Wie man dateilose Malware erkennt: Ein vollständiger Leitfaden zu Signalen, Techniken und Abwehrmaßnahmen

Die Bedrohungslandschaft hat mit Malware, die lebt ausschließlich in der ErinnerungDiese Art von Angriff, besser bekannt als dateilose Malware, schreibt keine ausführbaren Dateien auf die Festplatte und missbraucht legitime Systemtools, was die Erkennung mit herkömmlicher signaturbasierter Antivirensoftware extrem erschwert; daher ist es wichtig zu wissen So erkennen und entfernen Sie verdächtige Dateien oder Schadsoftware.

Relevant ist nicht nur die Heimlichkeit, sondern die Art und Weise, wie sie darauf angewiesen ist. Vertrauensprozesse (PowerShell, WMI, mshta, rundll32 u. a.) und Techniken wie „Living off the Land“, um sich zu tarnen. Folglich besteht die Erkennung darin, Verhaltensweisen zu beobachten, Ereignisse zu korrelieren und den Speicher zu überwachen, anstatt nach verdächtigen Dateien zu suchen. Lagerung.

Was ist dateilose Malware und warum ist das wichtig?

Jeder Angriff, der als dateilos gilt, wird als Es führt bösartigen Code aus, ohne dabei dauerhafte Spuren auf der Festplatte zu hinterlassen. (oder sie so weit wie möglich zu minimieren), indem es auf bereits im System vorhandene Binärdateien zurückgreift. Es injiziert oder startet seine Nutzlast häufig direkt im Arbeitsspeicher (RAM) und führt sie innerhalb normaler Betriebssystemprozesse aus, weshalb es von entscheidender Bedeutung ist. RAM in Echtzeit überwachen.

Dieser Ansatz ermöglicht es Ihnen, Kontrollen zu umgehen, die von Folgendem abhängen Dateiprüfung, von ausführbaren Whitelists und Reputationsanalysen. Obwohl einige Angriffe vollständig dateilos ablaufen, ist es üblicher, dass sie während des Angriffszyklus dateibasierte und dateilose Phasen kombinieren.

Ein gemeinsames Merkmal ist, dass der Angreifer verwendet Befehlszeilen und Skripte zur Steuerung jeder Phase. Da keine offensichtliche „anomale Datei“ vorliegt, haben signaturbasierte Systeme größere Schwierigkeiten, Warnmeldungen auszulösen, insbesondere wenn die Aktivität innerhalb der „normalen“ Parameter für administrative Tools liegt.

Es ist wichtig zu beachten, dass viele dieser Implantate konstruktionsbedingt bestimmte Eigenschaften aufweisen. begrenzte PersistenzSobald das System neu startet, verschwindet die RAM-Last. Angreifer implementieren jedoch häufig Wiedereintrittsmechanismen oder Mechanismen zur minimalen Persistenz, um den Zugriff ohne Eingreifen wiederherzustellen.

Warum ist es so schwer zu erkennen?

Der erste Grund liegt auf der Hand: Es ist keine Datei zum Scannen vorhanden.Wenn Code im Arbeitsspeicher lebt und stirbt, haben festplattenzentrierte Engines wenig zu bieten, es sei denn, es gibt Prozess-, Speicher- und Netzwerktelemetrie als Ergänzung.

Der zweite Grund ist der Missbrauch von native und signierte Prozesse des Systems (PowerShell, WMI, mshta, rundll32, VBScript, JScript, Batch-Interpreter, .NET usw.). Diese Koexistenz mit dem „Legitimen“ reduziert Störungen und erschwert die Unterscheidung zwischen guten und schlechten Anwendungen ohne Verhaltensanalyse oder entsprechende Tools. Prozess-Hacker.

Der dritte Grund ist, dass statische Firmen Sie funktionieren nicht gut mit Nutzdaten, die zur Laufzeit zusammengestellt, verschleiert oder in den Speicher ausgelagert werden. Tatsächlich untersuchen viele Antivirenprogramme die Echtzeit-Ausführung im Speicher nicht gründlich.

