Zlonamjerni softver bez datoteka: šta je to, kako funkcioniše i kako ga zaustaviti

Zlonamjerni softver bez datoteka To je postao jedan od onih koncepata kibernetičke sigurnosti koji se sve češće spominje, ali se često samo djelimično razumije. Ne govorimo o tipičnom virusu koji preuzmete u .exe datoteci i koji ostaje na vašem tvrdom disku, već o nečemu mnogo prikrivenijem, što se prvenstveno kreće unutar memorije računara i oslanja se na legitimne alate samog operativnog sistema.

Drugim rečima, Zlonamjerni softver bez datoteka ne mora se instalirati kao klasični program Da bi nanio štetu, koristi skripte, Windows procese i komponente poput PowerShella, WMI-ja ili čak Registra za izvršavanje zlonamjernog koda u pozadini. To izuzetno otežava otkrivanje tradicionalnim antivirusnim rješenjima i zahtijeva promjenu strategije odbrane prema analizi ponašanja i kontinuiranom praćenju.

Šta je tačno malware bez datoteka?

Kada govorimo o zlonamjernom softveru bez datoteka, mislimo na Ovo se odnosi na kategoriju prijetnji koja, koliko god je to moguće, izbjegava upisivanje trajnih zlonamjernih datoteka na tvrdi disk. Umjesto toga, napadač ubrizgava ili izvršava kod direktno u memoriju (RAM) ili putem pouzdanih procesa koji su već prisutni u sistemu.

U tradicionalnom zlonamjernom softveruNapadač priprema izvršnu datoteku, distribuira je (na primjer, putem priloga e-pošte ili preuzimanja s weba), žrtva je pokreće, a ta binarna datoteka ostaje na sistemu da bi se ponovo pokrenula nakon svakog ponovnog pokretanja. U modelu bez datoteka, mnoge od ovih komponenti su zamijenjene skriptama ili naredbama koje "žive" u memoriji, oslanjaju se na ugrađene Windows uslužne programe i brišu ili minimiziraju tragove na disku.

Ovaj pristup je postao posebno popularan od 2017. godine nadalje.Tada su počele da se otkrivaju masovnije kampanje, koje više nisu bile ograničene samo na visoko ciljane napade. Od tada, proizvođači poput Kasperskyja, SentinelOnea i drugih velikih sigurnosnih provajdera primijetili su pojavu porodica trojanaca, adwarea i klikera sa komponentama bez datoteka integriranim u njihov lanac napada.

Važna karakteristika Problem je što se mnogo puta ne suočavamo s "novom vrstom zlonamjernog softvera" u smislu funkcionalnosti, već s novim načinom primjene istih starih prijetnji: ransomware, kradljivci vjerodajnica, RAT-ovi (alati za daljinski pristup) ili kriptorudari mogu koristiti tehnike bez datoteka kako bi zaobišli detekcije zasnovane na potpisima.

Kako zlonamjerni softver bez datoteka funkcionira na sistemu

Osnovna mehanika ovih napada Razlikuje se od klasičnog zlonamjernog softvera u jednom ključnom aspektu: zlonamjerni kod se ne pohranjuje kao vidljiva izvršna datoteka na disk. Obično se aplikacije instaliraju ili kopiraju u memoriju, a kada ih korisnik otvori, kopija se učitava u memoriju. U slučaju zlonamjernog softvera bez datoteka, ovaj korak pisanja na disk se zaobilazi i softver gotovo u potpunosti funkcionira iz unaprijed učitanih procesa.

Da bi to postigli, napadači zloupotrebljavaju ono što je poznato kao život od zemlje.Oni koriste legitimne sistemske funkcije, skripte i alate (LoLBins) umjesto stranih binarnih datoteka. PowerShell je glavni primjer u Windows okruženjima, jer pruža privilegovan pristup sistemskim API-jima i omogućava pokretanje složenih skripti pomoću jedne komandne linije.

