- Безфайлове шкідливе програмне забезпечення працює в пам'яті та зловживає легітимними інструментами, такими як PowerShell або WMI.
- Він може красти дані, шифрувати файли або шпигувати за комп'ютерами, не залишаючи помітних слідів на диску.
- Ефективне виявлення вимагає моніторингу поведінки та процесів, а не лише файлів.
- Захист вимагає EDR, сегментації, встановлення патчів та зменшення використання скриптів і макросів.
В останні роки безфайлове шкідливе програмне забезпечення Безфайлове шкідливе програмне забезпечення стало одним із найсерйозніших головних болів для ІТ-команди та команд безпеки. Йдеться не про типовий вірус, який ви завантажуєте у вкладенні та можете видалити за допомогою антивірусного сканування, а про щось набагато прихованіше, що ховається у власних процесах системи.
Цей тип загрози використовує легітимні інструменти операційної системиОсобливо у Windows, він може виконувати шкідливий код безпосередньо в оперативній пам'яті. Оскільки він майже не залишає слідів на диску, він може обходити багато традиційних антивірусних програм і залишатися активним достатньо довго, щоб красти інформацію, шифрувати файли або підтримувати бекдори, не будучи виявленим.
Що саме таке безфайлове шкідливе програмне забезпечення?
Коли ми говоримо про безфайлове шкідливе програмне забезпечення, ми маємо на увазі шкідливий код, який не залежить від класичного виконуваного файлу на диску функціонувати. Замість того, щоб встановлюватися, як будь-яка інша програма, вона покладається на компоненти, які вже присутні в системі (скрипти, служби, інтерпретатори команд тощо), для завантаження та виконання своїх інструкцій безпосередньо в пам'яті.
З технічної точки зору, це шкідливе програмне забезпечення зазвичай для впровадження в процеси, які вже запущені або їх можна запускати за допомогою команд, які завантажують усе в оперативну пам'ять. Це означає, що після вимкнення або перезавантаження комп'ютера багато варіантів зникають, але тим часом у них є достатньо часу, щоб завдати серйозної шкоди.
Порівняно зі шкідливим програмним забезпеченням на основі файлів, ці загрози легший, непомітніший і набагато складніший для відстеженняВи не знайдете на диску підозрілого exe-файлу, а також не обов'язково шкідливого інсталятора: проблема полягає в тому, що відбувається в процесах, які здаються надійними.
Зростання популярності цього підходу зросло приблизно у 2017 році, коли кампанії почали поєднувати безфайлові методи з трояни-клікери, розширене рекламне ПЗ та інструменти віддаленого доступу (RAT)Сьогодні їх інтегрували в усілякі операції: від шпигунства та APTS до програм-вимагачів та криптомайнінгу.
Як працює безфайлове шкідливе програмне забезпечення всередині
Щоб зрозуміти, як це працює, варто пам'ятати, що більшість звичайних програм розповсюджуються як файл, який записується на диск, а потім завантажується в пам'ять коли користувач запускає його. Безфайлове шкідливе програмне забезпечення, з іншого боку, пропускає перший крок і матеріалізується безпосередньо в оперативній пам'яті, використовуючи механізми самої операційної системи.
Багато кампаній спираються на ідею «жити за рахунок землі» (живуть із землі): нападник зловживає законними адміністративними повноваженнями замість введення нових бінарних файлів. У Windows яскравим прикладом є PowerShell, але також експлуатуються WMI, mshta, rundll32, скрипти VBScript або JScript, а також інші довірені бінарні файли (LoLBins).
Типовий сценарій такий: користувач відкриває документ Office зі шкідливим вмістом або натискає на фішингове посилання; звідти скрипт, який викликає PowerShell або інший інструмент для завантаження, розшифрування чи введення коду для наступного етапу в пам'ять. Все це може відбуватися без створення постійного файлу на жорсткому диску.
Ще один поширений вектор включає використання переваги вразливості віддаленого виконання коду, такі як переповнення буфера в браузерах, плагінах або серверних додатках. Використовуючи цю вразливість, зловмисник може безпосередньо виконати шелл-код у вразливому процесі та звідти завантажити решту компонентів у пам'ять.