Darüber hinaus haben der Aufstieg zielgerichteter Kampagnen (APTs) und der Einsatz fortschrittlicher Taktiken die Anforderungen erhöht. Wir haben gesehen Angriffe, die auf dem Kernel oder über Webshells operierenmit minimalen forensischen Spuren, was die Reaktion zusätzlich erschwert, wenn nicht genügend Aufzeichnungen und Rückverfolgbarkeit vorhanden sind.

Wie ein dateiloser Angriff eindringt und funktioniert

Der Erstzugang wird üblicherweise mit klassischen Techniken erreicht: Phishing mit Links oder AnhängenOffice-Dokumente mit Makros oder DDE, Dokumente PDF mit bösartigem JavaScript, Ausnutzung von Sicherheitslücken (einschließlich Exploit-Kits) oder gestohlenen Zugangsdaten.

Nach dem Eindringen wird eine Ausführungskette ausgelöst, die Tools wie beispielsweise … aufruft. PowerShell oder WMI um die Nutzdaten herunterzuladen, zu entschlüsseln oder direkt in den Speicher des Prozesses einzuschleusen. All dies wird orchestriert mit Befehle und Skripte, die für sich genommen wie routinemäßige administrative Vorgänge erscheinen mögen.

In vielen Kampagnen sieht der Angreifer aus so lange wie nötig bestehen Um eine Hintertür aufrechtzuerhalten, ohne sichtbare ausführbare Dateien zu schreiben, werden geplante Aufgaben, Registrierungsschlüssel oder insbesondere WMI-Ereignisabonnements verwendet, um die Ausführung bei einem bestimmten Auslöser (z. B. Systemstart oder Benutzeranmeldung) zu reaktivieren.

Wenn das Zielsystem selten neu gestartet wird – beispielsweise ein kritischer Server –, kann die Präsenz im Arbeitsspeicher problematisch sein. besonders vorteilhaft weil es dem Gegner ein Zeitfenster für Angriffe verlängert, ohne dass dafür lästiges Nachhaken nötig ist.

Techniken, Variationen und reale Fälle

Die Philosophie „vom Land leben„(Leben von dem, was das Land hergibt)“ fasst den Ansatz zusammen: Der Eindringling nutzt Binärdateien und Funktionalitäten, die bereits vorhanden sind in Windows zum Verschieben, Sammeln und Ausführen. Dadurch verringert sich die Notwendigkeit, Tools auf der Festplatte zu belassen, und deren Gefährdung wird minimiert.

Zu den gängigen Techniken gehören: Injektion in Prozessen bestehende Funktionen, die Verwendung von mshta oder rundll32 zum Laden von Code, VBScript/JScript-Skripte und Stapelverarbeitung sowie das Vorhandensein von Verdächtige DLLsEbenfalls zu sehen sind in Dokumenten eingebettete Nutzdaten, die Sicherheitslücken ausnutzen, um ohne das Schreiben persistenter ausführbarer Dateien zur Ausführung zu gelangen.

Es gibt Modalitäten wie die dateilose Ransomware, das seine Ausführung im Speicher vorbereitet und Daten verschlüsselt, bevor sie von Abwehrmechanismen erkannt werden; eine andere Variante missbraucht die Windows-Registrierung zum Hosten verschlüsselter Konfigurationen oder Nutzdaten, wobei die Ausführung mit sich selbst löschenden Schlüsseln initialisiert wird.

Es wurden bemerkenswerte Beispiele dokumentiert: Webshells wie Godzilla die Module über HTTP empfangen und in den Speicher einbinden; die Hintertür SMB/Exploit.DoublePulsarin der Lage, Code direkt aus dem Netzwerk hochzuladen, indem SMB 1.0-Schwachstellen ausgenutzt werden; oder Kampagnen von APT29 (The Dukes) wie bei Operation Ghost, mit dateilosen Hintertüren wie RegDuke und POSHSPY.

Persistenz: WMI, Protokollierung und Aufgaben

Um den Zugriff nicht zu verlieren, konfigurieren viele Angreifer WMI-Abonnements Kombination von Ereignisfiltern und -konsumenten (CommandLineEventConsumer), die PowerShell oder andere Aktionen starten, wenn eine Bedingung erfüllt ist (z. B. Systemlaufzeit).

