Добавить в корзинуПозвонить
Найти в Дзене
QA Helper - справочник тестировщика
4530 подписчиков

Безфайловые вирусы (Fileless Malware). Как они работают?

865
6 мин
Безфайловые вирусы (или Fileless Malware) — это вид вредоносного программного обеспечения, который не использует традиционные файлы для своего существования и работы. В отличие от более привычных вирусов, которые записываются на диск в виде исполняемых файлов, безфайловые вредоносные программы работают исключительно в памяти компьютера (RAM) или используют встроенные легитимные инструменты операционной системы (например, PowerShell, WMI, Windows Registry) для выполнения своих задач. Эти особенности делают их сложными для обнаружения и противодействия. Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить. Безфайловые вредоносные программы используют легитимные программы или компоненты системы для выполнения своих вредоносных действий. Они не оставляют следов на жестком диске, что делает их труднодоступными для антивирусных решений, которые сканируют файлы и их содержимое. Основные этапы работы безфайлового вируса: 1. Начальная точка заражения: Вредоносный код внедряется
Оглавление

Безфайловые вирусы (или Fileless Malware) — это вид вредоносного программного обеспечения, который не использует традиционные файлы для своего существования и работы.

В отличие от более привычных вирусов, которые записываются на диск в виде исполняемых файлов, безфайловые вредоносные программы работают исключительно в памяти компьютера (RAM) или используют встроенные легитимные инструменты операционной системы (например, PowerShell, WMI, Windows Registry) для выполнения своих задач.

Эти особенности делают их сложными для обнаружения и противодействия.

Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить.

1. Как работают безфайловые вирусы

Безфайловые вредоносные программы используют легитимные программы или компоненты системы для выполнения своих вредоносных действий. Они не оставляют следов на жестком диске, что делает их труднодоступными для антивирусных решений, которые сканируют файлы и их содержимое.

Основные этапы работы безфайлового вируса:

1. Начальная точка заражения:

Вредоносный код внедряется через уязвимость в программном обеспечении, фишинговую атаку, заражённое электронное письмо, вредоносные макросы в документах Office или эксплойты.

Популярные способы заражения:

  • Через вредоносные ссылки в письмах или на веб-сайтах.
  • Через поддельные обновления программ.
  • Использование эксплойтов для уязвимостей в браузерах или плагинах.

2. Запуск в памяти:

  • Вредоносный код загружается непосредственно в память устройства (RAM), избегая записи на диск.
  • Используются встроенные инструменты операционной системы, такие как PowerShell, Windows Management Instrumentation (WMI) или Microsoft Script Host.

3. Использование легитимных процессов:

  • Безфайловые вирусы часто внедряются в легитимные процессы (например, explorer.exe, svchost.exe), чтобы замаскироваться.
  • Они выполняют команды, которые вызывают загрузку дополнительного кода из интернета, установку бэкдоров или кражу данных.

3.1. Как это делается:
3.1.1. Создание нового процесса и внедрение кода:

Злоумышленники создают новый процесс или используют уже существующий (например, svchost.exe).

Затем они внедряют вредоносный код в этот процесс с помощью системных функций, таких как WriteProcessMemory и CreateRemoteThread.

3.1.2. DLL-инъекция:

Вредоносный код упаковывается в библиотеку DLL, которая затем загружается в целевой процесс.
Для загрузки DLL часто используется функция LoadLibrary.

3.1.3. Использование API Windows:

Функции Windows API, такие как VirtualAllocEx, WriteProcessMemory, и CreateRemoteThread, используются для выделения памяти в процессе, записи вредоносного кода и его выполнения.

3.1.4. Хук системных функций:

Вредоносное ПО может модифицировать функции системных библиотек (например, kernel32.dll), чтобы перехватывать вызовы и выполнять свои задачи.

3.2. Примерный процесс инжектирования:

3.2.1. Вредоносный код запускает PowerShell или другой инструмент для поиска активных процессов.

3.2.2. Находит процесс svchost.exe.

3.2.3. С помощью API Windows выделяет память в этом процессе.

3.2.4. Записывает туда вредоносный код.

3.2.5. Создаёт поток (thread), который выполняет этот код.

4. Постоянство:

Для обеспечения персистентности (выживания после перезагрузки) вредоносный код может записываться в реестр Windows, использовать задачи планировщика или внедряться в автозагрузку.

5. Выполнение вредоносных действий:

  • Кража данных (логинов, паролей, финансовой информации).
  • Установка бэкдоров.
  • Уничтожение данных, шпионаж или развертывание других типов атак (например, ransomware).

2. Примеры известных безфайловых атак

A. Poweliks

  • Один из первых известных безфайловых вирусов.
  • Использовал реестр Windows для хранения вредоносного кода и поддержания своей активности.
  • Выполнялся через PowerShell и использовал сложные методы маскировки.