Tipičan scenario napada Počinje phishing e-poštom koja sadrži zlonamjerni link ili prilog. Poruka pokušava stvoriti osjećaj hitnosti ili povjerenja (na primjer, lažnim predstavljanjem kao finansijski, ljudski resursi ili dobavljač) i uvjerava korisnika da otvori datoteku ili klikne na link. Odatle se mogu pokrenuti makroi, PowerShell naredbe, VBScript ili JScript skripte, preuzimajući ili izvršavajući korisni teret direktno u memoriju.

U mnogim slučajevima dolazi i do iskorištavanja ranjivosti.Ranjivost koja prelijeva bafer ili omogućava udaljeno izvršavanje koda (RCE) u pregledniku, dodatku ili desktop aplikaciji omogućava napadaču da izvrši shell kod unutar samog kompromitovanog procesa, bez pisanja na disk. Odatle napadač može ubrizgati više koda u memoriju, implementirati dodatne skripte ili manipulirati sistemskim procesima.

U drugim slučajevima, zlonamjerni softver bez datoteka oslanja se na Windows registar. Da biste uspostavili perzistentnost bez ostavljanja "očigledne" izvršne datoteke u datotečnom sistemu. Na primjer, možete pohraniti kodiranu skriptu kao vrijednost ključa za automatsko pokretanje i pokrenuti alate poput PowerShell-a ili WMI-a za dekodiranje i izvršavanje tog koda kada se korisnik prijavi.

Glavne tehnike koje koristi zlonamjerni softver bez datoteka

Moderne kampanje kombinuju nekoliko tehnika bez datoteka povećati izbjegavanje i upornost. Nisu svi primjenjivi na svaki napad, ali je korisno znati najčešće jer se često pojavljuju zajedno:

1. Zlonamjerni skripti u WMI-ju (Windows Management Instrumentation)
Uobičajena taktika uključuje pohranjivanje zlonamjernih skripti kao dijela WMI pretplata. Ove pretplate se mogu izvršiti kada se dogode određeni sistemski događaji (kao što su pokretanje ili prijava), što omogućava aktiviranje zlonamjernog softvera bez tradicionalne izvršne datoteke. Kod ostaje ugrađen u samu infrastrukturu upravljanja Windowsom.

2. PowerShell kao centralni vektor
Druga klasična metoda je direktno prosljeđivanje zlonamjernog skripta kao parametra komandne linije PowerShellu. To se može učiniti iz Office dokumenta s makroima, iz naizgled legitimne izvršne datoteke ili korištenjem sistemskih uslužnih programa poput mshta ili rundll32 koji pokreću PowerShell u prikrivenom obliku. Ovaj pristup omogućava napadačima da prebace dodatne korisne podatke u memoriju, manipulišu sistemom i komuniciraju sa komandnim i kontrolnim serverima bez trajnog zapisivanja ičega na disk.

3. Skripte pohranjene u registru ili planeru zadataka
Napadači pohranjuju ugrađene skripte u ključeve Windows registra ili unose u Task Scheduler. Legitimni proces zatim čita i izvršava ove skripte, često putem LoLBins datoteka kao što su powershell.exe, cscript, wscript ili čak cmd. Na ovaj način, upornost napadača je prikrivena normalnim konfiguracijama pokretanja i planiranim zadacima.

4. .NET učitavanja koja se odražavaju u memoriji
Korištenjem tehnika refleksije u .NET-u, zlonamjerni binarni fajl može se učitati direktno u memoriju kao sklop bez pisanja fizičke datoteke. Aplikacija koja vrši ovo učitavanje može biti legitimna ili dio administrativnog alata, što otežava razlikovanje zlonamjerne aktivnosti od legitimne aktivnosti samo pregledom datoteka na disku.