Andere entscheiden sich dafür, zu gründen diskrete geplante Aufgaben oder die Registrierung an den Startorten zu ändern. Obwohl das dateilose Ideal das Schreiben auf die Festplatte vermeidet, entstehen diese minimalen „Spuren“ oft, wenn Beständigkeit oder Wiedereintritt gewünscht ist.

Umgekehrt führen diese Techniken dazu, dass... identifizierbare Artefakte Bei ordnungsgemäßer Prüfung: WMI-Repositories, Aufgabendefinitionen, geänderte Registrierungsschlüssel. Daher ist es wichtig, von Anfang an Prüf- und Telemetrierichtlinien zu implementieren.

Es ist wichtig zu beachten, dass RAM flüchtig ist. Daher kann ein ohne Persistenz Systemwiederaufnahme Es kann das Implantat zwar entfernen, aber seien Sie nicht zu selbstsicher: Ein Angreifer mit Zugriff kann es mit derselben Technik erneut einschleusen, sobald er die richtige Gelegenheit entdeckt.

Unternehmensrisiken und warum eine pauschale Blockierung nicht die Lösung ist

Das blinde Blockieren essenzieller Werkzeuge wie Powershell Es kann den IT-Betrieb beeinträchtigen, und selbst dann ist es nicht ausreichend: Es gibt Möglichkeiten, die Ausführungsrichtlinie zu umgehen, PowerShell über DLL zu laden, Skripte umzufunktionieren oder sie in andere ausführbare Dateien zu verpacken, um grundlegende Kontrollen zu vermeiden.

Gleiches gilt für die Office-MakrosObwohl es ratsam ist, sie grundsätzlich zu deaktivieren, sofern das Unternehmen dies zulässt, ist ihre Erkennung mittels Signaturen oder statischer Heuristiken komplex und anfällig für Fehlalarme, wenn zuvor ungesehener oder verschleierter Code vorhanden ist.

Reine Detektion serverseitig oder cloudseitigOhne Präventionsmaßnahmen am Endpunkt führt dies zu Latenz und Abhängigkeit von der Konnektivität; um dem rechtzeitig entgegenzuwirken, muss der Endpunktagent in der Lage sein, lokale Entscheidungen unter Berücksichtigung des gesamten Systemkontexts zu treffen.

Letztlich liegt das Problem in der Transparenz und dem Kontext: Wir müssen verstehen, welcher Prozess welchen anderen aufgerufen hat, mit welchen Argumenten, welche Schlüssel oder Aufgaben er erzeugt hat, welche Verbindungen er geöffnet hat und wie. Die Kette der Ereignisse entwickelt sich en die zeit.

Entwicklung und Zahlen: ein Aufwärtstrend

Dateilose Kampagnen erfreuen sich seit Jahren wachsender Beliebtheit. Einige Branchenberichte wiesen damals darauf hin, Steigerungen von 94 % Bei dateilosen Angriffen innerhalb eines Semesters verdoppelte sich die Nutzung von PowerShell innerhalb weniger Wochen (von 2,5 auf 5,2 Angriffe pro 1.000 Endpunkte), was deutlich macht, dass diese Taktiken bei Angreifern sehr beliebt sind.

Dieser Anstieg lässt sich durch die Kombination folgender Faktoren erklären: offensive Reife, Fehler bei der Signaturabdeckung, die Popularität gezielter Angriffe und die Leichtigkeit, sich in vertrauenswürdigen Prozessen zu tarnen, ohne sofort Verdacht zu erregen.

Wie man dateilose Malware wirklich erkennt

Der Schlüssel besteht darin, von der Identifizierung „wer man ist“ (Datei) zur Beobachtung überzugehen.Was machst du?„(Verhalten). Die Echtzeit-Endpunktüberwachung – Speicher, Prozessbaum, Befehlszeile, Registrierung, Netzwerkaktivität – ermöglicht die Erkennung von bösartigen Mustern, die in einer Vielzahl von Produktfamilien vorkommen.“

Moderne Lösungen für EDR/XDR und Motoren von IA Verhaltensindikatoren erkennen verdächtige Sequenzen wie: Das Starten eines Office-Dokuments, das eine versteckte PowerShell-Konsole ohne Profilausführung, Speicherdownload und anschließende Einschleusung in einen anderen Prozess mit anschließender Verschlüsselung oder Exfiltration auslöst.

