- Безфайловият зловреден софтуер избягва записването на изпълними файлове на диск, изпълнявайки се предимно в паметта и разчитайки на легитимни процеси като PowerShell или WMI.
- Тези техники затрудняват откриването от антивирусен софтуер, базиран на сигнатури, и налагат фокусиране върху поведението на процесите и непрекъснато наблюдение.
- Комбинацията от EDR/XDR, предотвратяване на експлойти, контрол на скриптове и макроси, инсталиране на корекции и MFA е ключова за намаляване на въздействието на безфайловите атаки.
Безфайлов зловреден софтуер Това се превърна в една от онези концепции за киберсигурност, които все по-често се споменават, но често се разбират само частично. Не говорим за типичния вирус, който изтегляте като .exe файл и остава на твърдия ви диск, а за нещо много по-скрито, което се движи предимно в паметта на компютъра и разчита на легитимни инструменти на самата операционна система.
С други думи, Безфайловият зловреден софтуер не е необходимо да се инсталира като класическа програма За да причини вреда, вирусът използва скриптове, процеси на Windows и компоненти като PowerShell, WMI или дори системния регистър, за да изпълнява злонамерен код във фонов режим. Това прави откриването с традиционните антивирусни решения изключително трудно и налага промяна в защитната стратегия към поведенчески анализ и непрекъснато наблюдение.
Какво точно е безфайлов зловреден софтуер?
Когато говорим за безфайлов зловреден софтуер, имаме предвид Това се отнася до категория заплахи, които избягват, доколкото е възможно, записването на постоянни злонамерени файлове на твърдия диск. Вместо това, атакуващият инжектира или изпълнява кода директно в паметта (RAM) или чрез надеждни процеси, които вече са налични в системата.
В традиционния зловреден софтуерАтакуващият подготвя изпълним файл, разпространява го (например чрез прикачен файл към имейл или изтегляне от мрежата), жертвата го изпълнява и този двоичен файл остава в системата, за да бъде рестартиран след всяко рестартиране. В безфайловия модел много от тези компоненти се заменят от скриптове или команди, които „живеят“ в паметта, разчитат на вградени помощни програми на Windows и изтриват или минимизират следите на диска.
Този подход стана особено популярен от 2017 г. нататък.Тогава започнаха да се откриват по-мащабни кампании, които вече не се ограничаваха само до силно насочени атаки. Оттогава производители като Kaspersky, SentinelOne и други големи доставчици на сигурност наблюдават появата на семейства троянски коне, рекламен софтуер и кликери с интегрирани във веригата им за атаки компоненти без файлове.
Важна характеристика Проблемът е, че много пъти не си имаме работа с „нов тип зловреден софтуер“ по отношение на функционалността, а с нов начин за внедряване на същите стари заплахи: ransomware, крадци на идентификационни данни, RAT (инструменти за отдалечен достъп) или cryptominer-и могат да използват безфайлови техники, за да заобиколят откривания, базирани на сигнатури.
Как работи безфайловият зловреден софтуер в системата
Основните механизми на тези атаки Той се различава от класическия зловреден софтуер по един ключов аспект: злонамереният код не се записва като видим изпълним файл на диска. Обикновено приложенията се инсталират или копират в хранилището и когато потребителят ги отвори, копие се зарежда в паметта. В случай на безфайлов зловреден софтуер, тази стъпка на запис на диска се заобикаля и той работи почти изцяло от предварително заредени процеси.
За да постигнат това, нападателите злоупотребяват с това, което е известно като живот от земята.Те използват легитимни системни функции, скриптове и инструменти (LoLBins) вместо чужди двоични файлове. PowerShell е основният пример в Windows среди, тъй като предоставя привилегирован достъп до системни API и позволява изпълнението на сложни скриптове с един команден ред.
Типичен сценарий на атака Започва с фишинг имейл, съдържащ злонамерен линк или прикачен файл. Съобщението се опитва да създаде усещане за неотложност или доверие (например, като се представя за финансов, човешки ресурси или доставчик) и убеждава потребителя да отвори файла или да кликне върху линка. Оттам могат да се задействат макроси, PowerShell команди, VBScript или JScript скриптове, които изтеглят или изпълняват полезния товар директно в паметта.
