Вредоносное ПО без файлов
Вредоносное ПО, существующее исключительно в оперативной памяти

Вредоносное ПО без файлов — это разновидность вредоносного программного обеспечения , связанного с компьютером , которое существует исключительно как артефакт на основе памяти компьютера, т. е. в оперативной памяти . Оно не записывает никакую часть своей активности на жесткий диск компьютера , тем самым увеличивая свою способность обходить антивирусное программное обеспечение , включающее в себя файловый белый список, обнаружение сигнатур, проверку оборудования, анализ шаблонов, отметку времени и т. д., и оставляя очень мало доказательств, которые могли бы быть использованы цифровыми криминалистами для выявления незаконной деятельности. Вредоносное ПО этого типа предназначено для работы в памяти, поэтому его существование в системе длится только до перезагрузки системы .

Определение

Вредоносное ПО без файлов иногда считается синонимом вредоносного ПО в памяти , поскольку оба выполняют свои основные функции без записи данных на диск в течение всего срока своей работы. Это привело к тому, что некоторые комментаторы стали утверждать, что этот вариант штамма не является чем-то новым и просто «переопределением известного термина, вирус, находящийся в памяти», [1], чья родословная восходит к 1980-м годам с появлением вируса Lehigh , который был разработан создателем термина Фредом Коэном и стал влиятельным благодаря своей статье на эту тему. [2]

Однако эта синонимия неверна. Хотя вышеупомянутая поведенческая среда выполнения одинакова в обоих случаях, т. е. оба варианта вредоносного ПО выполняются в системной памяти, решающим различием является метод зарождения и продолжения. Большинство векторов заражения вредоносного ПО включают некоторую запись на жесткий диск [3] для его выполнения, источником которого может быть зараженное вложение файла, внешнее устройство носителя, например USB, периферийное устройство, мобильный телефон и т. д., браузер drive-by, побочный канал и т. д.

Каждый из вышеупомянутых методов должен в той или иной форме контактировать с жестким диском хост-системы, а это означает, что даже при использовании самых скрытных методов противодействия криминалистике на хост-носителе останется некоторая часть зараженных остатков.

С другой стороны, вредоносное ПО без файлов, с момента своего возникновения и до завершения процесса (обычно путем перезагрузки системы), стремится никогда не записывать свое содержимое на диск. Его цель — находиться в изменчивых областях системы, таких как системный реестр , процессы в памяти и служебные области . [4]

Вредоносное ПО без файлов обычно использует технику Living off the Land (LotL), которая подразумевает использование уже существующих двоичных файлов операционной системы для выполнения задач. [5] Цель этой техники — избежать ненужного сброса дополнительного вредоносного ПО в систему для выполнения задач, которые могут быть выполнены с использованием уже существующих ресурсов, это способствует скрытности, в первую очередь потому, что уже существующие двоичные файлы системы обычно подписаны и являются доверенными. Примером может служить злоумышленник, использующий PsExec для подключения к целевой системе.

История

Вредоносное ПО без файлов — это эволюционный штамм вредоносного программного обеспечения, который принял устойчивую модель самосовершенствования/улучшения с тягой к четко определенным целенаправленным сценариям атак, корни которых можно проследить до вирусных программ- завершений и пребывания в резидентной среде [6] , которые после запуска находились в памяти, ожидая системного прерывания, прежде чем получить доступ к своему потоку управления; примеры этого были замечены в таких вирусах, как Frodo, The Dark Avenger , Number of the Beast. [7]

Эти методы развились посредством временно резидентных вирусов в памяти [8] и были замечены в таких известных примерах, как Anthrax, Monxla [9], и приобрели свою более настоящую бесфайловую природу посредством сетевых вирусов/червей, внедряемых в память, таких как CodeRed и Slammer .

Более современные эволюционные воплощения были замечены в таких вирусах, как Stuxnet , Duqu , Poweliks, [10] и Phasebot. [11]

Последние события

8 февраля 2017 года Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» опубликовала отчет под названием «Бесфайловые атаки на корпоративные сети» [12], в котором рассматриваются разновидности этого типа вредоносного ПО и его последние вариации, затронувшие 140 корпоративных сетей по всему миру, причем основными целями являются банки, телекоммуникационные компании и государственные организации.

В отчете подробно описывается, как вариант вредоносного ПО без файлов использует скрипты PowerShell (расположенные в системе реестра Microsoft Windows) для запуска атаки на компьютер цели, используя распространенную платформу атак Metasploit с вспомогательными инструментами атак , такими как Mimikatz [13] , а также используя стандартные утилиты Windows, такие как «SC» и «NETSH», для содействия боковому перемещению.

Вредоносное ПО было обнаружено только после того, как банк идентифицировал код Metasploit Meterpreter, работающий в физической памяти на центральном контроллере домена (DC). [12]

«Лаборатория Касперского» — не единственная компания, которая выявила такие новые тенденции. Большинство основных компаний, занимающихся защитой от вредоносного ПО в сфере ИТ, выступили с аналогичными выводами: Symantec, [14] Trend Micro , [15] и Cybereason. [16]

Цифровая криминалистика

Появление вредоносного ПО, работающего без использования файлов, представляет собой серьезную проблему для специалистов по цифровой криминалистике, чья зависимость от возможности получения цифровых артефактов с места преступления имеет решающее значение для обеспечения цепочки поставок и предоставления доказательств, приемлемых в суде.

Многие известные модели процесса цифровой судебной экспертизы, такие как: Casey 2004, DFRWS 2001, NIJ 2004, Cohen 2009, [17] все включают в свои соответствующие модели этапы проверки и/или анализа, подразумевая, что доказательства могут быть получены/собраны/сохранены с помощью какого-либо механизма.

