Бесфайловые вредоносные программы - Википедия - Fileless malware
Бесфайловое вредоносное ПО это вариант связанного с компьютером вредоносное ПО который существует исключительно как память компьютера -на основе артефакта т.е. в баран.
Он не записывает никакой части своей деятельности в компьютер. жесткий диск это означает, что он очень устойчив к существующим Антикомпьютерные криминалистические стратегии которые включают белый список на основе файлов, обнаружение подписей, проверку оборудования, анализ шаблонов, отметку времени и т. д. и оставляют очень мало доказательств, которые могут быть использованы экспертами в области цифровой криминалистики для выявления незаконной деятельности.
Поскольку вредоносные программы этого типа предназначены для работы в памяти, их долговечность в системе существует только до тех пор, пока система перезагружен.
Определение
Бесфайловое вредоносное ПО иногда считается синонимом в памяти вредоносное ПО, поскольку оба выполняют свои основные функции без записи данных на диск в течение всего срока их работы. Это побудило некоторых комментаторов заявить, что этот вариантный штамм не является чем-то новым, а просто «переопределением известного термина резидентный вирус в памяти»,[1] чья родословная восходит к 1980-м годам, когда родился Lehigh Virus который был разработан создателем термина, Фред Коэн, и стал влиятельным благодаря своей статье по этой теме.[2]
Однако эта синонимия неверна. Хотя вышеупомянутая поведенческая среда выполнения одинакова, в обоих случаях, то есть оба варианта вредоносного ПО выполняются в системной памяти, решающее различие заключается в методе начала и продолжения. Вектор заражения большинства вредоносных программ связан с записью на жесткий диск,[3] для его выполнения, источник которого может иметь форму зараженного файлового вложения, внешнего носителя, например USB, периферийные устройства, мобильный телефон и т. Д., Браузер, проезжающий мимо, боковой канал и Т. Д.
Каждый из вышеупомянутых методов должен иметь контакт с жестким диском хост-системы в той или иной форме, а это означает, что даже при использовании самых скрытых анти-криминалистических методов некоторая форма зараженного остатка будет оставаться на носителе хоста.
С другой стороны, бесфайловые вредоносные программы с момента начала и до завершения процесса (обычно путем перезагрузки системы) стремятся никогда не записывать свое содержимое на диск. Его цель - находиться в нестабильных областях системы, таких как системный реестр, процессы в памяти и зоны обслуживания.[4]
История
Бесфайловые вредоносные программы - это эволюционная разновидность вредоносного программного обеспечения, принявшая устойчивую модель самосовершенствования / совершенствования со стремлением к четко определенным целевым сценариям атак, корни которых можно проследить до прекратить и остаться резидентом Резидентные вирусные программы / memory[5] что после запуска они будут находиться в памяти в ожидании системного прерывания, прежде чем получить доступ к своему потоку управления; примеры которых были замечены в вирусах, таких как Frodo, Темный мститель, Число зверя.[6]
Эти методы эволюционировали посредством резидентных вирусов во временной памяти.[7] и были замечены в известных примерах, таких как: Anthrax, Monxla[8] и приобрели свою истинную «бесфайловую» природу посредством внедрения в память сетевых вирусов / червей, таких как Код красный и Slammer.
Более современные эволюционные воплощения были замечены в вирусах, таких как Stuxnet, Duqu, Пауэликс,[9] Phasebot[10] и Т. Д.
Последние достижения
8 февраля 2017 года отдел глобальных исследований и анализа «Лаборатории Касперского» опубликовал отчет «Бесфайловые атаки на корпоративные сети».[11] который связан с вариантами этого типа вредоносного ПО и его последними воплощениями, затрагивающими 140 корпоративных сетей по всему миру, причем основными целями являются банки, телекоммуникационные компании и государственные организации.
В отчете подробно описано, как один из вариантов бесфайлового вредоносного ПО PowerShell сценарии (расположенные в системе реестра Microsoft Windows) для запуска атаки на целевую машину с использованием общей инфраструктуры атаки, называемой Metasploit с вспомогательными инструментами атаки, такими как Mimikatz,[12] и использование стандартных утилит Windows, таких как «SC» и «NETSH», для помощи в боковом перемещении.
Вредоносная программа была обнаружена только после того, как банк идентифицировал код Metasploit Meterpreter, работающий в физической памяти на центральном контроллере домена (DC).[13]
«Лаборатория Касперского» - не единственная компания, которая выявила такие новые тенденции: большинство основных компаний, занимающихся защитой от вредоносных программ, пришли к аналогичным результатам: Symantec,[14] Trend Micro,[15] McAfee Labs, Cybereason,[16] и Т. Д.
Цифровая криминалистика
Появление вредоносных программ, работающих без файлов, представляет собой серьезную проблему для следователей, занимающихся цифровой судебной экспертизой, чья уверенность в возможности получения цифровых артефактов с места преступления имеет решающее значение для обеспечения цепочка поставок и представление доказательств, приемлемых для рассмотрения в суде.