Darüber hinaus ist es entscheidend, dies zu ermöglichen und zu zentralisieren. Protokolle von PowerShell (v5+ verbessert die Rückverfolgbarkeit), Sysmon kann Ereignisse anreichern und das WMI-Repository auf ungewöhnliche Abonnements, Konsumenten und Bindungen überwachen.

Die Netzwerkanalyse fügt eine weitere Ebene hinzu: die Untersuchung von Verkehrsverhalten (C2, Exfiltrationsmuster), Verhinderung von Netzwerkangriffen und Korrelation mit Endpunktereignissen. Wenn Malware den Kernel berührt oder auf geschützten Speicher zugreift, kann das Netzwerk Hinweise liefern, die dem Host verborgen bleiben.

Praktischer Leitfaden zur Prävention und Jagd

Beschränkt die Verwendung von PowerShell und WMI Dies richtet sich an Administratoren und klare Geschäftsszenarien mit AppLocker/WDAC oder klar definierten und dokumentierten Ausführungsrichtlinien. Es geht nicht nur um Verbote, sondern auch um die Regulierung, Protokollierung und Meldung von Abweichungen.

Deaktivieren und steuern Makros Implementieren Sie nach Möglichkeit Gruppenrichtlinien in Office und erzwingen Sie die Verwendung von geschützten Ansichten und digitalen Signaturen für Vorlagen. Schulen Sie die Benutzer im Erkennen von Phishing-E-Mails und schädlichen Links, da Social Engineering weiterhin der bevorzugte Angriffsweg ist.

Übernehmen Parches System- und Anwendungssicherheit mit Priorisierung exponierter Komponenten (Browser, Plugins, Office, .NET, SMB-Dienste). Überwacht Schwachstellen und reduziert die Angriffsfläche (z. B. durch Deaktivierung von SMBv1, falls nicht erforderlich).

Erweiterte Telemetrie: Aktiviert erweiterte PowerShell-Protokollierung, Sysmon mit einem fein abgestimmten Regelsatz und die Überwachung von Anmeldung und Aufgabenund regelmäßige WMI-Abfragen (z. B. Überprüfung von __EventFilter, EventConsumer und FilterToConsumerBinding anhand einer bekannten Baseline).

Installieren Sie Lösungen mit Speicherscan und Verhaltensanalysen, die in der Lage sind, in laufende Prozesse eingeschleuste Lasten zu erkennen, und die EDR/XDR-Systeme hinsichtlich kontinuierlicher Bedrohungssuche, Prozessbegrenzung, Änderungsumkehr und Geräteisolierung bei Bedarf bewerten.

Taktische Kartierung und Reaktion

Arbeiten mit dem Rahmenwerk MITRE ATT & CK Es hilft dabei, relevante Taktiken/Techniken zu identifizieren: Ausführung (T1059), Verwendung von PowerShell (T1059.001), WMI (T1047), Prozessinjektion (T1055), Persistenz über die Registry (T1112) oder Tasks (T1053), Exfiltration (T1041) und andere.

Bei einem typischen Vorfall ist es wichtig, die gesamte "Geschichte" zu rekonstruieren: welchen Anhang der Benutzer geöffnet hat, welcher Prozess welchen Anhang mit welchen Argumenten ausgelöst hat, welche Artefakte dadurch entstanden sind und wie sich die Kette fortgesetzt hat. Setzen Sie den gesamten Kontext in Beziehung. Es ist entscheidend, die Wurzel des Übeltäters zu isolieren und zu vermeiden, an Stellen zu schneiden, wo es nicht geschnitten werden sollte.

