Phần mềm độc hại không cần tệp: nó là gì, hoạt động như thế nào và cách phòng chống nó.

Cuộc phiêu lưu phổ quát » Tổng quan » Phần mềm độc hại không cần tệp: nó là gì, hoạt động như thế nào và cách phòng chống nó.

Trong những năm gần đây phần mềm độc hại không có tệp Phần mềm độc hại không cần tệp tin đã trở thành một trong những vấn đề nan giải nhất đối với các đội ngũ CNTT và bảo mật. Chúng ta không nói đến loại virus thông thường mà bạn tải xuống qua tệp đính kèm và có thể xóa bằng phần mềm diệt virus, mà là thứ gì đó tinh vi hơn nhiều, ẩn mình trong chính các tiến trình của hệ thống.

Loại đe dọa này lợi dụng công cụ hệ điều hành hợp phápĐặc biệt trên hệ điều hành Windows, nó có thể thực thi mã độc trực tiếp vào bộ nhớ RAM. Vì hầu như không để lại dấu vết nào trên ổ đĩa, nó có thể né tránh nhiều chương trình diệt virus truyền thống và hoạt động đủ lâu để đánh cắp thông tin, mã hóa tập tin hoặc duy trì cửa hậu mà không bị phát hiện.

Vậy chính xác thì phần mềm độc hại không cần tệp tin là gì?

Khi nói về phần mềm độc hại không cần tệp tin, chúng ta đang đề cập đến mã độc không phụ thuộc vào tệp thực thi cổ điển trên đĩa. Để hoạt động, thay vì được cài đặt như bất kỳ chương trình nào khác, nó dựa vào các thành phần đã có sẵn trong hệ thống (các tập lệnh, dịch vụ, trình thông dịch lệnh, v.v.) để tải và thực thi các lệnh của nó trực tiếp trong bộ nhớ.

Về mặt kỹ thuật, phần mềm độc hại này thường... để được đưa vào các quy trình đang chạy. Hoặc chúng có thể được khởi chạy bằng các lệnh tải mọi thứ vào RAM. Điều này có nghĩa là, một khi máy tính tắt hoặc khởi động lại, nhiều biến thể sẽ biến mất, nhưng trong thời gian đó chúng có đủ thời gian để gây ra thiệt hại nghiêm trọng.

So với phần mềm độc hại dựa trên tập tin, những mối đe dọa này là Nhẹ hơn, kín đáo hơn và khó theo dõi hơn nhiều.Bạn sẽ không tìm thấy tệp .exe đáng ngờ nào trên ổ đĩa, cũng không nhất thiết là trình cài đặt độc hại: vấn đề nằm ở những gì xảy ra bên trong các tiến trình tưởng chừng như đáng tin cậy.

Phương pháp này trở nên phổ biến nhanh chóng vào khoảng năm 2017, khi các chiến dịch bắt đầu kết hợp các kỹ thuật không cần tệp với Trojan clicker, phần mềm quảng cáo nâng cao và công cụ truy cập từ xa (RAT)Ngày nay, chúng đã được tích hợp vào tất cả các loại hoạt động: từ hoạt động gián điệp và tấn công APT đến mã độc tống tiền và khai thác tiền điện tử.

Cách thức hoạt động của phần mềm độc hại không cần tệp từ bên trong

Để hiểu cách thức hoạt động, cần nhớ rằng hầu hết các ứng dụng thông thường được phân phối dưới dạng một ứng dụng duy nhất. tập tin được ghi vào đĩa và sau đó được tải vào bộ nhớ. Khi người dùng chạy nó. Mặt khác, phần mềm độc hại không cần tệp tin bỏ qua bước đầu tiên và hiện thực hóa trực tiếp trong RAM bằng cách sử dụng các cơ chế của chính hệ điều hành.

Nhiều chiến dịch dựa trên ý tưởng "sống dựa vào đất đai" (sống xa xứ): kẻ tấn công lạm dụng quyền hành chính hợp pháp Thay vì giới thiệu các tập tin nhị phân mới. Trên Windows, ví dụ điển hình là PowerShell, nhưng WMI, mshta, rundll32, các tập lệnh VBScript hoặc JScript, và các tập tin nhị phân đáng tin cậy khác (LoLBins) cũng bị khai thác.