Трудность становится очевидной при рассмотрении стандартных рабочих процедур цифровых следователей и того, как они должны обращаться с компьютером на месте преступления. Традиционные методы направляют следователя на: [18]

  • Ни при каких обстоятельствах не включайте компьютер.
  • Убедитесь, что компьютер выключен — некоторые заставки могут создавать видимость того, что компьютер выключен, но индикаторы активности жесткого диска и монитора могут указывать на то, что компьютер включен.
  • Извлеките аккумуляторную батарею основного источника питания из ноутбуков.
  • Отключите питание и другие устройства от розеток на самом компьютере.

Вредоносное ПО без файлов подрывает модели криминалистики, поскольку сбор доказательств может осуществляться только по образу памяти, полученному из работающей системы, которая должна быть исследована. Однако этот метод сам по себе может скомпрометировать полученный образ памяти хоста и сделать юридическую допустимость сомнительной или, по крайней мере, внушить достаточно обоснованные сомнения, что вес представленных доказательств может быть резко снижен, увеличивая шансы на то, что защита от троянского коня или «какой-то другой парень сделал это» может быть использована более эффективно.

Это делает этот тип вредоносного ПО чрезвычайно привлекательным для злоумышленников, желающих закрепиться в сети, выполнить трудноотслеживаемое горизонтальное перемещение и сделать это быстро и бесшумно, когда стандартные методы судебного расследования плохо подготовлены к этой угрозе. [19] [20] [21]

Известные атаки

Ссылки

  1. ^ «Расширенная изменчивая угроза: новое название старой вредоносной техники?». CSO . CSO. 21 февраля 2013 г. Получено 20 февраля 2017 г.
  2. ^ "Компьютерные вирусы - теория и эксперименты". Мичиганский университет . Получено 20 февраля 2017 г.
  3. ^ Шарма, С. (2013). «Уничтожить и остаться резидентными вирусами» (PDF) . Международный журнал исследований в области информационных технологий . 1 (11): 201–210 .[ постоянная мертвая ссылка ‍ ]
  4. ^ "Бестелесная угроза". Kaspersky Lab Business . Kaspersky Lab . Получено 20 февраля 2017 г. .
  5. ^ Атаки на жизнь за пределами суши (LOTL)
  6. ^ "Искусство исследования и защиты компьютерных вирусов: вирусы, резидентные в памяти". Архивировано из оригинала 21 февраля 2017 г. Получено 20 февраля 2017 г.
  7. ^ "Число зверя". FireEye . Архивировано из оригинала 2017-02-22 . Получено 2017-02-20 .
  8. ^ "Искусство исследования и защиты от компьютерных вирусов: вирусы, временно резидентные в памяти". Архивировано из оригинала 21 февраля 2017 г. Получено 20 февраля 2017 г.
  9. ^ "Что такое Monxla - Информация о Monxla и ее удаление". antivirus.downloadatoz.com . Архивировано из оригинала 2011-11-18 . Получено 2017-02-20 .
  10. ^ "Trojan:W32/Poweliks". F-Secure. 2023 . Получено 27 декабря 2023 .
  11. ^ «Phasebot, вредоносное ПО без файлов, продаваемое в подполье». Security Affairs . 23 апреля 2015 г.
  12. ^ ab Global Research & Analysis Team (8 февраля 2017 г.). «Атаки без файлов против корпоративных сетей». АО «Лаборатория Касперского» . Получено 27 декабря 2023 г.
  13. ^ "Мимикац". Гитхаб вики . 30 сентября 2022 г.
  14. ^ "Trojan.Poweliks". Symantec . Symantec. Архивировано из оригинала 20 октября 2014 г.
  15. ^ Моралес, М. (7 апреля 2015 г.). "TROJ_PHASE.A". Trend Micro . Получено 27 декабря 2023 г. .
  16. ^ Мюллер, И.; Стрим-Амит, Й.; Серпер, А. (2015). «Безфайловое вредоносное ПО: развивающаяся угроза на горизонте» (PDF) . Cybereason . Получено 27 декабря 2023 г. .
  17. ^ Кейси, Эоган (2010). Цифровые доказательства и компьютерные преступления: судебная экспертиза, компьютеры и Интернет (3-е изд.). Лондон: Academic. стр. 189. ISBN 978-0123742681.
  18. ^ "ACPO: Руководство по надлежащей практике получения электронных доказательств на основе компьютеров" (PDF) . Служба уголовного преследования . Ассоциация главных офицеров полиции. Архивировано из оригинала (PDF) 2 февраля 2017 г. . Получено 20 февраля 2017 г. .
  19. ^ "POWELIKS Levels Up с новым механизмом автозапуска". Trend Micro . Trend Micro . Получено 20 февраля 2017 г. .
  20. ^ "Anti-Forensic Malware Widens Cyber-Skills Gap". Журнал InfoSecurity . Журнал InfoSecurity. 8 сентября 2015 г. Получено 20 февраля 2017 г.
  21. ^ «Без следа: обнаружены вредоносные программы без файлов». Trend Micro . Trend Micro . Получено 20 февраля 2017 г. .
  • Вредоносное ПО без файлов: на горизонте маячит растущая угроза
  • Поприветствуйте сверхскрытное вредоносное ПО, которое становится все более популярным
  • Бесфайловые вредоносные программы покоряют 2016 год
  • Новая атака без файлов с использованием DNS-запросов для выполнения команд PowerShell
  • Kovter становится практически бесфайловым, создает новый тип файла и получает несколько новых сертификатов
Взято с "https://en.wikipedia.org/w/index.php?title=Fileless_malware&oldid=1245374589"