В много случаи се случва и експлоатация на уязвимости.Уязвимост от типа „препълване на буфера“ или „изпълнение на отдалечен код“ (RCE) в браузър, плъгин или десктоп приложение позволява на атакуващия да изпълни шел код в самия компрометиран процес, без да записва на диск. Оттам атакуващият може да инжектира още код в паметта, да внедри допълнителни скриптове или да манипулира системните процеси.
Друг път, безфайловият зловреден софтуер разчита на системния регистър на Windows. За да се установи постоянство, без да се оставя „очевиден“ изпълним файл във файловата система. Например, можете да съхраните кодиран скрипт като стойност на ключ за автоматично изпълнение и да стартирате инструменти като PowerShell или WMI, за да декодирате и изпълните този код, когато потребителят влезе в системата.
Основни техники, използвани от безфайловия зловреден софтуер
Съвременните кампании комбинират няколко техники за безфайлово представяне за увеличаване на избягването и постоянството. Не всички от тях се отнасят за всяка атака, но е полезно да знаете най-често срещаните, защото често се появяват смесени заедно:
1. Злонамерени скриптове в WMI (Windows Management Instrumentation)
Често срещана тактика включва съхраняването на злонамерени скриптове като част от WMI абонаменти. Тези абонаменти могат да се изпълняват, когато възникнат определени системни събития (като стартиране или влизане в системата), което позволява на зловредния софтуер да се активира без традиционен изпълним файл. Кодът остава вграден в самата инфраструктура за управление на Windows.
2. PowerShell като централен вектор
Друг класически метод е да се предаде злонамереният скрипт директно като параметър от командния ред на PowerShell. Това може да се направи от Office документ с макроси, от привидно легитимен изпълним файл или с помощта на системни помощни програми като mshta или rundll32, които стартират PowerShell прикрито. Този подход позволява на атакуващите да разтоварят допълнителни полезни товари в паметта, да манипулират системата и да комуникират със сървъри за командване и контрол, без да записват нищо трайно на диска.
3. Скриптове, съхранени в системния регистър или планировчика на задачи
Атакуващите съхраняват твърдо кодирани скриптове в ключове на системния регистър на Windows или записи в планировчика на задачи. След това легитимен процес чете и изпълнява тези скриптове, често чрез LoLBins, като powershell.exe, cscript, wscript или дори cmd. По този начин, постоянството на атакуващия е прикрито сред нормалните конфигурации за стартиране и планираните задачи.
4. .NET зареждания, отразени в паметта
Използвайки техники за рефлексия в .NET, злонамерен двоичен файл може да бъде зареден директно в паметта като асемблиране, без да се записва физическият файл. Приложението, извършващо това зареждане, може да бъде легитимно или част от административен инструмент, което затруднява разграничаването на злонамерена от легитимна дейност само чрез проверка на файловете на диска.
5. Използване на двоични файлове, подписани от Microsoft
Инструменти като mshta.exe или rundll32.exe, подписани от Microsoft и присъстващи на всички Windows системи, често се използват като програми за стартиране. Те могат да изпълняват HTML, JavaScript, VBScript или DLL скриптове, съдържащи злонамерен код. Тъй като се считат за надеждни процеси, много основни проверки за сигурност ги позволяват да преминат по подразбиране.
6. Документи с макроси и други активни функции
Word, Excel, PowerPoint или PDF файлове могат да съдържат макроси, DDE полета или да използват специфични за четеца уязвимости за стартиране на команди. Привидно чист документ може да задейства PowerShell ред, който изтегля и изпълнява полезен товар в паметта или инжектира код в съществуващи процеси, всичко това без жертвата да вижда нищо повече от „нормален“ документ.
7. Уебшълове и компоненти, получени чрез HTTP
В сървърни среди, нападателите инсталират уеб-обвивки (като Godzilla и други), които получават компоненти на зловреден софтуер чрез HTTP заявки. Тези фрагменти се инжектират директно в паметта в рамките на уеб сървъра или приложния процес, без да е необходимо да се записват допълнителни библиотеки или двоични файлове на диск.
