Теперь Я Вижу Вас: Выявление Бесфайлового Вредоносного По

Злоумышленники полны решимости использовать все более изощренные методы для обхода мер безопасности.

Использование бесфайлового вредоносного ПО повышает скрытность и эффективность атаки.

В прошлом году бесфайловые методы использовались в двух крупномасштабных кампаниях по вымогательству ( Петя И Хочу плакать ).

В основе бесфайловых атак лежит простая идея: если на устройстве уже есть инструменты, способные выполнять задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем устанавливать на него специальные программы, которые можно распознать как вредоносные? Если злоумышленник сможет получить контроль над процессом, запустить код в пространстве памяти процесса и использовать его для вызова инструментов, которые уже находятся на устройстве, атаку будет труднее обнаружить.

Успешная реализация этого подхода с использованием местных ресурсов является сложной задачей.

Помимо прочего, злоумышленникам необходимо решить проблему персистентности.

При отключении питания информация не сохраняется в памяти, а если файлы не записываются на диск, перед злоумышленниками встает вопрос: как обеспечить автозапуск своего кода и сохранить контроль над скомпрометированной системой после перезагрузки?

Misfox: бесфайловая угроза для сетей

Злоумышленники потребовали от него значительную сумму за то, чтобы он не публиковал конфиденциальную корпоративную информацию, украденную с взломанных компьютеров клиента.

При этом они пригрозили «задавить» его сеть, если клиент обратится в правоохранительные органы.

Ситуация была трудной.

Ссылка Количество обнаружений Мисфокс использования антивирусной программы "Защитник Windows" во втором квартале 2017 года по сравнению с первым кварталом того же года увеличилось более чем вдвое.

Клиент использовал известный сторонний антивирусный продукт, который был установлен на большинстве компьютеров.

Несмотря на обновление сигнатур последними версиями, антивирус не обнаружил ни одного из целевых имплантатов.

Исследователи Microsoft также узнали, что злоумышленники дважды пытались зашифровать файлы с помощью программы-вымогателя.

К счастью, эти попытки не увенчались успехом.

Как оказалось, угроза уничтожить сеть была «Планом Б», чтобы получить прибыль от атаки на случай, если «План А» не сработает. Более того, исследователи также обнаружили, что злоумышленники незаметно присутствовали в сети в течение как минимум семи месяцев, используя для этого два разных канала.

• Первый из этих каналов включал в себя бэкдор под названием Срорт.А , который был развернут на нескольких компьютерах.

  Этот бэкдор легко обнаружился антивирусом.

• Второй канал оказался гораздо более продуманным и интересным:
  • Он не заразил файлы на устройстве.

  • Артефактов на диске не осталось.

  • Его не удалось обнаружить обычными методами сканирования файлов.

Пришло ли время отключить PowerShell? Нет. PowerShell — это мощный и безопасный инструмент, необходимый для многих функций системы и ИТ-инфраструктуры.

Вредоносные сценарии PowerShell, используемые злоумышленниками, являются следствием внедрения вредоносных программ и могут быть реализованы только после того, как произошла первоначальная компрометация.

Злонамеренное использование PowerShell является симптомом атаки, которая началась с других вредоносных действий, таких как использование уязвимостей программного обеспечения, социальная инженерия или кража учетных данных.

Поэтому необходимо помешать злоумышленникам использовать PowerShell в своих целях.

Читайте дальше, чтобы узнать, как обеспечить такую защиту.

При выполнении в памяти Misfox делал следующее:

• Создал раздел реестра, который запускал однострочный командлет PowerShell.
• Запустите замаскированный сценарий PowerShell, хранящийся в реестре больших двоичных объектов.

  Этот замаскированный сценарий PowerShell содержал загрузчик переносимого исполняемого файла (PE), который загружал PE-файл в кодировке Base64 из реестра.

