В отличие от традиционных вредоносных программ, которые полагаются на файл, записываемый на диск, бесфайловые вредоносные программы предназначены только для резидентной памяти и в идеале не оставляют следов после своего выполнения.

Вредоносная полезная нагрузка существует в памяти компьютера, а это означает, что ничего не записывается непосредственно на жесткий диск.

Для злоумышленника бесфайловые вредоносные программы имеют два основных преимущества:

  1. Нет файла, который могло бы обнаружить традиционное антивирусное ПО.
  2. На жестком диске нет ничего, что могло бы обнаружить судебно-медицинская экспертиза.

Как правило, если авторы вредоносных программ не могут избежать обнаружения поставщиками средств безопасности, они, по крайней мере, хотят отсрочить его как можно дольше. Это делает безфайловые вредоносные программы шагом вперед в гонке вооружений между вредоносными программами и продуктами безопасности.

 

Бесфайловое вредоносное ПО — новое явление?

Атаки с использованием бесфайловых вредоносных программ существуют как минимум 20 лет. Первым вредоносным ПО, которое было классифицировано как бесфайловое, был Code Red Worm, который в 2001 году широко распространился по компьютерам, на которых запущены службы Microsoft Internet Information Services (IIS).

Но в последние несколько лет бесфайловые атаки стали более распространенными. Четыре года назад в отчете Института Ponemon «Состояние рисков безопасности конечных точек» сообщалось, что 77% скомпрометированных атак в 2017 году были безфайловыми, а вероятность их успеха была в десять раз выше.

 

Как распространяется бесфайловое вредоносное ПО?

В случае с Code Red Worm вредоносная программа использовала уязвимость переполнения буфера, которая позволяла ему записываться непосредственно в память. Современные атаки программ-вымогателей иногда полагаются на команды PowerShell, которые выполняют код, хранящийся на общедоступных веб-сайтах, таких как Pastebin или GitHub.

Также были замечены атаки безфайловых вредоносных программ, скрывающих свой код внутри существующих безопасных файлов или невидимых ключей реестра. Некоторые используют так называемый фреймворк CactusTorch во вредоносном документе. И иногда вредоносный код действительно существует на жестком диске, но не на том, который принадлежит зараженному компьютеру. Например, «USB-вор» находится на зараженных USB-устройствах, установленных как плагин в популярном портативном программном обеспечении. Он собирает информацию о целевой системе и записывает ее на USB-устройство.

 

Как создать бесфайловое вредоносное ПО

Василиос Хиуреас в блоге Malwarebytes в 2018 году написал пошаговое руководство, продемонстрировав некоторые из своих собственных атак с использованием бесфайловых вредоносных программ. Его статья также хорошо демонстрирует, что нужно делать современным решениям для защиты от вредоносных программ, чтобы защитить своих пользователей от атак безфайловых вредоносных программ. Показано, что современные решения должны содержать технологию динамического обнаружения вредоносной активности в системе, а не просто обнаружения вредоносных файлов. Обнаружение на основе сигнатур старой школы бесполезно при работе с бесфайловыми вредоносными программами.

 

На что способны бесфайловые вредоносные программы?

По сути, бесфайловые вредоносные программы могут делать все, что могут делать «обычные» вредоносные программы, но по практическим соображениям вы часто увидите, что существует ограниченное количество вредоносного бесфайлового кода. Для более сложных программ, таких как программы-вымогатели, бесфайловые вредоносные программы могут действовать как дроппер, что означает, что на первом этапе загружается и выполняется более крупная программа, которая и является фактической полезной нагрузкой. И, конечно же, бесфайловые вредоносные программы могут использовать собственные законные инструменты, встроенные в систему во время кибератаки.

 

Наиболее распространенные варианты использования бесфайловых вредоносных программ:

  • Первоначальный доступ. Первый шаг кибератаки — закрепиться в системе. Это может быть кража учетных данных или использование уязвимости в точке доступа.
  • Сбор учетных данных. Бесфайловые вредоносные программы иногда используются для поиска учетных данных, чтобы злоумышленник мог использовать альтернативные точки входа или повысить свои привилегии.
  • Постоянное соединение. Чтобы обеспечить постоянный доступ к скомпрометированной системе, злоумышленник может использовать бесфайловое вредоносное ПО для создания бэкдора.
  • Эксфильтрация данных. Злоумышленник может использовать бесфайловое вредоносное ПО для поиска полезной информации, например, конфигурации сети жертвы.
  • Дроппер и/или полезная нагрузка. Дроппер загружает и запускает другое вредоносное ПО в скомпрометированной системе. Полезные данные могут быть представлены в виде файла или могут быть прочитаны с удаленного сервера и напрямую загружены в память.

 

Обнаружение бесфайловых вредоносных программ

Итак, как мы можем найти этих бесфайловых тварей? Поведенческий анализ и централизованное управление являются ключевыми методами обнаружения и предотвращения атак бесфайловых вредоносных программ. Знать, как идентифицировать атаки и иметь представление о поверхности атаки — легче сказать, чем сделать.

Что вам нужно, так это антивирусное программное обеспечение, использующее поведенческий анализ, в идеале поддерживаемое компонентом искусственного интеллекта (AI). А для большой поверхности атаки вам понадобится что-то вроде системы управления информационными событиями безопасности (SIEM), чтобы связать все предупреждения и обнаружения вместе.

Короче говоря, обнаружение вредоносных программ больше не связано с обнаружением вредоносных файлов, а все больше и больше сводится к обнаружению вредоносного поведения.

 

Оригинал материала

23 ноября, 2021