Một kịch bản điển hình là: người dùng mở một tài liệu Office có nội dung độc hại hoặc nhấp vào một liên kết lừa đảo; từ đó... tập lệnh gọi PowerShell hoặc một công cụ khác để tải xuống, giải mã hoặc chèn mã cho giai đoạn tiếp theo vào bộ nhớ. Tất cả điều này có thể diễn ra mà không cần tạo tệp tin vĩnh viễn trên ổ cứng.

Một phương thức phổ biến khác liên quan đến việc lợi dụng lỗ hổng thực thi mã từ xaVí dụ như lỗi tràn bộ đệm trong trình duyệt, plugin hoặc ứng dụng máy chủ. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể trực tiếp thực thi shellcode trong tiến trình dễ bị tổn thương và từ đó tải các thành phần còn lại vào bộ nhớ.

Một số biến thể thậm chí còn sử dụng đến... Registry của Windows hoặc các tác vụ theo lịch trình Lưu trữ các tập lệnh hoặc lệnh kích hoạt lại cuộc tấn công khi hệ thống khởi động hoặc người dùng đăng nhập. Ngay cả khi có thứ gì đó được ghi vào Registry, logic độc hại chính vẫn tiếp tục chạy trong bộ nhớ, khiến việc phát hiện trở nên khó khăn với các công cụ chỉ tập trung vào hệ thống tập tin.

Phương thức lây nhiễm và tiếp cận ban đầu

Cửa trước thường có kiểu dáng khá cổ điển: Email lừa đảo, liên kết độc hại và tài liệu giả mạo. Chúng vẫn là những "ông vua" của việc truy cập ban đầu, ngay cả khi các kỹ thuật không cần file được sử dụng ở bên dưới. Mấu chốt nằm ở chỗ, trong toàn bộ chuỗi xử lý, mọi nỗ lực đều được thực hiện để giảm thiểu tối đa dung lượng ổ đĩa chiếm dụng.

Trong nhiều trường hợp, chúng được sử dụng. Tài liệu Microsoft Office có chứa macro Khi được kích hoạt, các macro này sẽ gọi PowerShell hoặc WMI để tải xuống và thực thi giai đoạn tiếp theo của cuộc tấn công trong bộ nhớ. Ngay cả khi không sử dụng macro, kẻ tấn công vẫn khai thác các lỗ hổng trong Word, Excel, Trình đọc PDF hoặc chính công cụ kịch bản để thực thi mã.

Một cách tiếp cận khác liên quan đến việc tận dụng trực tiếp các tệp thực thi tưởng chừng như vô hại Tệp thực thi này được người dùng nhận qua email hoặc tải xuống từ web. Nó có thể trích xuất một mô-đun độc hại và tải nó vào bộ nhớ bằng các kỹ thuật như phản chiếu trong .NET, mà không thực sự lưu nó vào ổ đĩa dưới dạng một tệp riêng biệt.

Ngoài ra, còn có các chiến dịch nhắm mục tiêu vào máy chủ web hoặc ứng dụng được kết nối với Internet, trong đó lỗ hổng được sử dụng để triển khai. webshell với các thành phần không cần tệpMột ví dụ gần đây là việc sử dụng Godzilla và các công cụ tương tự, trong đó mã độc được truyền qua các yêu cầu HTTP và được chèn trực tiếp vào bộ nhớ trên máy chủ bị xâm nhập.

Cuối cùng, những kẻ tấn công thường xuyên sử dụng đến thông tin đăng nhập bị đánh cắpNếu chúng có được tên người dùng và mật khẩu của quản trị viên hoặc tài khoản có quyền cao, chúng có thể đăng nhập qua RDP hoặc các kênh khác và tự khởi chạy các tập lệnh PowerShell, lệnh WMI hoặc các công cụ quản trị để tải phần mềm độc hại vào bộ nhớ mà không để lại bất kỳ tệp thực thi mới nào trên hệ thống.

