Paano matukoy ang walang file na malware: isang kumpletong gabay sa mga signal, diskarte, at depensa

Ang tanawin ng pagbabanta ay nakakuha ng isang husay na hakbang sa malware na iyon nabubuhay ng eksklusibo sa memoryaAng ganitong uri ng pag-atake, na mas kilala bilang fileless malware, ay hindi nagsusulat ng mga executable sa disk at inaabuso ang mga lehitimong tool ng system, na nagpapahirap sa pagtukoy gamit ang tradisyunal na signature-based na antivirus software; samakatuwid, mahalagang malaman Paano tumukoy at mag-alis ng mga kahina-hinalang file o malware.

Ang mahalaga ay hindi lamang ang pagkukunwari nito, ngunit ang paraan kung saan ito umaasa mga proseso ng tiwala (PowerShell, WMI, mshta, rundll32, bukod sa iba pa) at mga diskarte gaya ng "pamumuhay sa lupain" para i-camouflage ang kanilang mga sarili. Dahil dito, ang pagtuklas ay nagsasangkot ng pagmamasid sa mga gawi, pag-uugnay ng mga kaganapan, at pagsubaybay sa memorya, hindi paghahanap ng mga kahina-hinalang file sa imbakan.

Ano ang fileless malware at bakit ito mahalaga?

Ang anumang pag-atake na itinuturing na walang file ay itinuturing na Nagpapatupad ito ng malisyosong code nang hindi nag-iiwan ng mga persistent artifact sa disk. (o i-minimize ang mga ito hangga't maaari), umaasa sa mga binary na naroroon na sa system. Madalas itong nag-iinject o naglulunsad ng payload nito nang direkta sa RAM, na isinasagawa sa loob ng normal na mga proseso ng operating system, kaya naman ito ang susi. subaybayan ang RAM sa real time.

Binibigyang-daan ka ng diskarteng ito na iwasan ang mga kontrol na nakadepende sa inspeksyon ng file, mula sa mga executable na whitelist at pagsusuri sa reputasyon. Bagama't 100% walang file ang ilang pag-atake, mas karaniwan para sa kanila na pagsamahin ang mga file-based at fileless na mga yugto sa panahon ng intrusion cycle.

Ang isang karaniwang katangian ay ang ginagamit ng kalaban mga linya ng utos at scripting upang ayusin ang bawat yugto. Dahil walang halatang "anomalous na file", mas nahihirapan ang mga signature-based na makina na magtaas ng mga alerto, lalo na kung ang aktibidad ay nasa loob ng "normal" na mga parameter para sa mga tool na pang-administratibo.

Mahalagang tandaan na, ayon sa disenyo, marami sa mga implant na ito ay mayroon limitadong pagtitiyagaSa sandaling mag-restart ang system, mawawala ang pag-load sa RAM. Gayunpaman, ang mga umaatake ay madalas na nagpapakilala ng mga mekanismo ng muling pagpasok o manipis na pagtitiyaga upang maibalik ang pag-access nang walang interbensyon.

Bakit napakahirap i-detect?

Ang unang dahilan ay malinaw: Walang file na ii-scanKung ang code ay nabubuhay at namamatay sa memorya, ang mga disk-centric na makina ay may kaunting maiaalok, maliban kung mayroong proseso, memorya, at telemetry ng network upang umakma sa kanila.

Ang pangalawang dahilan ay ang pang-aabuso ng katutubong at nilagdaan na mga proseso ng system (PowerShell, WMI, mshta, rundll32, VBScript, JScript, mga batch interpreter, .NET, atbp.). Ang pakikisamang ito sa "lehitimong" ay nagpapababa ng ingay at nagpapahirap na makilala ang mabuti sa masama nang walang pagsusuri sa pag-uugali o mga tool tulad ng Iproseso ang Hacker.

Ang pangatlong dahilan ay iyon mga static na kumpanya Hindi gumagana nang maayos ang mga ito sa mga payload na na-assemble sa runtime, na-obfuscate, o na-offload sa memorya. Sa katunayan, maraming mga antivirus program ang hindi lubusang nagsusuri ng real-time na in-memory execution.

