Бесфайловое вредоносное ПО

Материал из Циклопедии
Перейти к навигации Перейти к поиску
Question book-4.svg
 В этой статье не хватает ссылок на источники информации.
Информация по спорным неочевидным темам должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на источники.
Эта отметка была добавлена 6 ноября 2023.

Бесфайловое вредоносное ПО — разновидность связанного с компьютером вредоносного программного обеспечения, которое существует исключительно в виде артефакта, основанного на памяти компьютера, то есть в оперативной памяти.

Оно не записывает какую-либо часть своей активности на жесткий диск компьютера, тем самым повышая свою способность обходить антивирусное программное обеспечение, которое включает в себя создание белых списков на основе файлов, обнаружение сигнатур, проверку оборудования, анализ шаблонов, отметку времени и т. д., и оставляет очень мало доказательств, которые могли бы быть использованы криминалистами для выявления незаконной деятельности. Вредоносное ПО этого типа предназначено для работы в памяти, поэтому его существование в системе длится только до перезагрузки системы.

Определение[править]

Бесфайловое вредоносное ПО иногда считается синонимом вредоносного ПО, хранящегося в памяти, поскольку оба они выполняют свои основные функции без записи данных на диск в течение срока их эксплуатации. Это привело некоторых комментаторов к утверждению, что этот разновидный штамм не является чем-то новым, а просто представляет собой «переопределение хорошо известного термина „резидентный вирус памяти“», родословную которого можно проследить до 1980-х годов с появлением вируса Лихай, который был разработан создателем термина, Фредом Коэном, и стал влиятельным благодаря его статье на эту тему.

Однако эта синонимия неверна. Хотя вышеупомянутая поведенческая среда выполнения одинакова в обоих случаях, то есть оба варианта вредоносного ПО выполняются в системной памяти, решающее различие заключается в методе запуска и продления. Вектор заражения большинства вредоносных программ включает в себя некоторую запись на жесткий диск, для ее выполнения, источником которой может быть зараженное файловое вложение, внешнее мультимедийное устройство, например USB, периферийное устройство, мобильный телефон и т. д., браузер drive-by, побочный канал и т. д.

Каждый из вышеупомянутых методов в той или иной форме должен иметь контакт с жестким диском хост-системы, а это означает, что даже при использовании самых незаметных методов защиты от криминалистики на носителе хоста останется какая-то часть зараженного содержимого.

С другой стороны, бесфайловое вредоносное ПО с момента создания и до завершения процесса (обычно путем перезагрузки системы) стремится к тому, чтобы его содержимое никогда не записывалось на диск. Его назначение — находиться в энергозависимых областях системы, таких как системный реестр, процессы в памяти и сервисные области.

Безфайловое вредоносное ПО обычно использует технологию Living off the Land (LotL), которая относится к использованию уже существующих двоичных файлов операционной системы для выполнения задач. Цель этого метода — избежать ненужного размещения дополнительного вредоносного ПО в системе для выполнения задач, которые могут быть выполнены с использованием уже существующих ресурсов. Это способствует скрытности, прежде всего потому, что ранее существовавшие системные двоичные файлы обычно подписаны и им доверяют. Примером может служить злоумышленник, использующий PsExec для подключения к целевой системе.

История[править]

Безфайловое вредоносное ПО — эволюционная разновидность вредоносного программного обеспечения, которая приобрела устойчивую модель самосовершенствования со стремлением к четко определенным сценариям целенаправленной атаки, корни которой можно проследить до завершающих и остающихся резидентными вирусных программ, которые после запуска будут находиться в памяти в ожидании системного прерывания, прежде чем получат доступ к потоку управления; примеры которых были замечены в таких вирусах, как Frodo, The Dark Avenger, Number of the Beast.

Эти методы развились с помощью вирусов, резидентных во временной памяти, и были замечены в известных примерах, таких как: Anthrax, Monxla, и приобрели свою истинную безфайловую природу с помощью сетевых вирусов / червей, внедряемых в память, таких как CodeRed и Slammer.

Более современные эволюционные воплощения были замечены в таких вирусах, как Stuxnet, Duqu, Poweliks, Phasebot и др.

Последние разработки[править]

8 февраля 2017 года Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» опубликовала отчет под названием «Атаки без файлов на корпоративные сети», в котором описываются варианты вредоносного ПО этого типа и его последние воплощения, поражающие 140 корпоративных сетей по всему миру, основными целями которых являются банки, телекоммуникационные компании и правительственные организации.

В отчете подробно описывается, как разновидность вредоносного ПО без файлов использует скрипты PowerShell (расположенные в системе реестра Microsoft Windows) для запуска атаки на компьютер цели, используя общую платформу атаки под названием Metasploit с вспомогательными средствами атаки, такими как Mimikatz, и используя стандартные утилиты Windows, такие как ‘SC’ и ‘NETSH’, для облегчения бокового перемещения.

Вредоносная программа была обнаружена только после того, как банк идентифицировал код Metasploit Meterpreter, работающий в физической памяти на центральном контроллере домена (DC).

«Лаборатория Касперского» — не единственная компания, выявившая подобные тенденции, с аналогичными выводами выступили большинство ведущих компаний по защите от вредоносных программ в сфере ИТ: Symantec, Trend Micro, McAfee Labs, Cybereason, и др.

Цифровая криминалистика[править]

Появление вредоносного ПО, работающего без файлов, представляет серьезную проблему для криминалистов, занимающихся цифровыми исследованиями, чья зависимость от возможности получения цифровых артефактов с места преступления имеет решающее значение для обеспечения цепочки поставок и получения доказательств, приемлемых в суде.

Многие хорошо известные модели процессов цифровой криминалистики, такие как: Casey 2004, DFRWS 2001, NIJ 2004, Cohen 2009,, включают либо этап экспертизы и / или анализа в свои соответствующие модели, подразумевая, что доказательства могут быть получены / собраны / сохранены с помощью некоторого механизма.

Сложность становится очевидной при рассмотрении стандартных процедур работы цифровых следователей и того, как они должны обращаться с компьютером на месте преступления. Традиционные методы предписывают следователю:

  • Ни при каких обстоятельствах не включайте компьютер
  • Убедитесь, что компьютер выключен — некоторые экранные заставки могут создавать впечатление, что компьютер выключен, но индикаторы активности жесткого диска и монитора могут указывать на то, что устройство включено.
  • Извлеките аккумулятор основного источника питания из портативных компьютеров.
  • Отключите питание и другие устройства от розеток на самом компьютере

Бесфайловое вредоносное ПО подрывает модели судебной экспертизы, поскольку сбор доказательств может осуществляться только на основе образа памяти, полученного из действующей системы, подлежащей расследованию. Этот метод, однако, сам по себе может скомпрометировать приобретенный образ в памяти хоста и поставить под сомнение юридическую приемлемость или, по крайней мере, посеять достаточно обоснованные сомнения в том, что вес представленных доказательств может быть резко снижен, увеличивая шансы на то, что троянский конь или «это сделал какой-то другой чувак», защита может быть использована более эффективно.

Это делает этот тип вредоносных программ чрезвычайно привлекательным для злоумышленников, желающих закрепиться в сети, совершать трудно отслеживаемые боковые перемещения и делать это быстро и бесшумно, когда стандартные методы судебного расследования плохо подготовлены к угрозе.

Источник — http://cyclowiki.org/w/index.php?title=Бесфайловое_вредоносное_ПО&oldid=1805406