Các kỹ thuật cụ thể được sử dụng bởi phần mềm độc hại không cần tệp

Một trong những yếu tố then chốt của các cuộc tấn công này là việc tái sử dụng... công cụ windows gốc Như một phương tiện để thực thi các kịch bản độc hại. Điều này khiến hoạt động độc hại hòa lẫn vào các tác vụ quản trị thông thường, làm phức tạp quá trình phân tích và ứng phó.

Trong số các kỹ thuật phổ biến nhất, chúng ta thấy có việc sử dụng PowerShell như một trình khởi chạy mã nhúng Trực tiếp từ dòng lệnh. Ví dụ, một kịch bản được mã hóa được truyền làm tham số, chính sách thực thi bị vô hiệu hóa, cửa sổ bị ẩn và một payload được tải trực tiếp vào bộ nhớ, tất cả mà không để lại tệp .ps1 hoặc bất kỳ tệp thực thi đáng ngờ nào hiển thị.

Một chiến thuật rất phổ biến khác là lưu trữ các kịch bản độc hại trong... Đăng ký Windows Management Instrumentation (WMI)Thỉnh thoảng, WMI sẽ kích hoạt tập lệnh, có thể thực thi mã từ bộ nhớ, kết nối với máy chủ điều khiển hoặc khởi động các giai đoạn lây nhiễm mới.

Tương tự, nhiều nhóm sử dụng Trình quản lý Registry và Lập lịch tác vụ của Windows như một nơi trú ẩn cho các tập lệnh và lệnh của họ. Thay vì đặt một tệp thực thi vào thư mục khởi động, họ định nghĩa các khóa khởi động hoặc các tác vụ theo lịch trình để chạy các tập lệnh PowerShell, mshta hoặc rundll32 với mã được nhúng hoặc mã thực thi tức thời.

Các kỹ thuật cũng được thấy trong phản chiếu trong .NETTrong đó, một tệp thực thi nhẹ chứa các cụm lắp ráp được mã hóa hoặc nén được tải trực tiếp vào bộ nhớ bằng cách sử dụng Reflection.Load, mà không bao giờ được ghi dưới dạng tệp .dll vào ổ đĩa. Điều này cho phép triển khai các Trojan rất tinh vi trong một tiến trình duy nhất, tưởng chừng như bình thường.

Một cuộc tấn công không cần tệp tin có thể gây ra những hậu quả gì?

Mặc dù tên gọi là vậy, tấn công không dùng tập tin không bị giới hạn về phạm vi ảnh hưởng. Trên thực tế, nó có thể thực hiện nhiều thao tác khác nhau. có chức năng tương tự như phần mềm độc hại truyền thống.: đánh cắp thông tin, mã hóa dữ liệu, di chuyển ngang, gián điệp, khai thác tiền điện tử hoặc cài đặt cửa hậu vĩnh viễn.

Nhiều chiến dịch không dùng tập tin hoạt động như sau: kẻ trộm thông tin đăng nhậpViệc này bao gồm việc thu thập mật khẩu, mã thông báo phiên hoặc mã băm xác thực từ bộ nhớ của các tiến trình nhạy cảm. Điều này giúp dễ dàng leo thang đặc quyền, xâm nhập nhiều hệ thống hơn và duy trì quyền truy cập lâu dài mà không cần sử dụng thêm các tập tin nhị phân khác.

Những người khác tập trung vào phần mềm tống tiền không có tệpTrong đó, một phần logic mã hóa và truyền thông được thực thi trực tiếp trong bộ nhớ. Mặc dù một thành phần ổ đĩa có thể xuất hiện ở một số thời điểm để thao tác với một lượng lớn tập tin, nhưng việc tải và kiểm soát ban đầu của cuộc tấn công được thực hiện bằng các kỹ thuật không dùng tập tin để tránh bị phát hiện sớm.

Kẻ tấn công cũng có thể cài đặt rootkit hoặc RAT nâng cao Sau khi được thiết lập, các công cụ này sử dụng các kênh không cần tệp để nhận lệnh, di chuyển trên mạng và cập nhật các mô-đun. Vì chúng được tích hợp vào các quy trình hệ thống hoặc các dịch vụ quan trọng, nên việc loại bỏ các công cụ này đặc biệt khó khăn.