Higit pa rito, ang pagtaas ng mga naka-target na kampanya (APT) at ang paggamit ng mga advanced na taktika ay nagpapataas ng antas. nakita namin mga pag-atake na gumagana sa kernel o sa pamamagitan ng webshellsna may kaunting forensic na bakas, higit na humahadlang sa pagtugon kung walang sapat na mga rekord at traceability.

Paano pumapasok at gumagana ang isang walang file na pag-atake

Karaniwang nakakamit ang paunang pag-access gamit ang mga klasikong diskarte: Phishing na may mga link o attachment, Mga dokumento sa opisina na may mga macro o DDE, mga dokumento PDF na may malisyosong JavaScript, pagsasamantala sa mga kahinaan (kabilang ang mga exploit kit), o mga ninakaw na kredensyal.

Kasunod ng panghihimasok, ma-trigger ang isang execution chain na humihiling ng mga tool gaya ng PowerShell o WMI upang i-download, i-decrypt, o i-inject ang payload nang direkta sa memorya ng proseso. Ang lahat ng ito ay nakaayos sa comandos at mga script na, sa kanilang sarili, ay maaaring mukhang tulad ng karaniwang mga administratibong operasyon.

Sa maraming kampanya, tumitingin ang umaatake manatili hangga't kinakailangan Upang mapanatili ang isang backdoor nang hindi nagsusulat ng mga nakikitang executable, naka-iskedyul na mga gawain, mga registry key, o, lalo na, ang mga subscription sa kaganapan ng WMI ay ginagamit upang muling i-activate ang pagpapatupad sa isang partikular na trigger (hal., system startup o user login).

Kung bihirang mag-restart ang target—halimbawa, isang kritikal na server—maaaring may problema ang in-memory na presensya. partikular na kapaki-pakinabang dahil pinahaba nito ang bintana ng pagkakataon ng kalaban nang hindi nangangailangan ng maingay na pagtitiyaga.

Mga diskarte, pagkakaiba-iba at totoong kaso

Ang pilosopiya "nabubuhay sa lupain"(nakatira sa lupa)" ay nagbubuod sa diskarte: ang nanghihimasok ay gumagamit ng mga binary at functionality na mayroon na sa Windows upang ilipat, kolektahin, at isagawa. Binabawasan nito ang pangangailangang "iwanan" ang mga tool sa disk at pinapaliit ang kanilang pagkakalantad.

Kabilang sa mga sikat na diskarte iniksyon sa mga proseso umiiral na mga tampok, ang paggamit ng mshta o rundll32 upang i-load ang code, VBScript/JScript script at batch execution, at ang pagkakaroon ng Mga kahina-hinalang DLLNakikita rin ang mga payload na naka-embed sa mga dokumentong nagsasamantala sa mga kahinaan upang maisakatuparan nang hindi nagsusulat ng mga persistent executable.

May mga modalidad tulad ng walang file na ransomware, na naghahanda sa pagpapatupad nito sa memorya at nag-encrypt ng data bago ito matukoy ng mga depensa; isa pang variant ay inaabuso ang Windows Registry upang mag-host ng mga naka-encrypt na configuration o payload, na sinisimulan ang pagpapatupad gamit ang mga self-delete na key.

Naidokumento ang mga kapansin-pansing halimbawa: tulad ng mga webshell Godzilla na tumatanggap ng mga module sa pamamagitan ng HTTP at iniksyon ang mga ito sa memorya; ang backdoor SMB/Exploit.DoublePulsarmay kakayahang mag-upload ng code nang direkta mula sa network sa pamamagitan ng pagsasamantala sa mga kahinaan ng SMB 1.0; o mga kampanya ng APT29 (The Dukes) tulad ng Operation Ghost, na may mga fileless backdoors tulad ng RegDuke at POSHSPY.

Pagtitiyaga: WMI, Pag-log, at Mga Gawain

Upang maiwasang mawalan ng access, maraming umaatake ang nagko-configure Mga subscription sa WMI pinagsasama-sama ang mga filter ng kaganapan at mga consumer (CommandLineEventConsumer) na naglulunsad ng PowerShell o iba pang mga pagkilos kapag natugunan ang isang kundisyon (hal., uptime ng system).

