Fileless Malware
Fileless Malware (malware bezplikowy) to rodzaj złośliwego oprogramowania, które działa wyłącznie w pamięci operacyjnej komputera, nie zapisując się na dysku. Wykorzystuje legalne narzędzia systemowe i procesy, co utrudnia wykrycie przez tradycyjne antywirusy.
Co to jest Fileless Malware?
Definicja Fileless Malware
Fileless Malware (malware bezplikowy) to złośliwe oprogramowanie, które działa wyłącznie w pamięci operacyjnej (RAM) komputera, unikając zapisywania jakichkolwiek plików na dysku twardym. Zamiast tradycyjnych plików wykonywalnych (.exe), fileless malware wykorzystuje legalne procesy systemowe i narzędzia wbudowane w system operacyjny.
Technika ta dramatycznie utrudnia wykrycie, ponieważ tradycyjne antywirusy skupiają się na skanowaniu plików na dysku. Jeśli nie ma pliku do przeskanowania, antywirus nie ma czego szukać.
Jak działa Fileless Malware?
Typowy atak fileless malware przebiega następująco:
1. Wektor infekcji:
- Złośliwy dokument Office z makrem
- Link w emailu prowadzący do exploit kit
- Podatność w przeglądarce lub wtyczce
2. Wykonanie w pamięci:
- Makro uruchamia PowerShell
- PowerShell pobiera payload z internetu
- Payload jest wykonywany bezpośrednio w pamięci (Invoke-Expression)
- Nic nie jest zapisywane na dysk
3. Persistence (opcjonalnie):
- Rejestr Windows (klucze Run)
- Zaplanowane zadania
- WMI Event Subscriptions
- Modyfikacja Startup folder
4. Wykonanie przy restarcie:
- Legitymowany proces (PowerShell, WMI) czyta payload z rejestru
- Ponowne wykonanie w pamięci
Jakie są rodzaje ataków fileless?
Całkowicie bezplikowe:
- Złośliwy kod nigdy nie dotyka dysku
- Istnieje tylko w pamięci
- Wymaga utrzymania procesu lub persistence w rejestrze
Częściowo bezplikowe:
- Początkowy dropper może być plikiem
- Główny payload działa w pamięci
- Często używane w praktyce
Bazujące na rejestrze:
- Payload zakodowany w rejestrze Windows
- Ładowany i wykonywany przez legalne procesy
- Przetrwa restart systemu
Bazujące na skryptach:
- PowerShell, JavaScript, VBScript
- Skrypty są interpretowane, nie kompilowane
- Łatwiejsze do obfuskacji
Dlaczego tradycyjne antywirusy nie wykrywają fileless malware?
Brak pliku do skanowania:
- AV skanuje pliki na dysku
- Fileless malware istnieje tylko w RAM
- Nie ma sygnatury do dopasowania
Legitymowane procesy:
- PowerShell.exe jest podpisany przez Microsoft
- Znajduje się na białej liście
- AV nie blokuje zaufanych procesów
Obfuskacja:
- Kod jest często zakodowany (Base64)
- Dynamiczne generowanie kodu
- Polimorfizm utrudnia tworzenie sygnatur
Wykonanie w kontekście:
- Malware działa w kontekście legitymowanego procesu
- Trudno odróżnić od normalnej aktywności
Jak wykrywać Fileless Malware?
Analiza behawioralna:
- Monitorowanie zachowania procesów
- Wykrywanie nietypowych operacji (PowerShell pobierający pliki z internetu)
- Machine learning do identyfikacji anomalii
Memory forensics:
- Skanowanie pamięci operacyjnej
- Wykrywanie złośliwego kodu w RAM
- Narzędzia: Volatility, Rekall
EDR (Endpoint Detection and Response):
- Ciągłe monitorowanie aktywności endpointów
- Nagrywanie historii procesów
- Wykrywanie podejrzanych łańcuchów procesów
Script Block Logging:
- Logowanie wszystkich wykonanych skryptów PowerShell
- Wykrywanie podejrzanych poleceń
- Analiza w SIEM
Jak EDR chroni przed Fileless Malware?
Nowoczesne systemy EDR są zaprojektowane z myślą o atakach fileless:
QRadar EDR z NanoOS:
- Działa na poziomie hypervisora (Ring -1)
- Widzi wszystkie operacje, nawet w pamięci
- Nie może być wyłączony przez malware
Analiza łańcuchów procesów:
- Word → PowerShell → Invoke-Expression = podejrzane
- Normalna praca nie generuje takich wzorców
- Automatyczne alerty i blokowanie
Monitorowanie API:
- Śledzenie wywołań systemowych
- Wykrywanie technik injection
- Process hollowing, reflective DLL loading
Rollback:
- Możliwość cofnięcia zmian wyrządzonych przez malware
- Przywrócenie stanu sprzed ataku
Jakie są znane przykłady Fileless Malware?
Kovter:
- Malware całkowicie rezydujący w rejestrze
- Używany do click fraud i ransomware
- Aktywny od 2014 roku
PowerGhost:
- Koparki kryptowalut działające w pamięci
- Wykorzystuje EternalBlue do propagacji
- Często atakuje serwery korporacyjne
POWERSPLOIT:
- Framework post-exploitation dla PowerShell
- Używany przez red teamy i atakujących
- Pełna funkcjonalność bez plików na dysku
Astaroth:
- Trojan bankowy
- Całkowicie bezplikowy łańcuch infekcji
- Wykorzystuje BITSAdmin, certutil, wmic
Jak ograniczyć ryzyko Fileless Malware?
Hardening PowerShell:
- Constrained Language Mode
- Script Block Logging
- Ograniczenie dostępu dla zwykłych użytkowników
Application Whitelisting:
- AppLocker lub WDAC
- Kontrola, które aplikacje mogą być uruchamiane
- Blokowanie nieautoryzowanych skryptów
Ograniczenie makr Office:
- Wyłączenie makr lub tylko z zaufanych lokalizacji
- Blokowanie makr z internetu
- Edukacja użytkowników
Segmentacja sieci:
- Ograniczenie ruchu bocznego
- Utrudnienie propagacji
EDR na wszystkich endpointach:
- Ciągłe monitorowanie behawioralne
- Wykrywanie technik fileless
- Automatyczna reakcja
Fileless Malware w statystykach
Fileless malware staje się coraz popularniejszy:
- Ponad 40% złośliwego oprogramowania wykorzystuje techniki fileless
- Ataki fileless są 10x trudniejsze do wykrycia niż tradycyjne
- Większość zaawansowanych grup APT używa technik fileless
Trendy wskazują na dalszy wzrost wykorzystania tych technik, co wymusza inwestycje w zaawansowane rozwiązania detekcji.
Fileless Malware reprezentuje ewolucję złośliwego oprogramowania w odpowiedzi na tradycyjne zabezpieczenia. Skuteczna obrona wymaga przejścia od skanowania plików do ciągłej analizy behawioralnej.