Về mặt kinh tế, tác động này thể hiện ở các khía cạnh sau: mất dữ liệu, gián đoạn dịch vụ, tiền phạt từ cơ quan quản lý và thiệt hại về uy tín.Vì những vụ xâm nhập này thường không bị phát hiện trong nhiều tháng, nên lượng thông tin bị đánh cắp và phạm vi của vụ vi phạm có thể rất lớn.

Các giai đoạn của một cuộc tấn công phần mềm độc hại không cần tệp

Mặc dù các khía cạnh kỹ thuật khác nhau, nhưng vòng đời của một cuộc tấn công không dùng tập tin khá giống với bất kỳ cuộc xâm nhập nâng cao nào. Vậy những thay đổi là gì? các cơ chế được sử dụng trong mỗi giai đoạn và cách chúng ngụy trang.

Trong giai đoạn của quyền truy cập ban đầuKẻ tấn công cần một điểm xâm nhập ban đầu: nhấp chuột vào liên kết lừa đảo, mở tài liệu chứa macro, khai thác lỗ hổng trên máy chủ hoặc sử dụng lại thông tin đăng nhập bị đánh cắp. Từ đó, mục tiêu là thực thi mã độc trong hệ thống mục tiêu.

Khi bước đó được hoàn thành, giai đoạn tiếp theo sẽ bắt đầu. thực thi trong bộ nhớĐây là lúc PowerShell, WMI, mshta, rundll32, VBScript, JScript hoặc các trình thông dịch khác phát huy tác dụng để tải và kích hoạt payload mà không tạo ra các tệp thực thi vĩnh viễn trên ổ đĩa. Mã thường được làm mờ hoặc mã hóa và chỉ được giải mã trong bộ nhớ RAM.

Rồi cuộc truy đuổi bắt đầu. kiên trìMặc dù nhiều phần mềm độc hại không cần tệp tin sẽ biến mất khi máy tính khởi động lại, nhưng những kẻ tấn công tinh vi kết hợp các tập lệnh thường trú trong RAM với các khóa Registry, các tác vụ theo lịch trình hoặc các đăng ký WMI để khởi chạy lại mã mỗi khi một điều kiện cụ thể được đáp ứng, chẳng hạn như khởi động hệ thống hoặc đăng nhập người dùng.

Cuối cùng, mục tiêu cuối cùng Các hành động của kẻ tấn công bao gồm: đánh cắp và rò rỉ dữ liệu, mã hóa thông tin, triển khai thêm phần mềm độc hại, hoạt động gián điệp liên tục và phá hoại các hệ thống quan trọng. Tất cả những điều này được thực hiện nhằm giữ bí mật tối đa để tránh bị phát hiện sớm và phân tích pháp y.

Tại sao việc phát hiện lại khó khăn đến vậy?

Vấn đề lớn với phần mềm độc hại không cần tệp tin là... Nó phá vỡ mô hình phòng thủ truyền thống dựa trên tập tin và chữ ký.Nếu không có tệp thực thi đáng ngờ nào để phân tích, nhiều công cụ chống virus sẽ không thể biết được những gì đang xảy ra trong bộ nhớ và các tiến trình hợp pháp.

Việc không có tệp nào trên ổ đĩa ngụ ý rằng Không có đối tượng nào để quét định kỳ. nhằm tìm kiếm các mẫu đã biết. Hơn nữa, bằng cách tận dụng các tập tin nhị phân được ký bởi chính hệ điều hành, chẳng hạn như PowerShell.exe, wscript.exe hoặc rundll32.exe, hoạt động độc hại được ngụy trang đằng sau những cái tên mà quản trị viên thường tin tưởng.

Ngoài ra, nhiều sản phẩm thừa kế có... Khả năng quan sát các quy trình đang diễn ra còn hạn chế.Họ tập trung vào hệ thống tập tin và lưu lượng mạng, nhưng hầu như không kiểm tra các lệnh gọi API nội bộ, tham số dòng lệnh, hành vi của tập lệnh hoặc các sự kiện Registry có thể tiết lộ một cuộc tấn công không sử dụng tập tin.