Pinipili ng iba na magtatag hiwalay na naka-iskedyul na mga gawain o baguhin ang Registry sa mga lokasyon ng pagsisimula. Bagama't iniiwasan ng fileless ideal ang pagsusulat sa disk, ang mga minimal na "mumo" na ito ay kadalasang lumilitaw kung nais ang tibay o muling pagpasok.

Sa kabaligtaran, ang mga pamamaraan na ito ay umalis mga nakikilalang artifact Kung maayos na na-audit: WMI repository, mga kahulugan ng gawain, binagong Registry key. Samakatuwid ang kahalagahan ng pagkakaroon ng mga patakaran sa pag-audit at telemetry sa lugar mula pa sa simula.

Mahalagang tandaan na ang RAM ay pabagu-bago. Samakatuwid, nang walang pagtitiyaga, a pagpapatuloy ng sistema Maaari nitong paalisin ang implant, ngunit huwag maging labis na kumpiyansa: ang isang umaatake na may access ay maaaring mag-reseed gamit ang parehong pamamaraan sa sandaling makita nila ang tamang pagkakataon.

Ang panganib sa korporasyon at kung bakit ang pagharang sa "sabay-sabay" ay hindi ang sagot

Blindly blocking mahahalagang tool tulad ng PowerShell Maaari itong makapinsala sa mga pagpapatakbo ng IT, at kahit na, hindi ito sapat: may mga paraan upang iwasan ang patakaran sa pagpapatupad, i-load ang PowerShell sa pamamagitan ng DLL, muling gamiting mga script, o i-package ang mga ito sa iba pang mga executable upang maiwasan ang mga pangunahing kontrol.

Ganoon din sa Mga macro sa opisinaBagama't ipinapayong i-disable ang mga ito bilang isang patakaran kapag pinahihintulutan ito ng negosyo, ang kanilang pagtuklas sa pamamagitan ng mga lagda o static na heuristic ay kumplikado at madaling kapitan ng mga maling positibo kapag may dating hindi nakikita o na-obfuscate na code.

Puro detection server-side o cloud-sideNang walang pag-iwas sa endpoint, ito ay humahantong sa latency at connectivity dependence; upang maitago ito sa tamang oras, ang ahente ng endpoint ay dapat na makagawa ng mga lokal na desisyon nang may buong konteksto ng system.

Sa huli, ang problema ay isa sa visibility at konteksto: kailangan nating maunawaan kung aling proseso ang tinatawag na alin, kung anong mga argumento, anong mga susi o gawain ang nilikha nito, anong mga koneksyon ang binuksan nito, at paano umuunlad ang kadena ng mga pangyayari en oras.

Ebolusyon at mga numero: isang pataas na kalakaran

Ang mga walang file na kampanya ay lumalaki nang maraming taon. Ang ilang mga ulat sa industriya ay itinuro sa oras na pagtaas ng 94% sa mga walang file na pag-atake sa isang semestre, na dumoble ang mga peak ng paggamit ng PowerShell sa loob ng ilang linggo (mula 2,5 hanggang 5,2 na pag-atake sa bawat 1.000 endpoint), isang malinaw na paalala na ang mga taktikang ito ay paborito ng mga umaatake.

Ang pag-akyat na ito ay ipinaliwanag sa pamamagitan ng kumbinasyon ng nakakasakit na kapanahunan, mga pagkabigo sa pagsakop ng lagda, ang katanyagan ng mga naka-target na pag-atake, at ang kadalian ng pagbabalatkayo sa sarili sa loob ng mga pinagkakatiwalaang proseso nang hindi nagtataas ng agarang hinala.

Paano matukoy ang walang file na malware

Ang susi ay lumipat mula sa pagkilala sa "sino ka" (file) hanggang sa pag-obserba ng "anong ginagawa mo“(pag-uugali). Real-time na endpoint monitoring —memorya, process tree, command line, Registry, network activity—ay nagbibigay-daan para sa pagkilala ng mga malisyosong pattern na karaniwan sa iba't ibang uri ng pamilya.