Бесфайловые методы

Злоумышленники используют различные безфайловые методы, которые затрудняют обнаружение вредоносных имплантатов.

Среди них:

1. Рефлексивная реализация DLL Рефлексивная реализация DLL позволяет загружать библиотеки DLL в память процесса без сохранения их на локальный диск.

   Вредоносная DLL может размещаться на удаленном компьютере, контролируемом злоумышленником, и доставляться по скомпрометированному сетевому каналу (например, TLS).

   Его можно реализовать и в замаскированной форме, например, через макросы и скрипты.

   В результате злоумышленники получают возможность обойти инструменты мониторинга и отслеживания загрузки исполняемых модулей в операционной системе.

   Пример вредоносного ПО, использующего рефлексивное внедрение DLL: HackTool:Win32/Mikatz!dha .

2. Ээксплуатирует память Злоумышленники используют эксплойты безфайловой памяти для удаленного выполнения произвольного кода на зараженных компьютерах.

   Например, угроза УИВИКС использует эксплойт EternalBlue, который использовался в Petya и WannaCry. По наблюдениям, он установил бэкдор DoublePulsar, который целиком помещается в памяти ядра (таблица отправки SMB).

   В отличие от Petya и Wannacry, UIWIX не размещает файлы на диске.

3. Методы на основе сценариев Языки сценариев предлагают эффективные средства доставки полезных данных, которые полностью выполняются в памяти.

   Файлы сценариев могут внедрять зашифрованные шелл-коды или двоичные объекты, которые можно расшифровать без записи на диск во время выполнения через объекты .

   NET или напрямую с помощью API. Сами скрипты можно спрятать в реестре (как в случае с Мисфоксом).

   Они могут быть прочитаны из сетевых потоков или запущены злоумышленником вручную с помощью командной строки без доступа к диску.

4. Сохранение в WMI В ряде наблюдаемых случаев злоумышленники использовали репозиторий Windows Management Instrumentation (WMI) для хранения вредоносных сценариев, которые затем периодически вызывались через привязки WMI. Подробные примеры использования таких методик приведены в Эта статья [PDF].

Способы защиты от бесфайловых вредоносных программ в Microsoft 365

Ниже приведены функции Microsoft 365 Windows, которые могут помочь вам обнаружить бесфайловые атаки и предотвратить заражения.

Совет Помимо специальной защиты от бесфайловых атак, Windows 10 включает в себя другие технологии безопасности нового поколения для борьбы с атаками в целом.

Например, Защита приложений Защитника Windows позволяет остановить загрузку и запуск вредоносных программ (как безфайловых, так и других) через Microsoft Edge и Internet Explorer. Вы можете узнать больше о функциях безопасности и управления Microsoft 365, представленных в обновлении Windows 10 Fall Creators Update. Здесь .

Антивирусная программа «Защитник Windows»

Антивирусная программа "Защитник Windows" обеспечивает защиту от вредоносных программ с помощью следующих функций:

• Обнаружение атак по сценарию с помощью интерфейса сканирования на наличие вредоносных программ.

  АМСИ , что позволяет проверять PowerShell и другие типы скриптов даже с несколькими уровнями обфускации.

• Обнаруживайте и удаляйте вредоносные программы, пытающиеся сохраниться через WMI, путем сканирования репозитория WMI либо периодически, либо при обнаружении аномального поведения.

• Обнаружение рефлексивного внедрения DLL с использованием методов глубокой проверки памяти и поведенческого мониторинга.

Эксплойт Защитника Windows

Для предотвращения бесфайловых атак используются следующие методы:

• Защищает от эксплойтов памяти ядра, таких как EternalBlue, с помощью целостности кода гипервизора (HVCI), которая очень эффективно предотвращает внедрение вредоносного кода через уязвимости в программном обеспечении режима ядра.

• Предотвращение эксплойтов памяти в пользовательском режиме с помощью модуль защиты от эксплойтов , который включает в себя ряд инструментов предотвращения эксплойтов, применяемых на уровне операционной системы или на уровне отдельного приложения.