Nhận thức được những hạn chế này, những kẻ tấn công đã sử dụng các biện pháp sau: các kỹ thuật làm mờ, mã hóa và phân mảnh mãVí dụ, chúng chia một đoạn mã độc hại thành nhiều đoạn nhỏ được ghép lại với nhau trong thời gian thực, hoặc chúng giấu các chỉ thị bên trong hình ảnh, tài nguyên nhúng hoặc các chuỗi ký tự tưởng chừng vô hại.

Trong môi trường mà hệ thống hiếm khi được khởi động lại (máy chủ quan trọng, thiết bị đầu cuối sản xuất, v.v.), phần mềm độc hại thường trú trong bộ nhớ có thể... vẫn hoạt động tích cực trong nhiều tuần hoặc nhiều tháng. mà không bị phát hiện, đặc biệt nếu bạn di chuyển thận trọng và giảm thiểu lượng giao thông hoặc hành động gây chú ý.

Những hạn chế của các phương pháp phòng thủ truyền thống

Phản ứng ban đầu của nhiều nhà cung cấp đối với mối đe dọa này là cố gắng Hạn chế hoặc chặn trực tiếp các công cụ như PowerShell hoặc macro Office.Mặc dù có thể giảm thiểu một số rủi ro, nhưng đây không phải là giải pháp thực tế hoặc hoàn chỉnh trong hầu hết các tổ chức.

PowerShell đã trở thành một thành phần quan trọng cho việc quản trị hệ thống WindowsTự động hóa tác vụ, triển khai phần mềm và quản lý máy chủ. Việc chặn hoàn toàn các chức năng này sẽ làm tê liệt quy trình làm việc của bộ phận CNTT và buộc phải làm lại nhiều quy trình nội bộ.

Hơn nữa, từ góc nhìn của kẻ tấn công, có nhiều cách để vượt qua chính sách chặn đơn giảnCó những kỹ thuật để tải công cụ PowerShell từ các thư viện (dll) bằng cách sử dụng rundll32, chuyển đổi các tập lệnh thành các tập tin thực thi bằng các công cụ như PS2EXE, sử dụng các bản sao đã được sửa đổi của PowerShell.exe, hoặc thậm chí nhúng các tập lệnh PowerShell vào hình ảnh PNG và chạy chúng với các dòng lệnh đã được mã hóa.

Điều tương tự cũng xảy ra với các macro trong Office: Nhiều công ty phụ thuộc vào họ. Để tự động hóa các báo cáo, tính toán và quy trình kinh doanh. Việc vô hiệu hóa chúng trên toàn cầu có thể làm hỏng các ứng dụng nội bộ, trong khi chỉ dựa vào phân tích tĩnh mã VBA thường dẫn đến tỷ lệ sai sót tích cực và tiêu cực khó quản lý.

Ngoài ra, một số phương pháp tiếp cận dựa trên dịch vụ phát hiện dựa trên đám mây Chúng yêu cầu kết nối liên tục và đôi khi hoạt động với độ trễ quá lớn để ngăn chặn việc thực thi phần mềm độc hại ban đầu. Nếu quyết định chặn được đưa ra sau vài giây hoặc vài phút, thiệt hại có thể đã xảy ra rồi.

Sự tập trung chuyển hướng: từ hồ sơ sang hành vi.

Vì tập tin không còn là yếu tố chính nữa, các giải pháp quốc phòng hiện đại tập trung vào... theo dõi hành vi của các quy trình Thay vì chỉ kiểm tra nội dung của các tập tin. Ý tưởng là, mặc dù có hàng ngàn biến thể phần mềm độc hại, nhưng các mô hình hoạt động độc hại lại ít đa dạng hơn nhiều.

Phương pháp này dựa trên các công cụ của phân tích hành vi và học máy Nó liên tục giám sát những gì mỗi tiến trình thực hiện: những lệnh nào nó khởi chạy, những tài nguyên hệ thống nào nó sử dụng, cách nó giao tiếp với thế giới bên ngoài và những thay đổi nào nó cố gắng đưa vào môi trường.

