สำคัญใน Windows

ในการวิเคราะห์ภัยคุกคามแบบไร้ไฟล์ใน Windows การใช้ประโยชน์จากสิ่งต่อไปนี้จะเป็นประโยชน์อย่างยิ่ง กลไกการวัดระยะทางของระบบปฏิบัติการดั้งเดิมซึ่งมีอยู่แล้วและให้ข้อมูลมากมายเกี่ยวกับสิ่งที่เกิดขึ้นเบื้องหลัง

ในแง่หนึ่งคือ การติดตามเหตุการณ์สำหรับ Windows (ETW)ETW เป็นเฟรมเวิร์กที่ช่วยให้สามารถบันทึกเหตุการณ์ที่มีรายละเอียดสูงซึ่งเกี่ยวข้องกับการทำงานของกระบวนการ การเรียกใช้ API การเข้าถึงหน่วยความจำ และด้านอื่นๆ ภายในระบบ โซลูชัน EDR จำนวนมากใช้ ETW ในการตรวจจับพฤติกรรมที่ผิดปกติแบบเรียลไทม์

ชิ้นสำคัญอีกชิ้นหนึ่งคือ อินเทอร์เฟซการสแกนมัลแวร์ (AMSI)AMSI คือ API ที่ออกแบบโดย Microsoft เพื่อให้เครื่องมือรักษาความปลอดภัยสามารถตรวจสอบสคริปต์และเนื้อหาแบบไดนามิกก่อนที่จะทำงาน แม้ว่าจะมีการเข้ารหัสซ่อนเร้นไว้ก็ตาม AMSI มีประโยชน์อย่างยิ่งกับ PowerShell, VBScript, JScript และภาษาเขียนสคริปต์อื่นๆ

นอกจากนี้ เครื่องยนต์สมัยใหม่ยังได้รับการวิเคราะห์เป็นระยะๆ พื้นที่ที่มีความสำคัญ เช่น Registry, Task Scheduler, การสมัครรับข้อมูล WMI หรือนโยบายการเรียกใช้สคริปต์การเปลี่ยนแปลงที่น่าสงสัยในพื้นที่เหล่านี้มักเป็นสัญญาณบ่งชี้ว่าการโจมตีแบบไร้ไฟล์ได้แทรกซึมเข้ามาอย่างถาวรแล้ว

ทั้งหมดนี้ได้รับการเสริมด้วยหลักการเชิงอนุมานที่คำนึงถึงไม่เพียงแต่กระบวนการปัจจุบันเท่านั้น แต่ยังรวมถึง... บริบทการดำเนินการ: ตรวจสอบว่ากระบวนการหลักมาจากที่ใด มีกิจกรรมเครือข่ายใดเกิดขึ้นก่อนและหลังกระบวนการนั้นบ้าง มีความล้มเหลวแปลก ๆ การปิดกั้นที่ผิดปกติ หรือสัญญาณอื่น ๆ ที่เมื่อรวมกันแล้วทำให้เกิดความสงสัยหรือไม่

กลยุทธ์การตรวจจับและป้องกันเชิงปฏิบัติ

ในทางปฏิบัติ การป้องกันตนเองจากภัยคุกคามเหล่านี้เกี่ยวข้องกับการผสมผสานหลายวิธีเข้าด้วยกัน เทคโนโลยี กระบวนการ และการฝึกอบรมการติดตั้งโปรแกรมป้องกันไวรัสแล้วปล่อยทิ้งไว้เฉยๆ นั้นไม่เพียงพอ จำเป็นต้องมีกลยุทธ์แบบหลายชั้นที่ปรับให้เข้ากับพฤติกรรมที่แท้จริงของมัลแวร์แบบไร้ไฟล์

ในเชิงเทคนิคแล้ว การติดตั้งใช้งานนั้นเป็นสิ่งจำเป็นอย่างยิ่ง โซลูชัน EDR หรือ XDR พร้อมด้วยความสามารถในการวิเคราะห์พฤติกรรมและการมองเห็นในระดับกระบวนการ เครื่องมือเหล่านี้ต้องสามารถบันทึกและเชื่อมโยงกิจกรรมแบบเรียลไทม์ ป้องกันพฤติกรรมที่ผิดปกติ และให้ข้อมูลทางนิติวิทยาศาสตร์ที่ชัดเจนแก่ทีมรักษาความปลอดภัย

แถมยังสะดวกอีกด้วย จำกัดการใช้งาน PowerShell, WMI และตัวแปลภาษาอื่นๆ จำกัดการเข้าถึงให้เหลือเพียงสิ่งที่จำเป็นอย่างยิ่ง โดยใช้รายการควบคุมการเข้าถึง (ACCS) การลงนามสคริปต์ (Code Signing) และนโยบายการดำเนินการที่จำกัดว่าโค้ดส่วนใดสามารถทำงานได้และด้วยสิทธิ์ใดบ้าง