Mga modernong solusyon para sa EDR/XDR at mga makina ng IA Nakikita ng mga tagapagpahiwatig ng pag-uugali ang mga kahina-hinalang pagkakasunud-sunod gaya ng: Ang dokumento ng opisina na naglulunsad ng nakatagong PowerShell na walang pagpapatupad ng profile, pag-download ng memorya at kasunod na pag-iniksyon sa isa pang proseso na sinusundan ng pag-encrypt o exfiltration.

Bukod pa rito, napakahalaga na paganahin at isentro mga tala mula sa PowerShell (Binabuti ng v5+ ang traceability), paganahin ang Sysmon na pagyamanin ang mga kaganapan at subaybayan ang repositoryo ng WMI para sa mga hindi pangkaraniwang subscription, consumer, at binding.

Ang pagtatasa ng network ay nagdaragdag ng isa pang layer: inspeksyon ng gawi ng trapiko (C2, mga pattern ng exfiltration), pag-iwas sa mga pag-atake sa network, at ugnayan sa mga kaganapan sa endpoint. Kapag hinawakan ng malware ang kernel o nag-navigate sa protektadong memorya, maaaring magbigay ang network ng mga pahiwatig na hindi nakikita ng host.

Praktikal na gabay sa pag-iwas at pangangaso

Pinaghihigpitan ang paggamit ng PowerShell at WMI Ito ay para sa mga administrator at malinaw na mga kaso ng negosyo, na may AppLocker/WDAC o mahusay na tinukoy at naimbentaryo na mga patakaran sa pagpapatupad. Ito ay hindi tungkol sa simpleng pagbabawal, ngunit tungkol sa pagsasaayos, pag-log, at pag-alerto para sa mga paglihis.

Huwag paganahin at kontrolin macros Ipatupad ang Patakaran ng Grupo sa Tanggapan kung kailan posible, at ipatupad ang Protektadong View at mga digital na lagda sa mga template. Turuan ang mga user na kilalanin ang mga phishing na email at mga nakakahamak na link, dahil ang social engineering ay nananatiling mas gustong entry point.

Mag-apply mga patch Seguridad ng system at application, inuuna ang mga nakalantad na bahagi (mga browser, plugin, Office, .NET, mga serbisyo ng SMB). Sinusubaybayan ang mga kahinaan at binabawasan ang ibabaw ng pag-atake (hindi pagpapagana sa SMBv1, halimbawa, kung hindi mahalaga).

Pahusayin ang telemetry: Pinapagana ang advanced na PowerShell logging, Sysmon na may pinong set ng panuntunan, at pag-audit ng Pagpaparehistro at mga gawain, at mga panaka-nakang query sa WMI (hal., pagsuri sa __EventFilter, EventConsumer at FilterToConsumerBinding laban sa isang kilalang baseline).

Mag-install ng mga solusyon gamit ang pag-scan ng memorya at pagsusuri sa pag-uugali na may kakayahang tumukoy ng mga load na na-inject sa mga live na proseso, at tinatasa ang EDR/XDR para sa patuloy na pangangaso ng pagbabanta, pagpigil sa proseso, pagbabago ng pagbabalik at paghihiwalay ng kagamitan kung kinakailangan.

Taktikal na pagmamapa at pagtugon

Paggawa gamit ang balangkas MITER ATT&CK Nakakatulong itong tukuyin ang mga nauugnay na taktika/teknikal: pagpapatupad (T1059), paggamit ng PowerShell (T1059.001), WMI (T1047), pag-iniksyon sa proseso (T1055), pagtitiyaga sa pamamagitan ng Registry (T1112) o mga gawain (T1053), pag-exfiltration (T1041), bukod sa iba pa.

Sa isang tipikal na insidente, mahalagang buuin muli ang kumpletong "kuwento": anong attachment ang binuksan ng user, anong proseso ang inilunsad kung alin, kung anong mga argumento, anong artifact ang ginawa nila, at kung paano lumaganap ang chain. Iugnay ang buong konteksto Ito ay susi sa paghihiwalay ng ugat na salarin at pag-iwas sa pagputol kung saan hindi ito dapat putulin.