5. Korištenje binarnih datoteka koje je potpisao Microsoft
Alati poput mshta.exe ili rundll32.exe, koje je potpisao Microsoft i koji su prisutni na svim Windows sistemima, često se koriste kao pokretači. Oni mogu izvršavati HTML, JavaScript, VBScript ili DLL skripte koje sadrže zlonamjerni kod. Budući da se smatraju pouzdanim procesima, mnoge osnovne sigurnosne provjere im podrazumijevano dozvoljavaju da prođu.

6. Dokumenti s makroima i drugim aktivnim funkcijama
Word, Excel, PowerPoint ili PDF datoteke mogu sadržavati makroe, DDE polja ili iskorištavati ranjivosti specifične za čitača za pokretanje naredbi. Naizgled čist dokument može pokrenuti PowerShell liniju koja preuzima i izvršava korisni teret u memoriji ili ubrizgava kod u postojeće procese, a sve to bez da žrtva vidi išta više od "normalnog" dokumenta.

7. Webshell-ovi i komponente primljene putem HTTP-a
U serverskim okruženjima, napadači instaliraju webshell-ove (kao što je Godzilla i drugi) koji primaju komponente zlonamjernog softvera putem HTTP zahtjeva. Ovi fragmenti se ubrizgavaju direktno u memoriju unutar web servera ili procesa aplikacije, bez potrebe za pisanjem dodatnih biblioteka ili binarnih datoteka na disk.

Faze napada zlonamjernog softvera bez datoteka

Napad bez datoteka obično prati sličan lanac koraka slično bilo kojem incidentu sa zlonamjernim softverom, ali prilagođeno da minimizira upotrebu fizičkih datoteka i maksimizira podršku u postojećim procesima.

1. Početni pristup opremi ili mreži
Najčešća ulazna tačka i dalje je phishing: e-poruke sa linkovima ka zlonamjernim stranicama, prilozi u Office dokumentima koji sadrže makroe, PDF-ovi sa exploit-ima ili jednostavne izvršne datoteke prerušene u dokumente. Ranjivosti u izloženim servisima, nedostaci u web aplikacijama ili ukradeni akreditivi također se iskorištavaju za dobijanje pristupa putem RDP-a ili drugih rješenja za udaljeni pristup.

2. Izvršavanje koda u memoriji
Nakon što se postigne početni upad, napadač izvršava kod bez datoteka koristeći PowerShell, WMI, VBScript, JScript ili shellcode skripte ubrizgane u pokrenute procese. Uobičajeno je koristiti naredbe koje direktno prosljeđuju skriptu u komandnu liniju, često maskirane, i konfigurirati PowerShell-ovu politiku izvršavanja u zaobilaznom režimu kako bi se zaobišla ograničenja.

3. Upornost i lateralno kretanje
Da bi se održao pristup nakon ponovnog pokretanja, mehanizmi perzistencije se kreiraju korištenjem Registra, WMI pretplata, planiranih zadataka ili modificiranih "legitimnih" usluga. Odatle se zlonamjerni softver može širiti lateralno na druge mašine koristeći kompromitirane akreditive, standardne administrativne alate i uobičajene korporativne protokole, sve uz minimalnu upotrebu novih datoteka.

4. Akcije na cilju
U završnoj fazi, zlonamjerni softver ispunjava svoju svrhu: krade akreditive, šifrira datoteke ransomwareom, instalira RAT-ove, izvlači osjetljive informacije ili postavlja kriptorudare. Mnoge od ovih radnji se provode putem benignih procesa koji su jednostavno "prisiljeni" da se ponašaju anomalno.

Šta može učiniti zlonamjerni softver bez datoteka i zašto je toliko opasan?

Što se tiče svoje sposobnosti da nanese štetu, zlonamjerni softver bez datoteka praktično nema ograničenja. Za razliku od tradicionalnog zlonamjernog softvera, koristi skripte u memoriji i pouzdane procese kako bi djelovao kao:

Kradljivac informacija i akreditiva
Može evidentirati pritiske tipki, izvući lozinke iz memorije procesa poput preglednika ili upravitelja vjerodajnica i poslati sve te podatke na vanjski server. Budući da se mnoge od ovih operacija izvode putem administrativnih alata, osnovna upozorenja se ne aktiviraju uvijek.