• Защитите (помимо прочего) от различных атак безфайловых сценариев с помощью правил.

  Уменьшение зоны атаки (ASR) , которые блокируют определенное поведение приложения

Совет Помимо технического контроля важен также эффективный административный контроль над людьми и процессами.

Чтобы использовать бесфайловые методы с использованием сценариев PowerShell и WMI на удаленном компьютере, злоумышленник должен иметь привилегированный доступ к этому компьютеру.

Такой доступ можно получить, если вы используете недостаточно безопасные методы администрирования (например, настройку службы Windows для запуска в контексте учетной записи администратора домена), позволяющие украсть учетные данные.

Узнайте больше о защите привилегированного доступа.

Здесь .

Управление приложениями Защитника Windows

Для борьбы с бесфайловыми атаками этот компонент преобразует PowerShell в ограниченный языковой режим , что не позволяет вам использовать расширенные возможности языка, которые могут запускать код, который не может быть проверен, например прямые сценарии .

NET, вызов API-интерфейсов Win32 через командлет Add-Type и взаимодействие с COM-объектами.

Это эффективно предотвращает рефлексивные атаки путем внедрения DLL через PowerShell.

Расширенная защита от угроз Защитника Windows

Если безопасность системы уже была скомпрометирована, ATP предупреждает пользователей компании о сложных и изощренных атаках на устройства и корпоративные сети, которые не удалось предотвратить другими средствами превентивной защиты.

Для обнаружения подобных атак сервис использует подробные данные глобальных систем безопасности, расширенный поведенческий анализ и машинное обучение.

Он позволяет обнаружить бесфайловое вредоносное ПО несколькими способами:

• Обнаружение с помощью специальных инструментов, фиксирующих аномальное распределение памяти, скрытых атак с использованием бесфайловых методов, таких как рефлексивная реализация DLL .

• Обнаружение атак на основе бесфайловых сценариев с использованием Интерфейс сканирования AMSI для защиты от вредоносных программ , который проверяет выполнение PowerShell и других компонентов сценариев и применяет модели машинного обучения.

Браузер Microsoft Edge

Microsoft Edge борется с бесфайловыми атаками с помощью функций защита произвольного кода , которые блокируют выполнение произвольного кода, в том числе вредоносных DLL. Это помогает избежать рефлексивных атак путем внедрения DLL. Кроме того, Microsoft Edge обеспечивает широкий набор средств защиты от бесфайловых и других угроз за счет интеграции.

Защита приложений Защитника Windows и технологии SmartScreen Защитника Windows. Заид Арафе Старший менеджер программ, исследовательская группа Защитника Windows Первоисточник Теги: #информационная безопасность #microsoft #вирус #атака #Windows #безопасность #угроза #Антивирусная защита #PowerShell #wannacry #dll #petya #365 #defender

• Каким Образом Размещенные Виртуальные Рабочие Столы Могут Стать Хорошей Инвестицией Для Вашей Компании?

  19 Oct, 24

• Техническая Поддержка Avg Antivirus Может Помочь В Удалении Опасного Рекламного По И Файлов Программного Обеспечения

  19 Oct, 24

• «Яндекс.афиша» Запустила Агрегатор Билетов В Театр

  19 Oct, 24

• Netflix Представил Обновленный Логотип

  19 Oct, 24

• Контейнерно-Ориентированное Интеграционное Тестирование

  19 Oct, 24

• Twirec.com

  19 Oct, 24

• Kotlin Night Москва На Авито 25 Ноября

  19 Oct, 24

• Искусственный Организм

  19 Oct, 24

• Тим Бернерс-Ли: Нам Необходимо Заново Децентрализовать Интернет

  19 Oct, 24

• Разработчики Онлайн-Игр Объединяются

  19 Oct, 24