Многие известные модели процессов цифровой криминалистики, такие как: Casey 2004, DFRWS 2001, NIJ 2004, Cohen 2009,[17] все они включают этап изучения и / или анализа в свои соответствующие модели, подразумевая, что доказательства могут быть получены / собраны / сохранены с помощью определенного механизма.
Сложность становится очевидной при рассмотрении стандартных рабочих процедур цифровых следователей и того, как им следует обращаться с компьютером на месте преступления. Традиционные методы направляют исследователя к:[18]
- Ни при каких обстоятельствах не включайте компьютер.
- Убедитесь, что компьютер выключен - некоторые хранители экрана могут создавать впечатление, что компьютер выключен, но индикаторы активности жесткого диска и монитора могут указывать на то, что устройство включено.
- Снимите аккумулятор основного источника питания с портативных компьютеров.
- Отключите питание и другие устройства от розеток на самом компьютере.
Бесфайловые вредоносные программы подрывают модели криминалистики, поскольку сбор доказательств может происходить только по образу памяти, полученному из работающей в реальном времени системы, которая подлежит исследованию. Однако этот метод сам по себе может поставить под угрозу полученный образ памяти хозяина и поставить под сомнение юридическую допустимость или, по крайней мере, вызвать достаточно разумные сомнения в том, что вес представленных доказательств может быть резко снижен, увеличивая шансы того, что троянский конь или же "это сделал какой-то другой чувак" защиты можно использовать более эффективно.
Это делает этот тип вредоносного ПО чрезвычайно привлекательным для злоумышленников, желающих закрепиться в сети, выполнять сложные для отслеживания боковые движения и делать это быстро и бесшумно, когда стандартные методы судебного расследования плохо подготовлены к угрозе.[19][20][21]
внешняя ссылка
- Бесфайловые вредоносные программы: растущая угроза на горизонте
- Скажите "привет" супер-скрытому вредоносному ПО, которое становится популярным
- Безфайловое вредоносное ПО покоряет 2016 год
- Новая бесфайловая атака с использованием DNS-запросов для выполнения команд PowerShell
- Ковтер становится почти безфайловым, создает новый тип файла и получает новые сертификаты.
Рекомендации
- ^ «Продвинутая нестабильная угроза: новое имя для старой вредоносной техники?». ОГО. ОГО. Получено 20 февраля 2017.
- ^ «Компьютерные вирусы - теория и эксперименты». университет Мичигана. Получено 20 февраля 2017.
- ^ Шарма, S (2013). «Удалите и оставайтесь резидентными вирусами» (PDF). Международный журнал исследований в области информационных технологий. 1 (11): 201–210.
- ^ "Бестелесная угроза". Лаборатория Касперского Бизнес. Лаборатория Касперского. Получено 20 февраля 2017.
- ^ "Искусство исследования и защиты компьютерных вирусов: резидентные вирусы". Получено 20 февраля 2017.
- ^ "Число зверя". FireEye.
- ^ "Искусство исследования и защиты компьютерных вирусов: резидентные вирусы во временной памяти". Получено 20 февраля 2017.
- ^ "Что такое Monxla - Информация о Monxla и удаление". antivirus.downloadatoz.com.
- ^ "Trojan.Poweliks". www.symantec.com.
- ^ "Phasebot, бесфайловое вредоносное ПО, продаваемое в подполье". Вопросы безопасности. 23 апреля 2015.
- ^ «Бесфайловые атаки на корпоративные сети». Безопасный список. Безопасный список. Получено 20 февраля 2017.
- ^ "мимикац". GitHub вики.
- ^ «Бесфайловые атаки на корпоративные сети». Безопасный список. Безопасный список. Получено 20 февраля 2017.
- ^ "Trojan.Poweliks". www.symantec.com. Symantec.
- ^ "TROJ_PHASE.A - Энциклопедия угроз". www.trendmicro.com.
- ^ www
.cybereason [мертвая ссылка ].com / fileless-вредоносная-развивающаяся-угроза-на горизонте - ^ Кейси, Иоган (2010). Цифровые улики и компьютерные преступления: криминалистика, компьютеры и Интернет (3-е изд.). Лондон: Академ. п. 189. ISBN 0123742684.
- ^ «ACPO: Руководство по эффективной практике компьютерных электронных доказательств» (PDF). Королевская прокуратура. Ассоциация старших офицеров полиции. Получено 20 февраля 2017.
- ^ «POWELIKS повысил свой уровень с новым механизмом автозапуска». Trend Micro. Trend Micro. Получено 20 февраля 2017.
- ^ «Анти-криминалистическое вредоносное ПО увеличивает разрыв в навыках киберпространства». Журнал InfoSecurity. Журнал InfoSecurity. Получено 20 февраля 2017.
- ^ «Без следа: бесфайловое вредоносное ПО, обнаруженное в небытие». Trend Micro. Trend Micro. Получено 20 февраля 2017.