ในส่วนของผู้ใช้งาน การฝึกอบรมยังคงมีความสำคัญอย่างยิ่ง: จำเป็นต้องเสริมสร้างความรู้ความเข้าใจให้แน่นแฟ้นยิ่งขึ้น การตระหนักถึงภัยคุกคามจากการหลอกลวงทางอีเมล (phishing) ลิงก์ที่น่าสงสัย และเอกสารที่ไม่คาดคิดเรื่องนี้สำคัญอย่างยิ่งสำหรับบุคลากรที่เข้าถึงข้อมูลที่ละเอียดอ่อนหรือมีสิทธิ์ระดับสูง การลดจำนวนการคลิกโดยไม่ระมัดระวังจะช่วยลดความเสี่ยงจากการถูกโจมตีได้อย่างมาก

สุดท้ายนี้ เราไม่อาจมองข้ามเรื่องนี้ไปได้ วงจรการแก้ไขและอัปเดตซอฟต์แวร์มัลแวร์ประเภทไร้ไฟล์จำนวนมากเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ที่รู้จักกันดี ซึ่งมีแพทช์แก้ไขอยู่แล้ว การอัปเดตเบราว์เซอร์ ปลั๊กอิน แอปพลิเคชันระดับองค์กร และระบบปฏิบัติการให้ทันสมัยอยู่เสมอ จะช่วยปิดช่องทางสำคัญสำหรับผู้โจมตีได้

บริการจัดการและการค้นหาภัยคุกคาม

ในองค์กรขนาดกลางและขนาดใหญ่ที่มีปริมาณกิจกรรมมหาศาล ทีมงานภายในอาจไม่สามารถติดตามทุกอย่างได้ทั้งหมด นั่นจึงเป็นเหตุผลที่ทำให้แพลตฟอร์มเหล่านี้ได้รับความนิยมเพิ่มขึ้น บริการติดตามและจัดการการตอบสนอง (MDR/EMDR) และศูนย์ปฏิบัติการด้านความปลอดภัยภายนอก (SOCs)

บริการเหล่านี้ผสมผสานเทคโนโลยีขั้นสูงเข้ากับ... ทีมวิเคราะห์คอยตรวจสอบตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ โดยการวิเคราะห์สภาพแวดล้อมของลูกค้า และเชื่อมโยงสัญญาณอ่อนๆ ที่อาจมองข้ามไปได้ แนวคิดคือการตรวจจับพฤติกรรมที่typicalของมัลแวร์แบบไร้ไฟล์ก่อนที่จะเกิดความเสียหาย

ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) หลายแห่งใช้เฟรมเวิร์กต่างๆ เช่น MITER ATT&CK เพื่อจัดทำรายการกลยุทธ์ เทคนิค และขั้นตอน (TTPs) ของฝ่ายตรงข้าม และสร้างกฎเฉพาะที่มุ่งเน้นไปที่การประมวลผลในหน่วยความจำ การใช้ LoLBins ในทางที่ผิด WMI ที่เป็นอันตราย หรือรูปแบบการขโมยข้อมูลอย่างลับๆ

นอกเหนือจากการตรวจสอบอย่างต่อเนื่องแล้ว บริการเหล่านี้โดยทั่วไปยังรวมถึง การวิเคราะห์ทางนิติวิทยาศาสตร์ การตอบสนองต่อเหตุการณ์ และการให้คำปรึกษา เพื่อปรับปรุงโครงสร้างความปลอดภัย ปิดช่องโหว่ที่เกิดขึ้นซ้ำๆ และเสริมสร้างการควบคุมบนอุปกรณ์ปลายทางและเซิร์ฟเวอร์

สำหรับหลายบริษัท การว่าจ้างบริษัทภายนอกให้ดำเนินการบางส่วนของฟังก์ชันนี้เป็นวิธีที่เหมาะสมที่สุดในการรับมือกับภัยคุกคามที่ซับซ้อนเช่นนี้ เนื่องจากไม่ใช่ทุกบริษัทจะสามารถจัดตั้งทีมภายในที่เชี่ยวชาญด้านการค้นหามัลแวร์ขั้นสูงได้

ความเป็นจริงก็คือ มัลแวร์แบบไร้ไฟล์ได้เปลี่ยนแปลงวิธีการที่เราเข้าใจเรื่องความปลอดภัยของอุปกรณ์ปลายทางไปตลอดกาล: ไฟล์เอกสารไม่ใช่ตัวบ่งชี้สำคัญเพียงอย่างเดียวอีกต่อไปและมีเพียงการผสมผสานระหว่างการมองเห็นอย่างลึกซึ้ง การวิเคราะห์พฤติกรรม การบริหารจัดการที่ดี และวัฒนธรรมความปลอดภัยทางไซเบอร์ที่ครอบคลุมเท่านั้นที่จะสามารถป้องกันภัยคุกคามเหล่านี้ได้ในชีวิตประจำวัน