Фази на атака със зловреден софтуер без файлове
Атаката без файлове обикновено следва подобна верига от стъпки подобно на всеки инцидент със зловреден софтуер, но адаптирано да минимизира използването на физически файлове и да увеличи максимално поддръжката в съществуващите процеси.
1. Първоначален достъп до оборудването или мрежата
Най-честата входна точка остава фишингът: имейли с връзки към злонамерени сайтове, прикачени файлове към Office файлове, съдържащи макроси, PDF файлове с експлойти или прости изпълними файлове, маскирани като документи. Уязвимости в открити услуги, недостатъци в уеб приложения или откраднати идентификационни данни също се използват за получаване на достъп чрез RDP или други решения за отдалечен достъп.
2. Изпълнение на код в паметта
След като първоначалното проникване е постигнато, атакуващият изпълнява безфайлов код, използвайки PowerShell, WMI, VBScript, JScript или shellcode скриптове, инжектирани в работещи процеси. Често срещано е да се използват команди, които директно предават скрипта на командния ред, често обфусцирани, и да се конфигурира политиката за изпълнение на PowerShell в режим на заобикаляне, за да се заобиколят ограниченията.
3. Упоритост и странично движение
За да се запази достъпът след рестартиране, се създават механизми за запазване, използващи системния регистър, WMI абонаменти, планирани задачи или модифицирани „легитимни“ услуги. Оттам зловредният софтуер може да се разпространява странично към други машини, използвайки компрометирани идентификационни данни, стандартни административни инструменти и общи корпоративни протоколи, всичко това с минимално използване на нови файлове.
4. Действия по целта
В последната фаза зловредният софтуер изпълнява предназначението си: кражба на идентификационни данни, криптиране на файлове с ransomware, инсталиране на RAT-ове, извличане на чувствителна информация или внедряване на криптоминьори. Много от тези действия се извършват чрез доброкачествени процеси, които просто са „принудени“ да се държат аномално.
Какво може да направи безфайловият зловреден софтуер и защо е толкова опасен?
По отношение на способността си да причинява щети, безфайловият зловреден софтуер практически няма ограничения. За разлика от традиционния зловреден софтуер, той използва скриптове в паметта и надеждни процеси, за да действа като:
Крадец на информация и идентификационни данни
Може да регистрира натискания на клавиши, да извлича пароли от паметта на процеси като браузъри или мениджъри на идентификационни данни и да изпраща всички тези данни към външен сървър. Тъй като много от тези операции се извършват чрез административни инструменти, основните предупреждения не винаги се задействат.
Безфайлов рансъмуер
Някои семейства ransomware са включили техники за безфайлово изпълнение от паметта, масово криптиране на файлове и изтриване на всички следи след завършване на операцията. Тъй като не разчитат на видим двоичен файл, прозорецът за откриване е стеснен и реакцията трябва да бъде много бърза, за да се предотврати бедствие.
RAT-ове и постоянни задни вратички
Комплектите за отдалечен достъп могат да се намират частично в паметта и да разчитат на системния регистър или WMI, за да останат активни. Това позволява на атакуващите да се движат из мрежата с месеци, събирайки информация или подготвяйки се за бъдещи фази на атаката, често без да будят подозрение.
Криптоминьори и злоупотреба с ресурси
Безфайловият скрипт може да стартира процеси на добив, да се свързва с криптовалутни пулове и да натовари процесора и графичния процесор, особено на сървъри, които рядко се рестартират. Въздействието е забележимо в намаляване на производителността и повишена консумация на енергия, но проследяването на източника може да бъде трудно без подробно наблюдение на активността на процесите.
Големият проблем за бизнеса и потребителите Зловредният софтуер без файлове е проектиран от самото начало, за да заобикаля антивирусен софтуер, базиран на сигнатури, и сканиране на файлове в определен момент. Ако защитите спрат до това ниво, организациите могат да бъдат напълно неподготвени за този тип атаки.
Защо безфайловият зловреден софтуер е толкова труден за откриване
Основното тактическо предимство на тези заплахи Проблемът е, че те почти не оставят следи във файловата система. Работейки с легитимни процеси и разчитайки на RAM паметта, традиционните дискови скенери рядко откриват нещо подозрително.