Ví dụ, một quy trình Office có thể bị gắn cờ là đáng ngờ nếu Thực thi một lệnh PowerShell đã được mã hóa. Với các tham số để vô hiệu hóa các chính sách bảo mật và tải xuống mã từ một tên miền đáng ngờ. Hoặc một tiến trình mà, không rõ lý do, đột nhiên truy cập hàng trăm tệp nhạy cảm hoặc sửa đổi các khóa đăng ký quan trọng.

Thế hệ hệ thống EDR và ​​nền tảng XDR mới nhất thu thập Thông tin chi tiết về hoạt động của các thiết bị đầu cuối, máy chủ và mạng.và có khả năng tái tạo lại toàn bộ câu chuyện (đôi khi được gọi là StoryLines) về cách một sự cố bắt nguồn, các quy trình liên quan và những thay đổi mà máy móc bị ảnh hưởng đã trải qua.

Một công cụ phân tích hành vi tốt không chỉ phát hiện mối đe dọa mà còn có thể... giảm thiểu hoặc tự động đảo ngược các hành động độc hại: Kết thúc các tiến trình liên quan, cách ly máy tính, khôi phục các tập tin đã mã hóa, hoàn tác các thay đổi đối với Registry và cắt đứt liên lạc với các miền điều khiển và kiểm soát.

Công nghệ và nguồn gốc của các sự kiện quan trọng trong Windows

Để phân tích các mối đe dọa không cần tệp trong Windows, việc tận dụng các công cụ sau đây là đặc biệt hữu ích: cơ chế đo từ xa của hệ điều hành gốcNhững nguồn thông tin đó đã có sẵn và cung cấp rất nhiều thông tin về những gì diễn ra đằng sau hậu trường.

Một mặt là Theo dõi sự kiện cho Windows (ETW)ETW là một khung phần mềm cho phép ghi lại các sự kiện chi tiết liên quan đến quá trình thực thi, các lệnh gọi API, truy cập bộ nhớ và các khía cạnh nội bộ khác của hệ thống. Nhiều giải pháp EDR dựa vào ETW để phát hiện hành vi bất thường trong thời gian thực.

Một phần quan trọng khác là Giao diện quét Antimalware (AMSI)AMSI là một API được Microsoft thiết kế để cho phép các công cụ bảo mật kiểm tra các tập lệnh và nội dung động ngay trước khi chúng được thực thi, ngay cả khi chúng đã được mã hóa. AMSI đặc biệt hữu ích với PowerShell, VBScript, JScript và các ngôn ngữ lập trình kịch bản khác.

Ngoài ra, các động cơ hiện đại cũng được phân tích định kỳ. các khu vực nhạy cảm như Registry, Task Scheduler, đăng ký WMI hoặc chính sách thực thi tập lệnhNhững thay đổi đáng ngờ ở các khu vực này thường là dấu hiệu cho thấy một cuộc tấn công không dùng tập tin đã thiết lập được khả năng tồn tại lâu dài.

Tất cả những điều này được bổ sung bởi các phương pháp phán đoán dựa trên kinh nghiệm, không chỉ xem xét quy trình hiện tại mà còn cả... ngữ cảnh thực thi: nguồn gốc của tiến trình cha, hoạt động mạng nào đã được quan sát trước và sau đó, liệu có xảy ra lỗi lạ, tắc nghẽn bất thường hoặc các tín hiệu khác mà khi kết hợp lại, làm tăng khả năng nghi ngờ hay không.

Các chiến lược phát hiện và phòng ngừa thực tiễn

Trên thực tế, việc tự bảo vệ mình khỏi những mối đe dọa này bao gồm việc kết hợp nhiều yếu tố. công nghệ, quy trình và đào tạoViệc chỉ cài đặt phần mềm diệt virus rồi bỏ mặc nó là chưa đủ; cần có một chiến lược đa lớp phù hợp với hành vi thực tế của phần mềm độc hại không cần tệp tin.

