Бесфайловые вредоносные программы — это тип вредоносного программного кода, который использует легитимные системные инструменты и возможности для совершения кибератаки. Основное отличие бесфайловых вирусов от других видов вирусных программных продуктов заключается в отсутствии необходимости установки вредоносного кода в целевой системе. Именно это позволяет снизить вероятность их обнаружения антивирусным ПО и другими средствами защиты и мониторинга.
Несмотря на отсутствие необходимости непосредственной установки в систему вредоносного кода, для успешного завершения атаки хакеру необходимо получить доступ к целевой среде, чтобы воспользоваться стандартными системными инструментами. Для получения доступа могут использоваться разные тактики, рассмотрим основные из них.
1. Резидентные вредоносные программные продуктыВредоносные программы устанавливаются в реестр ОС Windows для обеспечения постоянной работы и сокрытия вредоносной активности. Как правило, заражение целевой системы осуществляется с использованием так называемых программ-дропперов, необходимых для загрузки файлов с хакерским кодом. Однако в случае скачивания вредоносного файла, антивирусное ПО может его обнаружить в процессе выполнения, что не входит в планы киберпреступников. Чтобы обойти антивирусную защиту, дропперы используются не для загрузки файлов, а для записи кода непосредственно в системный реестр.
В большинстве случаев алгоритм вредоносного кода предполагает автоматический запуск при старте операционной системы. Известным примером такой атаки являются: Poweliks, Kovter, GootKit. Хакерские программы, использующие для контроля компьютера жертвы ключи реестра, могут долгое время оставаться незамеченными, что грозит потерей конфиденциальных данных.
2. Набор эксплойтовЭксплойты представляют собой наборы данных или последовательности команд, которые используются киберпреступниками для использования существующих или потенциальных уязвимостей установленного программного обеспечения и операционных систем. Эксплойты являются для злоумышленников эффективным инструментом запуска бесфайловой атаки, так как внедряются непосредственно в память без необходимости в сохранении на твердотельном накопителе. Часто применяются для автоматизации дальнейшего несанкционированного проникновения в систему.
Подобного типа заражение чаще всего происходит при помощи методов социальной инженерии, включая фишинговый спам. В комплект эксплойтов, как правило, входит вредоносный код, предназначенный для работы с разными типами уязвимостей и инструмент контроля и управления системой, в частности командная консоль. Современные версии эксплойтов имеют возможность полного сканирования файловой системы для обнаружения уязвимостей и создания инструментов их использования “на лету”.
3. Бесфайловые вымогателиРедко киберпреступники ограничиваются использованием одного вида угрозы. Чаще они предпринимают все возможности для того, чтобы получить контроль над системой. На сегодня известны случаи, когда бестелесное вредоносное ПО использовалось как традиционные программы-вымогатели.
Вредоносный код записывается непосредственно в память при помощи эксплойта либо внедряется в документы с использованием макросов. После внедрения на машину жертвы программа-вымогатель атакует встроенные в систему средства для шифрования файловой системы, например, инструмент PowerShell.
4. Вредоносное ПО, работающее в памятиПримером таких хакерских продуктов является червь Duqu, который маскируется от антивирусных программ, благодаря отсутствию исполняемого кода в файловой системе. На сегодня известны две версии червя:
бэкдор. Применяется на начальных стадиях атаки для получения несанкционированного доступа к системе;
extended. Расширенная версия хакерского инструмента, предоставляющая злоумышленнику дополнительные возможности, включая разведку, боковое перемещение и возможность кражи целевой информации.
Киберпреступники могут совершить атаку, используя учетные данные пользователей, полученные незаконно, чтобы убедить систему в правомерности своего присутствия в среде. После получения доступа хакеры используют системные инструменты, включая PowerShell или WMI для совершения злонамеренных действий. Для обеспечения анонимности злоумышленники прячут вредоносный код в регистре или ядре системы.
Рассмотрим основной алгоритм действий, используемый злоумышленниками для нанесения вреда целевой системе и кражи данных с использованием бесфайловых программ:
Получение доступа к целевой системе. С целью создания плацдарма для дальнейшей атаки киберпреступнику необходимо организовать удаленный доступ к компьютеру жертвы. Для этого хакеры применяют веб-скрипты, например, China Chopper, и существующие уязвимости безопасности.
Кража учетных данных. После успешного проведения предыдущего этапа и получения доступа к целевой системе киберпреступник приступает к краже учетных данных, что позволяет установить доступ к другим системам в этой среде.
Установка бэкдора. Чтобы не повторять вышеописанные действия при необходимости повторного подключения к системе жертвы, преступник создает уязвимости и устанавливает бэкдоры, которые позволят ему в любой момент установить соединение с целевым компьютером.
Кража данных. Последний этап включает в себя подготовку целевых данных на выгрузку из системы пользователя. Для сбора и сжатия информации используются стандартные системные инструменты, после чего подготовленные данные отправляются на удаленный сервер с использованием протокола FTP. Часто украденные данные удаляются из файловой системы жертвы для невозможности их использования. При отсутствии у пользователя резервных копий, восстановить удаленную информацию часто не представляется возможным.
