Для малого бизнеса
+7 (499) 673-37-62

10.04.2025

Бесфайловые атаки

Бесфайловые атаки

Многие компании осведомлены о рисках, связанных с вредоносным ПО, и предпринимают меры для обеспечения безопасности корпоративной инфраструктуры. Например, внедряют антивирусы, обучают сотрудников распознавать подозрительные ссылки и вложения в электронных письмах, ограничивают доступ к некоторым категориям веб-ресурсов и др. Эти меры будут малоэффективны в случае бесфайловых атак с использованием ПО, которое не сохраняется в виде исполняемых файлов. В статье рассказываем, что это за атаки, как их выявить, что предпринять для защиты.

Что такое бесфайловые атаки

Бесфайловые атаки — атаки с применением бестелесного вредоносного ПО, которое не сохраняется в виде исполняемого файла на жестком диске, а загружается в оперативную память. Опасность таких вредоносов в том, что они не оставляют следов, из-за чего их сложно обнаружить.

Чтобы запустить бестелесную атаку, злоумышленники используют инструменты и возможности компонентов ОС и легитимных программ.

Отметим, что не все атаки такого плана полностью бесфайловые. Иногда злоумышленники сохраняют на диске файлы с программами, которые помогают запустить вредоносное ПО. Такие файлы удаляются после того, как выполнят свои функции.

Как происходят бесфайловые атаки

Коротко опишем один из сценариев такой атаки:

  • Проникновение в систему. Это происходит несколькими способами, например, путем эксплуатации уязвимостей установленного на целевые устройства легитимного ПО, запуска вредоносов с внешних носителей, внедрение в прошивку вредоносного кода.
  • Закрепление в системе. Если после перезагрузки зараженного устройства или по каким-либо другим причинам вредоносное ПО перестает выполняться, злоумышленники повторно запускают его с использованием легитимных инструментов. Например, они могут в планировщике задач настроить автоматическое выполнение вредоноса при определенных условиях, добавить запись в реестр Windows и др.
  • Выполнение вредоносного кода. Главная задача инициаторов бесфайловой атаки — сделать так, чтобы вредоносное ПО выполнялось до тех пор, пока не будет достигнута цель злоумышленников.

Примеры легитимных инструментов, которые могут использоваться злоумышленниками для реализации бесфайловых атак:

  • WMI-интерфейс, который позволяет администраторам получать доступ к данным, используемым для управления устройствами в корпоративных сетях. Злоумышленники эксплуатируют его, чтобы обойти защиту, закрепиться в системе и обеспечить горизонтальное перемещение по сети.
  • Фреймворк .NET Framework, используемый для разработки приложений. Злоумышленники могут эксплуатировать его особенности, чтобы запустить вредоносное ПО и удалить из памяти все следы атаки.
  • PowerShell — программа для управления папками и файлами, настройками систем, удаленными устройствами. Злоумышленники могут использовать ее функции для внедрения бестелесного ПО.
  • Реестр Windows — база данных, где хранятся настройки устройств, установленных программ, пользовательских профилей. Злоумышленники используют реестр, чтобы закрепиться в системе.
  • Планировщик задач Windows — компонент операционной системы, позволяющий задавать настройки на автоматическое выполнение конкретных задач, например, запуск определенных программ в определенное время. Этот инструмент помогает злоумышленникам сделать так, чтобы вредоносное ПО запускалось каждый раз при включении устройства.
что такое бесфайловые атаки

Примеры бестелесных атак

Самые известные атаки такого плана:

  • Атака с помощью бестелесного ПО Duqu2, затронувшая более 140 организаций в нескольких странах. Для внедрения вредоноса злоумышленники использовали реестр Windows и PowerShell.
  • Атака с помощью программы August Stealer, нацеленная на колл-центры и службы поддержки. Чтобы украсть персональные данные клиентов, злоумышленники задействовали скрипты PowerShell и макросы Word.
  • Использование ботнета HeadCrab для атаки на серверы для майнинга криптовалют.

Количество бесфайловых атак растет во всем мире, потому что с точки зрения злоумышленников они более эффективны, чем традиционные способы распространения вредоносного ПО. Российские компании тоже под угрозой, поэтому нельзя игнорировать меры безопасности.

Чем опасны бесфайловые атаки

Главная опасность таких атак в том, что их достаточно сложно выявить, поскольку злоумышленники стараются не оставлять следов. Зачастую о присутствии вредоносного ПО компании начинают подозревать уже после того, как столкнутся с негативными последствиями.

Вторая опасность связана с быстрым исполнением бестелесного вредоносного ПО. Файлы записывать не нужно, следовательно, бесфайловая атака развивается стремительнее, чем атака с использованием «обычных» вредоносов. Это одна из причин, почему компании не удается обнаружить подозрительную активность на критических этапах. В некоторых случаях, вредонос записывает временные файлы (DLL, скрипты), которые с течением времени удаляются. То есть, атака на определенное время может стать частично файловой.

Третья опасность — горизонтальное перемещение по сети. Если злоумышленники сумели проникнуть внутрь инфраструктуры и закрепиться, они будут продвигаться от точки входа (зараженного устройства) к другим объектам.

