Бестелесное или бесфайловое вредоносное ПО — это вредоносное ПО, которое не сохраняется на жестком диске в виде исполняемого файла, а загружается напрямую в оперативную память. Такие зловреды опасны тем, что практически не оставляют следов в зараженной системе, поэтому их довольно сложно обнаружить.
Как правило, для запуска и закрепления в системе бесфайловое вредоносное ПО использует возможности легитимных программ и компонентов операционной системы. Например, вредоносный скрипт может быть передан на компьютер в качестве параметра командной строки. Атаки с использованием легитимного ПО, установленного на зараженном устройстве, называются Living off the land, или LotL-атаки.
Как происходит бесфайловая атака
Существуют различные техники, которые позволяют злоумышленникам обойтись без сохранения файлов на диск на разных этапах атаки.
- Проникновение в систему. На этом этапе злоумышленники могут удаленно эксплуатировать уязвимости в установленных на целевом устройстве программах, внедрять вредоносный код в прошивку или запускать его с внешнего диска, например с USB-флешки.
- Закрепление в системе. На этом этапе злоумышленники используют легитимные инструменты системы, чтобы запускать бесфайловое вредоносное ПО, если оно по какой-то причине перестанет выполняться, например если пользователь перезагрузит компьютер. Так, на устройствах с Windows злоумышленники могут добавить вредоносную запись в реестр Windows или создать задачу в планировщике задач, чтобы зловред запускался всякий раз, когда выполняются определенные условия, например при включении устройства.
- Выполнение вредоносного кода. Для выполнения вредоносного кода также используются легитимные инструменты системы.
Легитимные инструменты в бесфайловых атаках
К легитимным инструментам, которые часто используются в бесфайловых атаках, относятся:
- WMI (Windows Management Instrumentation) — интерфейс, позволяющий администраторам в организациях получить доступ к данным, необходимым для управления устройствами в корпоративной сети. Злоумышленники используют WMI для закрепления в системе, обхода защиты, кражи данных, горизонтального перемещения по сети и других вредоносных задач.
- PowerShell — оболочка для запуска скриптов, предназначенная для администрирования устройства. Злоумышленники используют PowerShell для запуска бесфайлового вредоносного ПО.
- .NET Framework — кроссплатформенный фреймворк для разработки приложений, на базе которого работает и PowerShell. Злоумышленники используют особенности .NET для запуска бесфайлового вредоносного ПО и удаления артефактов из памяти.
- Реестр Windows — база данных, в которой хранятся настройки программ, профилей пользователей, подключенных устройств и т. д. Злоумышленники используют реестр, в частности, для закрепления бесфайлового зловреда в системе.
- Планировщик задач Windows — компонент Windows, который позволяет настраивать автоматическое выполнение определенных задач, например запуск программы в конкретный момент времени. Злоумышленники могут создать задачу на выполнение бесфайлового зловреда, и система сама будет его запускать.
Использование файлов в атаках бесфайлового вредоносного ПО
Далеко не всегда бесфайловые атаки полностью бесфайловые. Нередко на определенном этапе атаки на диск сохраняются, например, документы с макросом, загружающим бестелесное вредоносное ПО в память. После выполнения своей функции вредоносный файл, как правило, удаляется с зараженного устройства.
Обнаружение бесфайловой угрозы
Бесфайловые атаки сложно выявить при помощи анализа сигнатур. Чтобы отследить активность бестелесных зловредов, современные системы безопасности применяют методы поведенческого анализа, а также дополнительную проверку критических элементов, например реестра, планировщика задач и PowerShell-окружения.