Ang ilang mga tagagawa ay nagpakilala ng mga konsepto tulad ng "StoryLine"Upang pagpangkatin ang mga nauugnay na proseso at wastong i-attribute ang pinagmulan ng pagbabanta. Ang diskarte na ito ay nagbibigay-daan sa pagpapagaan ng buong nakakahamak na grupo, pagbaliktad ng mga aksyon (mga key, file, koneksyon), at pag-iwang malinis ang endpoint nang hindi nakakaabala sa mga lehitimong proseso gaya ng email client."

Ang tugon ay dapat na lokal at mabilis: kung ang ahente ay mayroon na konteksto ng gumagamit, mga proseso, Registry, network at mga fileMaaari itong i-block, i-roll back, at ihiwalay nang hindi naghihintay ng mga desisyon sa cloud, na kritikal laban sa mga workload na nabubuhay lang sa memory sa loob ng ilang segundo.

Mga halimbawa ng pagtuklas at signal na susubaybayan

Maghanap ng mga invocation ng PowerShell na may ExecutionPolicy Bypass, nakatagong window, walang profile, at descargas mga pag-atake sa memorya na sinusundan ng Start-Process o injection. Ito ang mga karaniwang pattern sa mga pag-atake na nagmumula sa mga dokumentong may mga macro o DDE.

Sa WMI, suriin ang mga namespace ng ugat\subskripsyon upang mahanap ang mga filter ng kaganapan, mga consumer ng command-line, at mga binding na wala sa baseline. Lumilikha pa ito ng "nagtatanggol" na mga subscription na nag-aalerto sa iyo sa mga bagong kahina-hinalang bagay.

Sa Registry, bantayan ang mga bagay. mga susi sa pag-login at mga karaniwang lokasyon ng pagtitiyaga, at pinag-cross-reference ito sa prosesong telemetry. Gamit ang Sysmon, inoobserbahan nito ang paglikha ng proseso na may mga maanomalyang supling (Office → PowerShell → cmd → rundll32, atbp.).

Sa isang network, kinikilala nito ang mga papalabas na koneksyon sa mga domain o ruta hindi karaniwan, mga naka-encrypt na payload o incremental exfiltration, at iniuugnay ang mga aktibidad ng PowerShell/WMI sa mga spike sa mga papalabas na komunikasyon.

Mga serbisyo at kakayahan sa merkado

May mga pinamamahalaang serbisyo tulad ng EMDR (Enterprise Managed Detection and Response) na pinagsasama ang proactive detection batay sa MITRE ATT&CK na may real-time na tugon, at SOC 24/7 upang subaybayan, pag-aralan ang pag-uugali at magsagawa ng forensics kung kinakailangan.

Sa antas ng produkto, mga solusyon sa pagtuklas ng pag-uugali Sa mismong endpoint, mas epektibo ang mga ito laban sa mga walang file na pag-atake dahil hindi sila umaasa sa vector (exploit, macro, PowerShell, PowerSploit, exploit kit o kahit zero-day vulnerabilities) at maaaring awtomatikong baligtarin ang mga pagkilos.

Higit pa sa marketing, ang kritikal na bagay ay ang ahente ay may lahat ng lokal na konteksto (mga user, proseso, argumento, Registry, mga file at komunikasyon) na gumawa ng mga desisyon nang walang pagkaantala, pagaanin, ihiwalay at payagan ang patuloy na trabaho sa isang malinis na device.

Sa kasaysayan, tulad ng mga kampanya WannaCry Inilalarawan ng mga ito ang pagiging kapaki-pakinabang ng diskarteng ito: pagtuklas at pagpigil sa pamamagitan ng pag-uugali bago pa man magkaroon ng mga lagda, na makabuluhang nakabawas sa epekto sa mga protektadong organisasyon.

Ang pag-detect ng walang file na malware ay nangangailangan ng pagtingin sa kung saan aktwal na nangyayari ang pagkilos: memorya, ang command line, mga proseso, at ang kanilang relasyon sa paglipas ng panahon. Gamit ang mahusay na mga patakaran sa pag-log, PowerShell at WMI monitoring, endpoint behavior controls, layered defense, at ATT&CK mapping, ito ay ganap na makakamit. tanggalin ang nakaw sa isang banta na, sa pamamagitan ng likas na katangian nito, ay mas pinipiling huwag pansinin.