Деякі варіанти навіть вдаються до Реєстр Windows або заплановані завдання зберігати скрипти або команди, які повторно активують атаку під час запуску системи або входу користувача в систему. Навіть якщо щось записується до реєстру, основна логіка шкідливого коду продовжує виконуватися в пам'яті, що ускладнює його виявлення інструментами, орієнтованими виключно на файлову систему.
Методи зараження та початковий доступ
Вхідні двері зазвичай досить класичні: фішингові електронні листи, шкідливі посилання та підроблені документи Вони залишаються королями початкового доступу, навіть попри те, що в основі використовуються безфайлові методи. Хитрощі в тому, що протягом усього ланцюжка докладаються всі зусилля для мінімізації займаного місця на диску.
У багатьох випадках вони використовуються Документи Microsoft Office з макросами Після активації ці макроси викликають PowerShell або WMI для завантаження та виконання наступного етапу атаки в пам'яті. Навіть без макросів зловмисники використовують вразливості в Word, Excel, Зчитувачі PDF або сам механізм сценаріїв для забезпечення виконання коду.
Інший підхід передбачає пряме використання на перший погляд нешкідливі виконувані файли який користувач отримує електронною поштою або завантажує з Інтернету. Цей виконуваний файл може витягти шкідливий модуль та завантажити його в пам'ять за допомогою таких методів, як відображення в .NET, без фактичного збереження його на диску як окремого файлу.
Також існують кампанії, спрямовані на веб-сервери або програми, що піддаються доступу до Інтернету, де вразливість використовується для розгортання веб-оболонки з безфайловими компонентамиНещодавнім прикладом є використання Godzilla та подібних інструментів, у яких шкідливий код поширюється в HTTP-запитах та вводиться безпосередньо в пам'ять на скомпрометованому сервері.
Зрештою, зловмисники часто вдаються до вкрадені облікові даніЯкщо вони отримають ім'я користувача та пароль адміністратора або привілейованого облікового запису, вони можуть увійти через RDP або інші канали та вручну запускати скрипти PowerShell, команди WMI або адміністративні інструменти, які завантажують шкідливе програмне забезпечення в пам'ять, не залишаючи жодних нових виконуваних файлів у системі.
Специфічні методи, що використовуються безфайловим шкідливим програмним забезпеченням
Одним із ключів до цих атак є повторне використання рідні засоби Windows як засіб для своїх скриптів. Це призводить до того, що шкідлива діяльність поєднується зі звичайними адміністративними завданнями, ускладнюючи аналіз та реагування.
Серед найпоширеніших технік ми знаходимо використання PowerShell як вбудований засіб запуску коду безпосередньо з командного рядка. Наприклад, обфускований скрипт передається як параметр, політика виконання вимикається, вікно приховується, а корисне навантаження завантажується безпосередньо в пам'ять, і все це без видимості файлу .ps1 або будь-якого підозрілого виконуваного файлу.
Ще одна дуже популярна тактика — це зберігання шкідливих скриптів у Підписки на інструментарій керування Windows (WMI)Час від часу WMI запускає скрипт, який може виконувати код з пам'яті, підключатися до серверів командного та контрольного управління або запускати нові етапи зараження.
Так само багато груп використовують Реєстр Windows і планувальник завдань як сховище для своїх скриптів та команд. Замість розміщення виконуваного файлу в папці автозавантаження, вони визначають ключі автозавантаження або заплановані завдання, які запускають скрипти PowerShell, mshta або rundll32 із вбудованим або «на льоту» кодом.
Техніки також спостерігаються в відображення в .NETде легкий виконуваний файл містить зашифровані або стиснуті збірки, які завантажуються безпосередньо в пам'ять за допомогою Reflection.Load, без запису на диск у вигляді DLL-файлів. Це дозволяє розгортати дуже складні трояни в межах одного, здавалося б, звичайного процесу.
Що може зробити безфайлова атака?
Незважаючи на свою назву, безфайлова атака не обмежена своїм впливом. Фактично, вона може виконувати ті ж функції, що й у традиційних шкідливих програм: крадіжка інформації, шифрування даних, горизонтальне переміщення, шпигунство, майнінг криптовалюти або встановлення постійних бекдорів.