Ransomware bez datoteka
Određene porodice ransomwarea imaju ugrađene tehnike bez datoteka za izvršavanje iz memorije, masovno šifriranje datoteka i brisanje svih tragova nakon što je operacija završena. Budući da se ne oslanjaju na vidljivu binarnu datoteku, prozor detekcije je sužen i odgovor mora biti vrlo brz kako bi se spriječila katastrofa.

RAT-ovi i uporni backdoor-ovi
Kompleti za udaljeni pristup mogu se djelomično nalaziti u memoriji i oslanjati se na Registar ili WMI da bi ostali aktivni. To omogućava napadačima da se mjesecima kreću po mreži, prikupljajući informacije ili pripremajući se za buduće faze napada, često bez izazivanja sumnje.

Kriptorudari i zloupotreba resursa
Skript bez datoteka može pokrenuti procese rudarenja, povezati se s kripto-bazama i opteretiti korištenje CPU-a i GPU-a, posebno na serverima koji se rijetko ponovo pokreću. Utjecaj je primjetan u smanjenju performansi i povećanoj potrošnji energije, ali praćenje izvora može biti teško bez detaljnog praćenja aktivnosti procesa.

Veliki problem za preduzeća i korisnike Zlonamjerni softver bez datoteka dizajniran je od temelja kako bi izbjegao antivirusni softver zasnovan na potpisima i skeniranje datoteka u određenom trenutku. Ako se odbrana zaustavi na ovom nivou, organizacije mogu biti potpuno nespremne za ove vrste napada.

Zašto je tako teško otkriti zlonamjerni softver bez datoteka

Glavna taktička prednost ovih prijetnji Problem je što gotovo ne ostavljaju traga na datotečnom sistemu. Radeći na legitimnim procesima i oslanjajući se na RAM, tradicionalni skeneri diskova rijetko otkrivaju išta sumnjivo.

Odsustvo prepoznatljivih zlonamjernih datoteka
Tradicionalni mehanizmi se oslanjaju na potpise: oni detektuju obrasce bajtova povezane sa poznatim zlonamjernim softverom unutar datoteka. Ako napadač izbjegne kreiranje datoteka ili ih odmah izbriše nakon upotrebe, taj potpis se nikada ne provjerava. Zbog toga mnogi napadi bez datoteka uspijevaju izbjeći kontrole koje se fokusiraju isključivo na pohranu.

Intenzivna upotreba pouzdanih procesa
PowerShell, WMI, mshta, rundll32, cscript, wscript, pa čak i Office aplikacije su neophodne za administraciju i svakodnevni rad. Samo njihovo blokiranje bi poremetilo IT operacije i poslovanje. Zbog toga su čak i najosnovnije kontrole previše popustljive s ovim alatima, što napadači iskorištavaju da sakriju svoj kod unutar njih.

Ograničenja mnogih tradicionalnih antivirusnih programa
Mnoga naslijeđena rješenja nisu dizajnirana za dubinsku analizu procesa u memoriji, komandnih linija, parametara izvršavanja ili korelacija između sistemskih događaja. Bez ove vidljivosti, vrlo je teško otkriti da je iza Office procesa pokrenuta PowerShell skripta sa zamaskiranim nizom koji preuzima kod sa sumnjive domene.

Tehnike zamagljivanja i antianalize
Napadači koriste maskiranje skripti, base64 kodiranje, fragmentaciju koda ili ugrađivanje skripti u slike (na primjer, korištenjem tehnika sličnih Invoke-PSImage) kako bi zakomplicirali statičku analizu. Kao rezultat toga, čak i alati koji izdvajaju makroe ili skripte iz datoteke mogu imati poteškoća s utvrđivanjem jesu li zlonamjerni bez generiranja velikog broja lažno pozitivnih rezultata.

