Бесфайловые вредоносные программы - Википедия - Fileless malware

Бесфайловое вредоносное ПО это вариант связанного с компьютером вредоносное ПО который существует исключительно как память компьютера -на основе артефакта т.е. в баран.

Он не записывает никакой части своей деятельности в компьютер. жесткий диск это означает, что он очень устойчив к существующим Антикомпьютерные криминалистические стратегии которые включают белый список на основе файлов, обнаружение подписей, проверку оборудования, анализ шаблонов, отметку времени и т. д. и оставляют очень мало доказательств, которые могут быть использованы экспертами в области цифровой криминалистики для выявления незаконной деятельности.

Поскольку вредоносные программы этого типа предназначены для работы в памяти, их долговечность в системе существует только до тех пор, пока система перезагружен.

Определение

Бесфайловое вредоносное ПО иногда считается синонимом в памяти вредоносное ПО, поскольку оба выполняют свои основные функции без записи данных на диск в течение всего срока их работы. Это побудило некоторых комментаторов заявить, что этот вариантный штамм не является чем-то новым, а просто «переопределением известного термина резидентный вирус в памяти»,[1] чья родословная восходит к 1980-м годам, когда родился Lehigh Virus который был разработан создателем термина, Фред Коэн, и стал влиятельным благодаря своей статье по этой теме.[2]

Однако эта синонимия неверна. Хотя вышеупомянутая поведенческая среда выполнения одинакова, в обоих случаях, то есть оба варианта вредоносного ПО выполняются в системной памяти, решающее различие заключается в методе начала и продолжения. Вектор заражения большинства вредоносных программ связан с записью на жесткий диск,[3] для его выполнения, источник которого может иметь форму зараженного файлового вложения, внешнего носителя, например USB, периферийные устройства, мобильный телефон и т. Д., Браузер, проезжающий мимо, боковой канал и Т. Д.

Каждый из вышеупомянутых методов должен иметь контакт с жестким диском хост-системы в той или иной форме, а это означает, что даже при использовании самых скрытых анти-криминалистических методов некоторая форма зараженного остатка будет оставаться на носителе хоста.

С другой стороны, бесфайловые вредоносные программы с момента начала и до завершения процесса (обычно путем перезагрузки системы) стремятся никогда не записывать свое содержимое на диск. Его цель - находиться в нестабильных областях системы, таких как системный реестр, процессы в памяти и зоны обслуживания.[4]

История

Бесфайловые вредоносные программы - это эволюционная разновидность вредоносного программного обеспечения, принявшая устойчивую модель самосовершенствования / совершенствования со стремлением к четко определенным целевым сценариям атак, корни которых можно проследить до прекратить и остаться резидентом Резидентные вирусные программы / memory[5] что после запуска они будут находиться в памяти в ожидании системного прерывания, прежде чем получить доступ к своему потоку управления; примеры которых были замечены в вирусах, таких как Frodo, Темный мститель, Число зверя.[6]

Эти методы эволюционировали посредством резидентных вирусов во временной памяти.[7] и были замечены в известных примерах, таких как: Anthrax, Monxla[8] и приобрели свою истинную «бесфайловую» природу посредством внедрения в память сетевых вирусов / червей, таких как Код красный и Slammer.

Более современные эволюционные воплощения были замечены в вирусах, таких как Stuxnet, Duqu, Пауэликс,[9] Phasebot[10] и Т. Д.

Последние достижения

8 февраля 2017 года отдел глобальных исследований и анализа «Лаборатории Касперского» опубликовал отчет «Бесфайловые атаки на корпоративные сети».[11] который связан с вариантами этого типа вредоносного ПО и его последними воплощениями, затрагивающими 140 корпоративных сетей по всему миру, причем основными целями являются банки, телекоммуникационные компании и государственные организации.

В отчете подробно описано, как один из вариантов бесфайлового вредоносного ПО PowerShell сценарии (расположенные в системе реестра Microsoft Windows) для запуска атаки на целевую машину с использованием общей инфраструктуры атаки, называемой Metasploit с вспомогательными инструментами атаки, такими как Mimikatz,[12] и использование стандартных утилит Windows, таких как «SC» и «NETSH», для помощи в боковом перемещении.

Вредоносная программа была обнаружена только после того, как банк идентифицировал код Metasploit Meterpreter, работающий в физической памяти на центральном контроллере домена (DC).[13]

«Лаборатория Касперского» - не единственная компания, которая выявила такие новые тенденции: большинство основных компаний, занимающихся защитой от вредоносных программ, пришли к аналогичным результатам: Symantec,[14] Trend Micro,[15] McAfee Labs, Cybereason,[16] и Т. Д.