Багато безфайлових кампаній поводяться так злодій посвідченьЦе включає захоплення паролів, токенів сеансів або хешів автентифікації з пам'яті конфіденційних процесів. Це спрощує підвищення привілеїв, компрометацію більшої кількості систем та підтримку тривалого доступу без використання додаткових бінарних файлів.
Інші зосереджуються на безфайлове програмне забезпечення-вимагачде частина логіки шифрування та зв'язку виконується безпосередньо в пам'яті. Хоча компонент диска може в певний момент маніпулювати великою кількістю файлів, початкове завантаження та контроль атаки виконуються безфайловими методами, щоб уникнути раннього виявлення.
Зловмисники також можуть встановити руткіти або розширені RAT-пакети Після встановлення ці інструменти використовують безфайлові канали для отримання команд, переміщення по мережі та оновлення модулів. Оскільки вони інтегровані в системні процеси або критично важливі служби, ці інструменти особливо важко викорінити.
З економічної точки зору, вплив проявляється в наступному: втрата даних, перебої в обслуговуванні, штрафи регуляторів та репутаційна шкодаОскільки ці вторгнення часто залишаються непоміченими протягом місяців, обсяг викраденої інформації та масштаби порушення можуть бути величезними.
Фази атаки безфайлового шкідливого програмного забезпечення
Хоча технічні аспекти відрізняються, життєвий цикл безфайлової атаки досить схожий на життєвий цикл будь-якого складного вторгнення. Які зміни механізми, що використовуються на кожному етапі і те, як вони маскуються.
На стадії початковий доступЗловмиснику потрібна початкова точка опори: клік на фішинговому посиланні, відкриття документа, що містить макроси, використання вразливого сервера або повторне використання скомпрометованих облікових даних. Після цього метою є виконання коду в цільовій системі.
Як тільки цей крок буде досягнуто, починається наступний етап виконання в пам'ятіСаме тут на допомогу приходять PowerShell, WMI, mshta, rundll32, VBScript, JScript або інші інтерпретатори, які завантажують та активують корисне навантаження без створення постійних виконуваних файлів на диску. Код зазвичай обфускується або шифрується, а розшифровується лише в оперативній пам'яті.
Тоді починається переслідування наполегливістьХоча багато безфайлових корисних навантажень зникають після перезавантаження комп'ютера, досвідчені зловмисники поєднують резидентні скрипти оперативної пам'яті з ключами реєстру, запланованими завданнями або підписками WMI, які перезапускають код щоразу, коли виконується певна умова, така як запуск системи або вхід користувача.
Зрештою, кінцеві цілі Дії зловмисника включають: крадіжку та вилучення даних, шифрування інформації, розгортання більшої кількості шкідливого програмного забезпечення, постійне шпигунство та саботаж критично важливих систем. Все це робиться, намагаючись підтримувати найнижчий можливий профіль, щоб уникнути ранніх сповіщень та судово-медичного аналізу.
Чому це так важко виявити?
Велика проблема безфайлового шкідливого програмного забезпечення полягає в тому, що Це порушує класичну модель захисту, засновану на файлах та підписахЯкщо немає підозрілого виконуваного файлу для аналізу, багато антивірусних систем залишаються сліпими щодо того, що відбувається в пам'яті та легітимних процесах.
Відсутність файлів на диску означає, що Немає об'єктів для періодичного сканування у пошуках відомих шаблонів. Крім того, використовуючи двійкові файли, підписані самою операційною системою, такі як PowerShell.exe, wscript.exe або rundll32.exe, шкідлива активність маскується за іменами, яким адміністратор зазвичай довіряє.
Крім того, багато успадкованих продуктів мають Обмежена видимість запущених процесівВони зосереджуються на файловій системі та мережевому трафіку, але майже не перевіряють внутрішні виклики API, параметри командного рядка, поведінку скриптів або події реєстру, які можуть видати атаку без файлів.
Зловмисники, усвідомлюючи ці обмеження, вдаються до методи обфускації, шифрування та фрагментації кодуНаприклад, вони розділяють шкідливий скрипт на кілька фрагментів, які збираються в режимі реального часу, або приховують інструкції в зображеннях, вбудованих ресурсах чи, здавалося б, нешкідливих рядках.