Moderne strategije detekcije: od datoteke do ponašanja

Za borbu protiv zlonamjernog softvera bez datoteka, više nije dovoljno samo "povremeno pokretanje antivirusnog skeniranja".Jasan trend je kombinovanje nekoliko slojeva sigurnosti fokusiranih na ponašanje procesa i korelaciju događaja.

Analiza ponašanja u realnom vremenu
Moderna EDR i XDR rješenja prate sve relevantne aktivnosti krajnjih tačaka: pokrenute procese, argumente komandne linije, pristup registru, korištenje administrativnih alata, mrežne veze i tako dalje. Umjesto da se oslanjaju isključivo na potpise, oni detektuju tipične obrasce ponašanja zlonamjernog softvera, kao što je otvaranje skrivene PowerShell instance Office dokumenta, a zatim preuzimanje binarne datoteke iz nepouzdane domene.

Mehanizmi za sprečavanje iskorištavanja
Sloj za prevenciju eksploatacije (EP) ima za cilj blokiranje napada tokom faze iskorištavanja ranjivosti, prije nego što zlonamjerni softver može izvršiti svoj shellcode u ciljanom procesu. Ovo značajno smanjuje površinu napada dostupnu za ulančavanje tehnika bez datoteka koje iskorištavaju RCE ranjivosti ili prelijevanje bafera.

Analiza kritičnih područja sistema
Napredni alati periodično i automatski skeniraju područja kao što su zadaci planera, osjetljivi ključevi registra, WMI pretplate i druge uobičajene tačke perzistencije. Cilj je otkriti anomalne unose, maskirane skripte ili zadatke koji izvršavaju sumnjive naredbe, čak i kada nisu vidljive povezane binarne datoteke.

Korištenje ETW-a i AMSI-ja u Windowsu
Windows pruža tehnologije kao što su praćenje događaja za Windows (ETW) i Antimalware Scan Interface (AMSI) koje omogućavaju evidentiranje i analizu izvršavanja skripti i drugog sadržaja na niskom nivou. Integracija ovih mehanizama u sigurnosna rješenja omogućava pregled PowerShell, VBScript ili JScript sadržaja neposredno prije izvršavanja, što dramatično povećava mogućnosti detekcije.

Lov na prijetnje i kontinuirano obavještajno djelovanje
Pored automatizovanih detekcija, mnoge organizacije zapošljavaju timove za lov na prijetnje koji proaktivno analiziraju njihovo okruženje u potrazi za indikatorima napada povezanih s tehnikama bez datoteka. Ovi timovi se oslanjaju na okvire kao što je MITRE ATT&CK, konsultuju historijsku telemetriju i usavršavaju pravila detekcije kako bi predvidjeli nove kampanje.

Uticaj na organizacije i izazovi za pružaoce sigurnosnih usluga

Za preduzeća, zlonamjerni softver bez datoteka predstavlja veliku glavobolju. Zato što napada tačno tamo gdje boli: u procesima i alatima koji se ne mogu jednostavno blokirati bez nanošenja štete poslovanju. Potpuno onemogućavanje PowerShella, na primjer, zakompliciralo bi administraciju sistema i stvorilo interni otpor unutar IT timova.

Isto važi i za Office makroe.
Mnogi korporativni tokovi rada i dalje se oslanjaju na dokumente koji koriste makroe za automatizaciju zadataka. Iako Microsoft nudi opcije za njihovo onemogućavanje, stvarnost je da mnoge organizacije drže ih aktivnima iz nužde. Proizvođači sigurnosnih rješenja pokušali su ublažiti ovo izdvajanjem i analizom makro koda, ali njegova precizna klasifikacija bez izazivanja lažnih pozitivnih rezultata predstavlja značajan izazov.