Липса на разпознаваеми злонамерени файлове
Традиционните двигатели разчитат на сигнатури: те откриват байтови модели, свързани с известен зловреден софтуер във файловете. Ако атакуващият избегне създаването на файлове или ги изтрие веднага след употреба, тази сигнатура никога не се проверява. Ето защо много атаки без файлове успяват да избегнат контролите, които се фокусират единствено върху съхранението.
Интензивно използване на надеждни процеси
PowerShell, WMI, mshta, rundll32, cscript, wscript и дори приложенията на Office са от съществено значение за администрирането и ежедневната работа. Простото им блокиране би нарушило ИТ операциите и бизнеса. Това прави дори най-основните контроли прекалено либерални с тези инструменти, което атакуващите използват, за да скрият кода си в тях.
Ограничения на много традиционни антивирусни програми
Много стари решения не са проектирани за задълбочена проверка на процесите в паметта, командните редове, параметрите за изпълнение или корелациите между системните събития. Без тази видимост е много трудно да се открие, че зад процес на Office е стартиран PowerShell скрипт с обфусиран низ, който изтегля код от подозрителен домейн.
Техники за обфускация и антианализ
Атакуващите използват обфускация на скриптове, base64 кодиране, фрагментация на код или вграждане на скриптове в изображения (например, използвайки техники, подобни на Invoke-PSImage), за да усложнят статичния анализ. В резултат на това, дори инструменти, които извличат макроси или скриптове от файл, могат да се затруднят да определят дали са злонамерени, без да генерират голям брой фалшиви положителни резултати.
Съвременни стратегии за откриване: от файл към поведение
За борба с безфайловия зловреден софтуер, простото „извършване на антивирусно сканиране“ от време на време вече не е достатъчно.Ясната тенденция е да се комбинират няколко слоя сигурност, фокусирани върху поведението на процесите и корелацията на събитията.
Поведенчески анализ в реално време
Съвременните EDR и XDR решения наблюдават цялата съответна активност на крайните точки: стартирани процеси, аргументи от командния ред, достъп до системния регистър, използване на административни инструменти, мрежови връзки и т.н. Вместо да разчитат единствено на сигнатури, те откриват типични модели на поведение на зловреден софтуер, като например отваряне на скрит екземпляр на PowerShell от документ на Office и след това изтегляне на двоичен файл от ненадежден домейн.
Двигатели за предотвратяване на експлойти
Слоят за предотвратяване на експлойти (EP) има за цел да блокира атаките по време на фазата на експлоатация на уязвимостта, преди зловредният софтуер да може да изпълни своя шелкод в целевия процес. Това значително намалява повърхността за атака, достъпна за верижно свързване на безфайлови техники, които експлоатират уязвимости на RCE или препълване на буфера.
Анализ на критичните области на системата
Разширените инструменти периодично и автоматично сканират области като задачи на планировчика, чувствителни ключове в системния регистър, WMI абонаменти и други често срещани точки на постоянство. Целта е да се открият аномални записи, обфускирани скриптове или задачи, които изпълняват подозрителни команди, дори когато не са видими свързани двоични файлове.
Използване на ETW и AMSI в Windows
Windows предоставя технологии като Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI), които позволяват регистриране на ниско ниво и анализ на изпълнението на скриптове и друго съдържание. Интегрирането на тези механизми в решения за сигурност позволява проверка на съдържанието на PowerShell, VBScript или JScript непосредствено преди изпълнение, което драстично увеличава възможностите за откриване.
Лов на заплахи и непрекъснато разузнаване
Освен автоматизираните засичания, много организации използват екипи за търсене на заплахи, които проактивно анализират средата им за индикатори за атаки, свързани с техники без файлове. Тези екипи разчитат на рамки като MITRE ATT&CK, консултират се с историческа телеметрия и усъвършенстват правилата за засичане, за да предвидят нови кампании.
Въздействие върху организациите и предизвикателства пред доставчиците на услуги за сигурност
За бизнеса, безфайловият зловреден софтуер е голямо главоболие. Защото атакува точно там, където боли: в процесите и инструментите, които не могат просто да бъдат блокирани, без да се навреди на бизнеса. Пълното деактивиране на PowerShell, например, би усложнило системната администрация и би генерирало вътрешна съпротива в ИТ екипите.