Бестелесные атаки особенно опасны в корпоративной среде, особенно если зараженные устройства постоянно включены, следовательно, вредоносные программы выполняются практически непрерывно. В итоге атаки могут достичь серверов, из-за чего возникнет цепная реакция, и пострадает вся компания.

угроза бесфайловых атак

Почему традиционные антивирусы бессильны против бесфайлового вредоносного ПО, как его выявить

Антивирусы выявляют вредоносное ПО по сигнатурам — признакам, характерным для той или иной атаки. В случае невидимой угрозы такой способ не сработает.

Выявить активность бестелесного вредоносного ПО помогут методы поведенческого анализа, анализ событий на конечных точках и проверка инструментов, которые могут использоваться злоумышленниками для атаки.

Как защититься от бесфайловой атаки

Защита от невидимых угроз должна быть комплексной, включающей следующие меры:

  • Своевременное обновление используемого программного обеспечения. Это нужно, чтобы снизить риски появления уязвимостей, которые могут быть проэксплуатированы для атаки.
  • Внедрение инструментов для отслеживания процессов и активности памяти. Такие средства позволят обнаружить необычное поведение программ.
  • Ограничение для части пользователей доступа к командной строке и скриптам. Следует оставить доступ только тем сотрудникам, которым это нужно для работы.
  • Контролировать сетевой трафик для обнаружения аномалий.
  • Использовать средства защиты конечных точек, например, такое решение, как Solar EDR от коммерческого центра противодействия кибератакам Solar JSOC.

Некоторые программы и браузеры включают встроенные механизмы защиты от бесфайловых атак, но их недостаточно, поскольку схемы злоумышленников постоянно усложняются. EDR гораздо эффективнее в плане обнаружения вредоносной активности.

Как Solar EDR помогает в выявлении бесфайловых атак

Сервис защиты конечных точек (пользовательских устройств и серверов) на основе технологии EDR (Endpoint Detection & Response) выявляет угрозы, которые не детектируются базовыми СЗИ. В перечень этих угроз входят и бесфайловые атаки.

Как работает сервис:

  • Решение для защиты конечных точек подключается в качестве дополнения к базовому продукту SOC от Solar JSOC, предназначенному для круглосуточного мониторинга и реагирования на инциденты ИБ.
  • На рабочие станции и критичные серверы в корпоративной инфраструктуре устанавливаются агенты EDR, которые собирают данные обо всех событиях на конечных узлах.
  • Собранная информация поступает аналитикам JSOC. Команда специалистов анализирует данные, выявляет инциденты (в том числе и угрозы, невидимые для других средств защиты), оповещает заказчика и предлагает эффективные меры реагирования.

Благодаря решению EDR удается быстро детектировать индикаторы присутствия злоумышленников, распознавать нетипичные атаки, журналировать события на конечных точках и собирать доказательную базу по инцидентам ИБ. Также среди преимуществ сервиса: мониторинг в режиме 24/7, экспертная поддержка, удобный формат использования, непрерывное обогащение правил, сигнатур и индикаторов компрометации данными от экспертов Solar 4RAYS — центра исследования киберугроз.

защита от бесфайловой атаки

ЗАКЛЮЧЕНИЕ

Злоумышленники научились обходить базовые СЗИ, внедряя продвинутые вредоносные программы, где присутствуют цепочки вызовов легального ПО, установленного на устройствах. Такие атаки называются бесфайловыми или бестелесными и не обнаруживаются традиционными средствами защиты информации. Выявить их поможет сервис Solar EDR, собирающий информацию обо всех событиях на конечных точках. Далее в дело вступают эксперты Solar JSOC — после анализа собранных данных они дают заключение об инцидентах ИБ и рекомендации по реагированию на подозрительную активность. Чтобы больше узнать о сервисе и о том, как защититься от бесфайловой атаки, оставьте заявку на консультацию.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Применение СКЗИ в ГИС: разбор новых требований ФСБ России

Применение СКЗИ в ГИС: разбор новых требований ФСБ России

Узнать больше
5 причин, почему ваш сайт привлекает ботов и как это остановить

5 причин, почему ваш сайт привлекает ботов и как это остановить

Узнать больше
Российские криптоалгоритмы: обзор и применение

Российские криптоалгоритмы: обзор и применение

Узнать больше
Как веб-фильтрация помогает вернуть сотрудников к работе и спасти бизнес от вирусов, утечек

Как веб-фильтрация помогает вернуть сотрудников к работе и спасти бизнес от вирусов, утечек

Узнать больше
Безопасное соединение: почему бизнесу давно пора выйти за пределы VPN

Безопасное соединение: почему бизнесу давно пора выйти за пределы VPN

Узнать больше
Фродовый трафик: как защитить сайт от ботов и фальшивого трафика

Фродовый трафик: как защитить сайт от ботов и фальшивого трафика

Узнать больше
Документация по СКЗИ: журналы учета и правила эксплуатации

Документация по СКЗИ: журналы учета и правила эксплуатации

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.