Einige Hersteller haben Konzepte wie „StoryLine„Um zusammengehörige Prozesse zu gruppieren und die Quelle der Bedrohung korrekt zuzuordnen. Dieser Ansatz ermöglicht die Eindämmung der gesamten schädlichen Gruppe, die Rückgängigmachung von Aktionen (Schlüssel, Dateien, Verbindungen) und einen sauberen Endpunkt, ohne legitime Prozesse wie den E-Mail-Client zu beeinträchtigen.“

Die Antwort muss lokal und schnell erfolgen: wenn der Agent bereits über die Benutzerkontext, Prozesse, Registrierung, Netzwerk und DateienEs kann blockieren, zurücksetzen und isolieren, ohne auf Entscheidungen in der Cloud warten zu müssen, was bei Arbeitslasten, die nur wenige Sekunden im Speicher verbleiben, von entscheidender Bedeutung ist.

Beispiele für Erkennungs- und Überwachungssignale

Suche nach Aufrufen von PowerShell mit Umgehung der Ausführungsrichtlinie, verstecktes Fenster, ohne Profil, und Descargas Speicherangriffe, gefolgt von Start-Process- oder Injection-Angriffen. Dies sind gängige Angriffsmuster, die von Dokumenten mit Makros oder DDE ausgehen.

Überprüfen Sie in WMI die Namensräume von root\subscription Es dient dazu, Ereignisfilter, Befehlszeilen-Clients und Bindungen zu finden, die nicht in der Basiskonfiguration enthalten sind. Es erstellt sogar „defensive“ Abonnements, die Sie auf neue verdächtige Objekte aufmerksam machen.

Behalten Sie im Register alles im Auge. Anmeldeschlüssel und gemeinsame Speicherorte und gleicht diese mit Prozesstelemetriedaten ab. Mithilfe von Sysmon wird die Erstellung von Prozessen mit anomalen Nachfolgeprozessen beobachtet (Office → PowerShell → cmd → rundll32 usw.).

In einem Netzwerk identifiziert es ausgehende Verbindungen zu Domänen oder Routen. nicht üblich, verschlüsselte Nutzdaten oder inkrementelle Datenexfiltration und setzt PowerShell/WMI-Aktivitäten mit Spitzenwerten in der ausgehenden Kommunikation in Beziehung.

Marktdienstleistungen und -fähigkeiten

Es gibt Managed Services wie zum Beispiel EMDR (Enterprise Managed Detection and Response), die proaktive Erkennung auf Basis von MITRE ATT&CK mit Echtzeitreaktion kombinieren, und SOC Rund um die Uhr Überwachung, Verhaltensanalyse und gegebenenfalls forensische Untersuchungen.

Auf Produktebene Lösungen mit Verhaltenserkennung Auf dem Endpunkt selbst sind sie besonders wirksam gegen dateilose Angriffe, da sie nicht vom Vektor (Exploit, Makro, PowerShell, PowerSploit, Exploit-Kit oder sogar Zero-Day-Schwachstellen) abhängig sind und Aktionen automatisch rückgängig machen können.

Neben dem Marketing ist es entscheidend, dass der Agent über alle notwendigen Kenntnisse verfügt. lokalen Kontext (Benutzer, Prozesse, Argumente, Registry, Dateien und Kommunikation), um Entscheidungen ohne Verzögerungen zu treffen, zu mindern, zu isolieren und die Fortsetzung der Arbeit auf einem sauberen Gerät zu ermöglichen.

Historisch gesehen waren Kampagnen wie WannaCry Sie veranschaulichen den Nutzen dieses Ansatzes: Erkennung und Eindämmung durch Verhaltensanalysen noch vor dem Vorliegen von Signaturen, wodurch die Auswirkungen auf geschützte Organisationen deutlich reduziert wurden.

Die Erkennung dateiloser Malware erfordert die Analyse der tatsächlichen Aktivitäten: Arbeitsspeicher, Befehlszeile, Prozesse und deren zeitliche Entwicklung. Mit effektiven Protokollierungsrichtlinien, PowerShell- und WMI-Überwachung, Kontrolle des Endpunktverhaltens, mehrschichtiger Verteidigung und ATT&CK-Mapping ist dies problemlos möglich. Tarnung entfernen zu einer Bedrohung, die naturgemäß lieber unbemerkt bleibt.