У середовищах, де системи рідко перезавантажуються (критично важливі сервери, виробничі термінали тощо), шкідливе програмне забезпечення, що знаходиться в пам'яті, може залишаються активними протягом тижнів або місяців непомітно, особливо якщо ви рухаєтеся обережно та мінімізуєте обсяг руху чи помітні дії.
Обмеження традиційних захисних механізмів
Першою реакцією багатьох постачальників на цю загрозу була спроба обмежувати або безпосередньо блокувати такі інструменти, як PowerShell або макроси OfficeХоча це може зменшити деякі вектори, це не є реалістичним або повним рішенням у більшості організацій.
PowerShell став ключовий компонент для адміністрування системи WindowsАвтоматизація завдань, розгортання програмного забезпечення та управління серверами. Повне блокування паралізує робочі процеси ІТ-відділів та змусить переробляти численні внутрішні процеси.
Крім того, з точки зору зловмисника, існує кілька способів обхід простої політики блокуванняІснують методи завантаження рушія PowerShell з бібліотек (dll) за допомогою rundll32, перетворення скриптів на виконувані файли за допомогою таких інструментів, як PS2EXE, використання модифікованих копій PowerShell.exe або навіть вбудовування скриптів PowerShell у зображення PNG та їх запуску за допомогою обфускованих командних рядків.
Щось подібне відбувається з макросами Office: Багато компаній залежать від них автоматизувати звіти, обчислення та бізнес-процеси. Їх глобальне вимкнення може порушити роботу внутрішніх програм, тоді як покладання виключно на статичний аналіз коду VBA часто призводить до важкого в управлінні рівня хибнопозитивних та хибнонегативних результатів.
Крім того, деякі підходи, засновані на хмарне виявлення як послуга Вони потребують постійного підключення та іноді працюють із занадто великою затримкою, щоб запобігти початковому запуску шкідливого програмного забезпечення. Якщо рішення про блокування приймається через кілька секунд або хвилин, шкода може бути вже завдана.
Зміщення фокусу: з файлів на поведінку
Оскільки файл більше не є основним елементом, сучасні оборонні рішення зосереджуються на моніторити поведінку процесів замість того, щоб просто перевіряти вміст файлів. Ідея полягає в тому, що, хоча існують тисячі варіантів шкідливого програмного забезпечення, моделі шкідливої діяльності набагато менш різноманітні.
Цей підхід спирається на двигуни поведінковий аналіз та машинне навчання які постійно відстежують, що робить кожен процес: які команди він запускає, до яких системних ресурсів звертається, як він взаємодіє із зовнішнім світом і які зміни він намагається внести в середовище.
Наприклад, процес Office можна позначити як підозрілий, якщо виконує завуальовану команду PowerShell з параметрами для вимкнення політик безпеки та завантаження коду з підозрілого домену. Або процес, який без видимої причини раптово отримує доступ до сотень конфіденційних файлів чи змінює критичні ключі реєстру.
Найновіше покоління систем EDR та платформ XDR збирає детальна телеметрія кінцевих точок, серверів та мережіі здатні реконструювати повні історії (іноді їх називають StoryLines) про те, як виник інцидент, які процеси були задіяні та які зміни зазнала уражена машина.
Гарний поведінковий механізм не лише виявляє загрозу, але й може пом’якшення або автоматичне скасування зловмисних дій: завершити задіяні процеси, ізолювати комп'ютер, відновити зашифровані файли, скасувати зміни в реєстрі та перервати зв'язок з доменами керування та контролю.
Технології та джерела ключових подій у Windows
Для аналізу безфайлових загроз у Windows особливо корисно скористатися перевагами Механізми телеметрії нативної операційної системи, які вже існують і пропонують багато інформації про те, що відбувається за лаштунками.
З одного боку є Відстеження подій для Windows (ETW)ETW – це фреймворк, який дозволяє записувати дуже детальні події, пов'язані з виконанням процесів, викликами API, доступом до пам'яті та іншими внутрішніми аспектами системи. Багато рішень EDR покладаються на ETW для виявлення нетипової поведінки в режимі реального часу.
