Теперь я тебя вижу: выявление бесфайловых вредоносных программ

[14th]

Так оно и было задумано.

Правда, выглядит несколько иначе: ребята, мы тут дыр понаделали и не можем их пока закрыть, но вот вам модный пластырь в цветную полосочку.

И еще: начиналось с операционной системы, а закончилось, почему-то, Офисом.

[jurok04]

Протер сонные глаза, но Офиса в статье так и не увидел. Где же этот суслик, которого не видно, но но есть?

[Andrey_Kalugin]

Microsoft 365 <> Office
Microsoft 365 = Office 365 + Windows 10 + EMS

[mickvav]

Что мешает антивирусам искать в реестре по сигнатурам?
Какой процент обнаружения новых атак у windows defender?

[Andrey_Kalugin]

Михаил, можно посмотреть свежую информацию здесь — cloudblogs.microsoft.com/microsoftsecure/2018/03/22/why-windows-defender-antivirus-is-the-most-deployed-in-the-enterprise

[teecat]

Что-то нагнетание какое-то

В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe),

То есть скриптовые вредоносные программы, в том числе на языке JavaScript или JScript. Сложно ловить в силу изменчивости, но можно.
И опять же если скрипт кто-то запускает, то это процесс. А процесс он откуда-то стартует. А значит при старте он ловится. Достаточно известная схема, когда в файле хранятся зашифрованные строки, которые извлекаются при старте

При выключении питания информация в памяти не сохраняется, и, если файлы не записаны на диске,

По сути здесь описана терминологическая проблема и не более. почему-то если вредоносное ПО сохраняется в реестр или базу данных, то файловым его не перестают называть, а если в реестр — то оно уже безфайловое

Второй канал оказался гораздо более изысканным и интересным:
Он не оставлял артефактов на диске.
Создавала раздел реестра, который запускал однострочный командлет PowerShell.

То есть артефакт — изменение реестра, который контролируется поведенческим анализатором, который при доступе в реестр на запись проверит что нужно

Злоумышленники используют разные бесфайловые методы, которые затрудняют обнаружение вредоносных имплантов. Среди них:
Вредоносная библиотека DLL может размещаться на удаленном компьютере…

Проверяется встроенным в клиентскую программу антивирусным модулем или на уровне проверки трафика

Также она может внедряться в замаскированной форме, например, через макросы и сценарии.

И при загрузке должна провериться файловым антивирусом

В результате злоумышленникам удается обойти средства мониторинга и отслеживания загрузки исполняемых модулей в операционной системе

Бесфайловые вирусы известны очень давно. Вспомним хотя бы руткиты. Не новое явление, чтобы системы защиты их не видели. Кроме всего прочего есть периодическое сканирование запущенных процессов и контроль их целостности

Злоумышленники используют бесфайловые эксплойты в памяти для удаленного запуска произвольного кода на пораженных компьютерах. Например, угроза UIWIX использует эксплойт EternalBlue, который был задействован в Petya и WannaCry.

Контроль целостности процесса

В ряде наблюдавшихся случаев злоумышленники использовали репозиторий инструментария управления Windows (WMI) для сохранения вредоносных сценариев

Трендмайкро постоянно выпускает прессрелизы о нахождении таких вредоносных программ.

[yanus2face]

Ну, это в стиле мелкомягких… зачем править архитектуру системы, когда можно бесконечно изобретать костыли для правки каскада багов и уязвимостей, порождённых предыдущим поколением костылей. Заодно и новое поколение костыликов прорекламировали. Я такие комплексные заразы изводил ещё лет 5 назад. Очень мило, когда вирус уже прочно прописался в реестре и выкуривать его можно только с кусками системных файлов, которые он успел модифицировать. Ясен пень, зачем неподготовленному пользователю смотреть на эти «страшные» расширения файлов по дефолту, пущай он лучше кликает на всякую бяку, думая что там картинка с котиком.