Главная страница » Глоссарий
0
12 дней

Fileless (Безфайловая угроза)

Безфайловая угроза (fileless threat или fileless malware) - это тип вредоносной активности или вредоносного ПО, которое не оставляет следов на диске в виде исполняемых файлов, которые могут быть обнаружены традиционными антивирусными сканерами.

Содержание
  1. Ключевые характеристики и принцип работы
  2. Почему они опасны и труднообнаружимы
  3. Примеры безфайловых угроз

Ключевые характеристики и принцип работы

  1. Отсутствие файла на диске: Вместо загрузки и запуска .exe, .dll или другого исполняемого файла на жесткий диск/SSD, угроза работает непосредственно в оперативной памяти (RAM).
  2. Использование легитимных инструментов: Злоумышленники используют встроенные, доверенные системные инструменты и процессы операционной системы для выполнения вредоносных действий. Наиболее часто эксплуатируются:
    • PowerShell: Для загрузки скриптов и выполнения команд прямо в памяти.
    • Windows Management Instrumentation (WMI): Для управления системой, сбора данных, запуска кода, создания постоянства.
    • JavaScript/VBScript: Запускается через встроенные движки (например, wscript.exe, cscript.exe).
    • Командная строка (cmd.exe): Для выполнения команд.
    • Реестр Windows: Для хранения зашифрованных скриптов или команд, которые затем выполняются в памяти.
    • Легитимные процессы: Внедрение кода в уже запущенные процессы (например, explorer.exe, svchost.exe).
  3. Запуск: Заражение часто начинается с традиционных методов:
    • Фишинговые письма с вредоносными ссылками или вложениями (документы Office с макросами, PDF).
    • Эксплойты уязвимостей (например, в браузерах, плагинах, приложениях).
    • Скомпрометированные учетные записи.
    • Как вторичная стадия атаки после первоначального заражения другим вредоносным ПО.
  4. Постоянство: Для выживания после перезагрузки безфайловые угрозы используют "нефайловые" методы, например:
    • Задачи Планировщика (Task Scheduler): Запуск скриптов/команд через регулярные задачи.
    • Изменения в реестре: Автозапуск команд через ключи типа Run, RunOnce, WMI Event Subscriptions.
    • Модификация легитимных скриптов: Добавление вредоносного кода в существующие скрипты (.ps1, .bat и т.д.).
    • Живучесть в памяти: Некоторые продвинутые угрозы могут оставаться активными только в памяти, пока система работает.

Почему они опасны и труднообнаружимы

  • Обход сигнатурного сканирования: Нет файла для сканирования.
  • Обход эвристического анализа: Используются легитимные инструменты, поведение которых в целом разрешено.
  • Меньше следов: Отсутствие файлов на диске затрудняет классический форензик-анализ.
  • Быстрота: Основная вредоносная активность происходит в памяти и может быть выполнена быстро.

Примеры безфайловых угроз

  • Kovter: Использовал реестр для хранения вредоносного JavaScript и запускал его через mshta.exe.
  • PowerWare/Ransomware: Шифровальщик, полностью работавший через PowerShell.
  • Meterpreter (Fileless Stager): Модуль фреймворка Metasploit, загружающий шелл-код в память.
  • APT-группы: Часто используют безфайловые техники для скрытного присутствия.

Безфайловая угроза - это злонамеренная активность, использующая легитимные системные процессы и инструменты для выполнения вредоносного кода исключительно в оперативной памяти компьютера, не оставляя при этом исполняемых файлов на диске, что затрудняет ее обнаружение традиционными антивирусными средствами.

Похожие записи
0
11.06.2024
Индикаторы компрометации

Sticky Werewolf APT IOCs - Part 3

security
Компания Morphisec Labs обнаружила новую фишинговую кампанию, направленную на авиационную промышленность и связанную с Sticky Werewolf, группой киберугроз, подозреваемой в связях с геополитикой и/или хактивизмом.