Pokušaji zaštite samo na strani servera
Neka rješenja delegiraju gotovo svu logiku detekcije u oblak ili centralne servere. To uvodi ovisnost o latenciji i povezivosti: agent mora čekati odluku servera prije nego što djeluje, što otežava prevenciju u stvarnom vremenu. Nadalje, kod vrlo brzih napada poput određenih ransomwarea bez datoteka, čak i nekoliko sekundi kašnjenja može napraviti veliku razliku.

Kupci zahtijevaju jasnu zaštitu od napada bez datoteka
Kako raste svijest o ovim vrstama prijetnji, organizacije vrše pritisak na proizvođače da pokažu da njihovi proizvodi zaista blokiraju kampanje bez datoteka i ne dodaju samo površne zakrpe. To je potaknulo razvoj mehanizama zasnovanih na umjetnoj inteligenciji, korelacije događaja i StoryLine modela ili grafova napada koji rekonstruiraju pravo porijeklo zlonamjerne aktivnosti.

Najbolje prakse za sprečavanje zlonamjernog softvera bez datoteka

Iako nijedno okruženje ne može biti 100% sigurno, postoji niz mjera koje se mogu poduzeti. što uveliko smanjuje šanse za ozbiljnu infekciju bez datoteka i poboljšava šanse za njeno rano otkrivanje.

Strogo upravljanje skriptama i administrativnim alatima
Ograničavanje ko može koristiti PowerShell, WMI, cscript, wscript i druge visokorizične uslužne programe je ključno. To uključuje provođenje restriktivnih politika izvršavanja, korištenje potpisanih verzija skripti, evidentiranje svih aktivnosti ovih binarnih datoteka i blokiranje anomalnih obrazaca korištenja (na primjer, PowerShell pokrenut od strane Office procesa sa maskiranim parametrima).

Kontrola aktivnih makroa i dokumenata
Idealno bi bilo da makroi budu onemogućeni prema zadanim postavkama i dozvoljeni samo određenim korisnicima ili predlošcima, nakon prethodnog pregleda. Također je preporučljivo filtrirati priloge e-pošte koji mogu sadržavati aktivni kod i koristiti rješenja koja analiziraju dokumente u izoliranim okruženjima prije nego što ih isporuče korisniku.

Kontinuirano ispravljanje ranjivosti
Održavanje preglednika, dodataka, uredskih paketa, operativnih sistema i serverskih aplikacija ažurnim najnovijim zakrpama drastično smanjuje mogućnosti za zloupotrebu. Dopunjavanje ovoga sistemima za sprječavanje upada (IPS) pomaže u popunjavanju praznina u aplikacijama koje se ne mogu odmah ažurirati.

Robusna autentifikacija i model nultog povjerenja
Budući da se mnogi napadi bez datoteka oslanjaju na kompromitirane akreditive, implementacija MFA (višefaktorska autentifikacija) i principa Zero Trust (nepovjeravanje nikome ili bilo kojem uređaju po defaultu) ograničava sposobnost napadača da se kreće lateralno i eskalira privilegije jednom kada uđe unutra.

Praćenje i upravljani odgovor
Servisi poput eksternih SOC-ova ili MDR/EMDR platformi omogućavaju organizacijama bez velikih internih timova 24/7 praćenje, naprednu korelaciju signala i mogućnosti brzog odgovora. Ovi servisi se često oslanjaju na okvire poput MITRE ATT&CK za mapiranje taktika i tehnika, uključujući one povezane sa zlonamjernim softverom bez datoteka.

Ukratko, zlonamjerni softver bez datoteka je zaslužio svoju reputaciju. Zato što savršeno iskorištava slabosti tradicionalnih pristupa zasnovanih na datotekama i potpisima. Razumijevanje načina infiltracije, koje tehnike koristi (PowerShell, WMI, registar, makroi, webshell-ovi, memorija, LoLBins) i kakvu štetu može uzrokovati prvi je korak u jačanju odbrane pomoću EDR/XDR, analize ponašanja, pronalaženja prijetnji i strogih politika o korištenju administrativnih alata i aktivnih dokumenata.