Бесфайловое вредоносное ПО
Что такое Бесфайловое вредоносное ПО?
Бесфайловое вредоносное ПОМалварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
Бесфайловое вредоносное ПО минимизирует следы на диске, размещаясь в памяти и злоупотребляя легитимными компонентами — PowerShell, WMI, .NET, WSH, реестром Windows — эта техника известна как «living off the land» (LOLBins). Начальный код может приходить через фишинговый документ, эксплойт или memory-loader и затем загружать следующие стадии рефлективно прямо в память, не записывая их на диск. Так как сигнатурным антивирусам почти нечего сканировать, такие атаки сложнее обнаруживать. Защита включает логирование блок-скриптов и командной строки, интеграцию с AMSI, EDR с поведенческой и memory-инспекцией, а также ограничение/подписывание PowerShell через Constrained Language Mode и WDAC.
● Примеры
- 01
PowerShell-нагрузки Cobalt Strike Beacon, загружаемые рефлективно в память.
- 02
POWELIKS — бесфайловая малварь, хранившая закодированные нагрузки в реестре Windows.
● Частые вопросы
Что такое Бесфайловое вредоносное ПО?
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает Бесфайловое вредоносное ПО?
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
Как защититься от Бесфайловое вредоносное ПО?
Защита от Бесфайловое вредоносное ПО обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Бесфайловое вредоносное ПО?
Распространённые альтернативные названия: Память-резидентная малварь, Living-off-the-Land-малварь.