Същото важи и за макросите на Office.
Много корпоративни работни процеси все още разчитат на документи, които използват макроси за автоматизиране на задачи. Въпреки че Microsoft предлага опции за деактивирането им, реалността е, че много организации ги поддържат активни по необходимост. Доставчиците на решения за сигурност са се опитали да смекчат това чрез извличане и анализ на макро код, но точното му класифициране, без да се задействат фалшиви положителни резултати, е значително предизвикателство.
Опити за защита само от страна на сървъра
Някои решения делегират почти цялата логика за откриване към облака или централните сървъри. Това въвежда зависимост от латентност и свързаност: агентът трябва да изчака решението на сървъра, преди да действа, което затруднява предотвратяването в реално време. Освен това, при много бързи атаки, като някои безфайлови ransomware програми, дори няколко секунди забавяне могат да окажат решаващо значение.
Клиентите изискват ясно покритие срещу атаки без файлове
С нарастването на осведомеността за тези видове заплахи, организациите оказват натиск върху производителите да демонстрират, че техните продукти наистина блокират кампании без файлове, а не просто добавят повърхностни корекции. Това е довело до разработването на базирани на изкуствен интелект двигатели, корелация на събития и модели StoryLine или графики на атаките, които реконструират истинския произход на злонамерената дейност.
Най-добри практики за предотвратяване на безфайлов зловреден софтуер
Въпреки че никоя среда не може да бъде 100% сигурна, има редица мерки, които могат да бъдат предприети. което значително намалява шансовете за сериозна безфайлова инфекция и подобрява шансовете за ранното ѝ откриване.
Стриктно управление на скриптове и административни инструменти
Ограничаването на това кой може да използва PowerShell, WMI, cscript, wscript и други високорискови помощни програми е ключово. Това включва прилагане на ограничителни политики за изпълнение, използване на подписани версии на скриптове, регистриране на цялата активност на тези двоични файлове и блокиране на аномални модели на употреба (например PowerShell, стартиран от процес на Office с обфускирани параметри).
Контрол на активни макроси и документи
В идеалния случай макросите трябва да бъдат деактивирани по подразбиране и разрешени само за конкретни потребители или шаблони, след предварителен преглед. Препоръчително е също така да се филтрират прикачени файлове към имейли, които може да съдържат активен код, и да се използват решения, които анализират документи в изолирани среди, преди да ги доставят на потребителя.
Непрекъснато отстраняване на уязвимости
Поддържането на браузъри, плъгини, офис пакети, операционни системи и сървърни приложения актуални с най-новите корекции драстично намалява възможностите за злоупотреба. Допълването на това със системи за предотвратяване на прониквания (IPS) помага за запълване на пропуски в приложенията, които не могат да бъдат актуализирани незабавно.
Надеждно удостоверяване и модел с нулево доверие
Тъй като много атаки без файлове разчитат на компрометирани идентификационни данни, прилагането на принципите MFA (многофакторно удостоверяване) и Zero Trust (недоверяване на никого или на което и да е устройство по подразбиране) ограничава способността на нападателя да се движи странично и да ескалира привилегиите, след като влезе вътре.
Мониторинг и управляван отговор
Услуги като външни SOC или MDR/EMDR платформи позволяват на организации без големи вътрешни екипи да имат 24/7 мониторинг, усъвършенствана корелация на сигналите и възможности за бързо реагиране. Тези услуги често разчитат на рамки като MITRE ATT&CK, за да картографират тактики и техники, включително тези, свързани с безфайлов зловреден софтуер.
Накратко, зловредният софтуер без файлове си е спечелил репутацията. Защото перфектно използва слабостите на традиционните подходи, базирани на файлове и сигнатури. Разбирането как се инфилтрира, какви техники използва (PowerShell, WMI, системен регистър, макроси, уеб шелове, памет, LoLBins) и какви щети може да причини е първата стъпка в укрепването на защитата с EDR/XDR, поведенчески анализ, лов на заплахи и строги политики за използването на административни инструменти и активни документи.