B. Kovter

  • Распространялся через фишинговые атаки и вредоносные ссылки.
  • Хранил свой код в реестре Windows.
  • Использовался для рекламного мошенничества (ad fraud).

C. NotPetya

  • Характеризовался компонентами безфайлового выполнения.
  • Использовал инструменты управления системой, такие как PsExec и WMI, для распространения внутри сети.

D. Cobalt Strike

  • Используется как легитимный инструмент для тестирования безопасности, но часто злоупотребляется злоумышленниками.
  • Работает в памяти с использованием PowerShell для выполнения вредоносных скриптов.

E. FIN7

  • Хакерская группа, использующая безфайловые техники.
  • Специализируется на атаках на финансовые учреждения и ритейл.

3. Опасности безфайловых вирусов

  • Трудность обнаружения: Поскольку они не используют традиционные файлы, их сложно обнаружить с помощью классических антивирусов.
    Они уходят от анализа, полагаясь на легитимные системные процессы.
  • Высокая скрытность: Их активность обычно не оставляет следов на диске, что затрудняет расследование инцидентов.
  • Масштабируемость: Безфайловые вирусы могут быть использованы для создания сетевых червей, которые распространяются внутри корпоративных сетей.
  • Использование легитимных инструментов: Они используют встроенные инструменты Windows (например, PowerShell), что затрудняет различение легитимной и вредоносной активности.

4. Где можно заразиться безфайловыми вирусами

  • Фишинговые письма: Содержат вредоносные ссылки или вложения (например, документы с макросами).
  • Взломанные веб-сайты: Используют эксплойты для заражения браузеров или установленных плагинов.
  • Социальная инженерия: Пользователь может быть обманут и сам запустить вредоносный код.
  • Уязвимости ПО: Использование уязвимых версий браузеров, плагинов (Flash, Java), операционных систем.
  • Сетевые атаки: Вредоносный код может быть доставлен через эксплойты, направленные на уязвимости в сетевых протоколах.

5. Как защититься от безфайловых вирусов

A. Обновление систем и программ

  • Регулярно обновляйте операционную систему и все используемые программы.
  • Устраняйте уязвимости, которые могут быть использованы злоумышленниками.

B. Использование EDR (Endpoint Detection and Response)

  • Современные решения безопасности (EDR) анализируют поведение процессов и выявляют подозрительные действия, даже если файл отсутствует.

C. Ограничение использования PowerShell и WMI

  • Ограничьте использование PowerShell и WMI скриптов, если они не необходимы.
  • Включите режим PowerShell Constrained Language Mode.

D. Обучение сотрудников (это для компаний)

  • Обучите пользователей распознавать фишинговые письма и социальную инженерию.
  • Установите политики безопасности, запрещающие запуск макросов в документах.

E. Мониторинг сети

  • Используйте инструменты для мониторинга сети и обнаружения аномалий.
  • Анализируйте сетевой трафик на предмет подозрительных запросов.

F. Антивирус с поведенческим анализом

  • Установите антивирусы, которые используют поведенческий анализ и технологии обнаружения на основе машинного обучения.

G. Резервное копирование

  • Регулярно создавайте резервные копии данных для минимизации последствий возможных атак.

6. Структура безфайлового вредоносного ПО

Компоненты:

1. Эксплойты:

Используются для проникновения в систему.
Эксплойты могут быть встроены в документы, ссылки или отправляться напрямую через сеть.

2. Легитимные инструменты:

PowerShell, WMI, Microsoft Office Macros.
Эти инструменты используются для выполнения вредоносных действий.

3. Временные данные:

Код может быть временно сохранён в оперативной памяти или реестре Windows.

4. Сетевые соединения:

Вредоносное ПО может взаимодействовать с серверами управления и контроля (C2) для получения инструкций.

Заключение

Безфайловые вирусы представляют собой одну из самых сложных угроз в области кибербезопасности. Их основное преимущество — это способность скрываться за легитимными процессами и избегать обнаружения традиционными методами. Чтобы защититься от них, необходимо использовать многоуровневый подход, включающий современные инструменты обнаружения, правильную настройку систем и обучение персонала.

Поддержать блог можно лайком и комментарием. А если хочется сделать больше, можно кинуть монетку сове на кофе.

Раз вы прочитали эту статью, скорее всего вам будет интересен весь раздел про Анонимность в сети.

Если Вам интересно, что еще можно найти на канале QA Helper, прочитайте статью: Вместо оглавления. Что вы найдете на канале QA Helper - справочник тестировщика?

Не забудьте подписаться на канал, чтобы не пропустить полезную информацию: QA Helper - справочник тестировщика

Пишите в комментариях что еще было бы интересно рассмотреть более подробно.

-2

9
Кибербезопасность
25,6 тыс интересуются