Về mặt kỹ thuật, việc triển khai là rất cần thiết. Giải pháp EDR hoặc XDR Với khả năng phân tích hành vi và hiển thị chi tiết ở cấp độ quy trình, các công cụ này phải có khả năng ghi lại và đối chiếu hoạt động trong thời gian thực, chặn các hành vi bất thường và cung cấp thông tin pháp y rõ ràng cho nhóm bảo mật.

Nó cũng thuận tiện Hạn chế việc sử dụng PowerShell, WMI và các trình thông dịch khác. Chỉ cho phép những gì thực sự cần thiết, bằng cách áp dụng danh sách kiểm soát truy cập, ký mã (Code Signing) và các chính sách thực thi giới hạn mã nào có thể chạy và với những quyền hạn nào.

Về phía người dùng, đào tạo vẫn là yếu tố then chốt: cần phải củng cố... nâng cao nhận thức về lừa đảo trực tuyến, các liên kết đáng ngờ và các tài liệu không mong muốn.Điều này đặc biệt quan trọng đối với những nhân viên có quyền truy cập thông tin nhạy cảm hoặc đặc quyền cấp cao. Giảm số lần nhấp chuột bất cẩn sẽ làm giảm đáng kể bề mặt tấn công.

Cuối cùng, không thể bỏ qua chu kỳ vá lỗi và cập nhật phần mềmNhiều chuỗi tấn công không dùng file bắt đầu bằng việc khai thác các lỗ hổng đã biết mà đã có bản vá lỗi. Việc cập nhật trình duyệt, plugin, ứng dụng doanh nghiệp và hệ điều hành thường xuyên sẽ giúp đóng lại những cánh cửa quan trọng đối với kẻ tấn công.

Dịch vụ quản lý và săn lùng mối đe dọa

Trong các tổ chức quy mô vừa và lớn, nơi khối lượng sự kiện rất lớn, đội ngũ nội bộ khó có thể nắm bắt được mọi thứ. Đó là lý do tại sao chúng ngày càng trở nên phổ biến. dịch vụ giám sát và phản hồi được quản lý (MDR/EMDR) và các trung tâm điều hành an ninh (SOC) bên ngoài.

Các dịch vụ này kết hợp công nghệ tiên tiến với các nhóm chuyên viên phân tích theo dõi 24/7 Họ nghiên cứu môi trường của khách hàng, đối chiếu các tín hiệu yếu mà nếu không sẽ không được chú ý. Ý tưởng là phát hiện các hành vi điển hình của phần mềm độc hại không cần tệp trước khi gây ra thiệt hại.

Nhiều trung tâm điều hành an ninh mạng (SOC) dựa vào các khuôn khổ như sau: MITER ATT & CK để lập danh mục các chiến thuật, kỹ thuật và quy trình (TTP) của đối thủ và xây dựng các quy tắc cụ thể hướng đến việc thực thi trong bộ nhớ, lạm dụng LoLBins, WMI độc hại hoặc các kiểu đánh cắp dữ liệu lén lút.

Ngoài việc giám sát liên tục, các dịch vụ này thường bao gồm... Phân tích pháp y, ứng phó sự cố và tư vấn nhằm cải thiện kiến ​​trúc bảo mật, khắc phục các lỗ hổng thường xuyên xảy ra và tăng cường kiểm soát trên các thiết bị đầu cuối và máy chủ.

Đối với nhiều công ty, việc thuê ngoài một phần chức năng này là cách khả thi nhất để theo kịp các mối đe dọa phức tạp như vậy, vì không phải công ty nào cũng có đủ khả năng để thành lập một đội ngũ nội bộ chuyên về săn lùng phần mềm độc hại tiên tiến.

Thực tế là phần mềm độc hại không cần tệp tin đã thay đổi vĩnh viễn cách chúng ta hiểu về bảo mật điểm cuối: Tệp tin không còn là chỉ số quan trọng duy nhất nữa.Và chỉ có sự kết hợp giữa khả năng giám sát sâu sắc, phân tích hành vi, các thực tiễn quản lý tốt và một nền văn hóa an ninh mạng toàn diện mới có thể ngăn chặn nó trong hoạt động hàng ngày.