Цифровая криминалистика

Появление вредоносных программ, работающих без файлов, представляет собой серьезную проблему для следователей, занимающихся цифровой судебной экспертизой, чья уверенность в возможности получения цифровых артефактов с места преступления имеет решающее значение для обеспечения цепочка поставок и представление доказательств, приемлемых для рассмотрения в суде.

Многие известные модели процессов цифровой криминалистики, такие как: Casey 2004, DFRWS 2001, NIJ 2004, Cohen 2009,[17] все они включают этап изучения и / или анализа в свои соответствующие модели, подразумевая, что доказательства могут быть получены / собраны / сохранены с помощью определенного механизма.

Сложность становится очевидной при рассмотрении стандартных рабочих процедур цифровых следователей и того, как им следует обращаться с компьютером на месте преступления. Традиционные методы направляют исследователя к:[18]

  • Ни при каких обстоятельствах не включайте компьютер.
  • Убедитесь, что компьютер выключен - некоторые хранители экрана могут создавать впечатление, что компьютер выключен, но индикаторы активности жесткого диска и монитора могут указывать на то, что устройство включено.
  • Снимите аккумулятор основного источника питания с портативных компьютеров.
  • Отключите питание и другие устройства от розеток на самом компьютере.

Бесфайловые вредоносные программы подрывают модели криминалистики, поскольку сбор доказательств может происходить только по образу памяти, полученному из работающей в реальном времени системы, которая подлежит исследованию. Однако этот метод сам по себе может поставить под угрозу полученный образ памяти хозяина и поставить под сомнение юридическую допустимость или, по крайней мере, вызвать достаточно разумные сомнения в том, что вес представленных доказательств может быть резко снижен, увеличивая шансы того, что троянский конь или же "это сделал какой-то другой чувак" защиты можно использовать более эффективно.

Это делает этот тип вредоносного ПО чрезвычайно привлекательным для злоумышленников, желающих закрепиться в сети, выполнять сложные для отслеживания боковые движения и делать это быстро и бесшумно, когда стандартные методы судебного расследования плохо подготовлены к угрозе.[19][20][21]

внешняя ссылка

Рекомендации

  1. ^ «Продвинутая нестабильная угроза: новое имя для старой вредоносной техники?». ОГО. ОГО. Получено 20 февраля 2017.
  2. ^ «Компьютерные вирусы - теория и эксперименты». университет Мичигана. Получено 20 февраля 2017.
  3. ^ Шарма, S (2013). «Удалите и оставайтесь резидентными вирусами» (PDF). Международный журнал исследований в области информационных технологий. 1 (11): 201–210.
  4. ^ "Бестелесная угроза". Лаборатория Касперского Бизнес. Лаборатория Касперского. Получено 20 февраля 2017.
  5. ^ "Искусство исследования и защиты компьютерных вирусов: резидентные вирусы". Получено 20 февраля 2017.
  6. ^ "Число зверя". FireEye.
  7. ^ "Искусство исследования и защиты компьютерных вирусов: резидентные вирусы во временной памяти". Получено 20 февраля 2017.
  8. ^ "Что такое Monxla - Информация о Monxla и удаление". antivirus.downloadatoz.com.
  9. ^ "Trojan.Poweliks". www.symantec.com.
  10. ^ "Phasebot, бесфайловое вредоносное ПО, продаваемое в подполье". Вопросы безопасности. 23 апреля 2015.
  11. ^ «Бесфайловые атаки на корпоративные сети». Безопасный список. Безопасный список. Получено 20 февраля 2017.
  12. ^ "мимикац". GitHub вики.
  13. ^ «Бесфайловые атаки на корпоративные сети». Безопасный список. Безопасный список. Получено 20 февраля 2017.
  14. ^ "Trojan.Poweliks". www.symantec.com. Symantec.
  15. ^ "TROJ_PHASE.A - Энциклопедия угроз". www.trendmicro.com.
  16. ^ www.cybereason.com/ fileless-вредоносная-развивающаяся-угроза-на горизонте[мертвая ссылка ]
  17. ^ Кейси, Иоган (2010). Цифровые улики и компьютерные преступления: криминалистика, компьютеры и Интернет (3-е изд.). Лондон: Академ. п. 189. ISBN  0123742684.
  18. ^ «ACPO: Руководство по эффективной практике компьютерных электронных доказательств» (PDF). Королевская прокуратура. Ассоциация старших офицеров полиции. Получено 20 февраля 2017.
  19. ^ «POWELIKS повысил свой уровень с новым механизмом автозапуска». Trend Micro. Trend Micro. Получено 20 февраля 2017.
  20. ^ «Анти-криминалистическое вредоносное ПО увеличивает разрыв в навыках киберпространства». Журнал InfoSecurity. Журнал InfoSecurity. Получено 20 февраля 2017.
  21. ^ «Без следа: бесфайловое вредоносное ПО, обнаруженное в небытие». Trend Micro. Trend Micro. Получено 20 февраля 2017.