Ще один ключовий елемент — це Інтерфейс сканування проти шкідливих програм (AMSI)AMSI – це API, розроблений Microsoft, щоб дозволити механізмам безпеки перевіряти скрипти та динамічний контент безпосередньо перед їх запуском, навіть якщо вони обфусковані. AMSI особливо корисний із PowerShell, VBScript, JScript та іншими мовами сценаріїв.
Крім того, сучасні двигуни періодично аналізуються конфіденційні області, такі як реєстр, планувальник завдань, підписки WMI або політики виконання скриптівПідозрілі зміни в цих областях часто є ознакою того, що безфайлова атака встановила стійкість.
Все це доповнюється евристиками, які враховують не лише поточний процес, але й контекст виконання: звідки походить батьківський процес, яка мережева активність спостерігалася до та після, чи були дивні збої, аномальні блокування чи інші сигнали, які разом схиляють терези до підозри.
Практичні стратегії виявлення та запобігання
На практиці, захист від цих загроз передбачає поєднання технології, процеси та навчанняНедостатньо встановити антивірус і забути про нього; потрібна багаторівнева стратегія, адаптована до реальної поведінки безфайлового шкідливого програмного забезпечення.
На технічному рівні важливо розгорнути Рішення EDR або XDR з можливостями поведінкового аналізу та видимістю на рівні процесів. Ці інструменти повинні мати можливість записувати та співвідносити активність у режимі реального часу, блокувати аномальну поведінку та надавати команді безпеки чітку інформацію з криміналістики.
Це також зручно Обмеження використання PowerShell, WMI та інших інтерпретаторів до того, що є суворо необхідним, застосовуючи списки контролю доступу, підписання скриптів (підписування коду) та політики виконання, що обмежують, який код може виконуватися та з якими привілеями.
З боку користувачів, навчання залишається вирішальним: необхідно посилювати обізнаність про фішинг, підозрілі посилання та неочікувані документиЦе особливо важливо для персоналу з доступом до конфіденційної інформації або високими привілеями. Зменшення кількості необережних кліків значно зменшує поверхню для атаки.
Зрештою, не можна нехтувати тим, цикл оновлення патчів та програмного забезпеченняБагато безфайлових ланцюжків починаються з використання відомих вразливостей, для яких вже існують виправлення. Підтримка браузерів, плагінів, корпоративних програм та операційних систем в актуальному стані закриває цінні двері для зловмисників.
Керовані послуги та пошук загроз
У середніх та великих організаціях, де обсяг подій величезний, внутрішній команді важко все побачити. Саме тому вони набувають все більшої популярності. послуги моніторингу та керованого реагування (MDR/EMDR) та центри зовнішніх операцій безпеки (SOC).
Ці послуги поєднують передові технології з команди аналітиків, що здійснюють моніторинг цілодобово середовища своїх клієнтів, співвідносячи слабкі сигнали, які в іншому випадку залишилися б непоміченими. Ідея полягає у виявленні поведінки, типової для безфайлового шкідливого програмного забезпечення, до того, як буде завдано шкоди.
Багато SOC покладаються на такі фреймворки, як MITER ATT&CK каталогізувати тактики, методи та процедури (TTP) зловмисників і створювати спеціальні правила, спрямовані на виконання в пам'яті, зловживання LoLBins, шкідливий WMI або приховані схеми витоку даних.
Окрім постійного моніторингу, ці послуги зазвичай включають судово-медичний аналіз, реагування на інциденти та консалтинг покращити архітектуру безпеки, усунути повторювані прогалини та посилити контроль на кінцевих точках і серверах.
Для багатьох компаній аутсорсинг частини цієї функції є найжиттєздатнішим способом боротьби з такими складними загрозами, оскільки не кожен може дозволити собі мати внутрішню команду, що спеціалізується на пошуку складних шкідливих програм.
Реальність така, що безфайлове шкідливе програмне забезпечення назавжди змінило наше розуміння безпеки кінцевих точок: Файли більше не є єдиним ключовим показникомІ лише поєднання глибокої прозорості, поведінкового аналізу, належних практик управління та розширеної культури кібербезпеки може стримувати це щодня.
