- Kenkėjiška programa be failų vengia rašyti vykdomuosius failus į diską, daugiausia veikia atmintyje ir pasikliauja teisėtais procesais, tokiais kaip „PowerShell“ arba WMI.
- Šie metodai apsunkina aptikimą parašais pagrįstos antivirusinės programinės įrangos pagalba ir verčia sutelkti dėmesį į procesų elgseną bei nuolatinį stebėjimą.
- EDR/XDR, spragų prevencijos, scenarijų ir makrokomandų kontrolės, pataisymų diegimo ir daugiafaktorinio autentifikavimo derinys yra labai svarbus siekiant sumažinti befailinių atakų poveikį.
Kenkėjiška programa be failų Tai tapo viena iš tų kibernetinio saugumo sąvokų, apie kurią vis dažniau kalbama, bet dažnai suprantama tik iš dalies. Kalbame ne apie įprastą virusą, kurį atsisiunčiate .exe faile ir kuris lieka jūsų kietajame diske, o apie kažką daug slaptesnio, kuris daugiausia juda kompiuterio atmintyje ir naudoja teisėtus pačios operacinės sistemos įrankius.
Kitaip tariant, Kenkėjiškos programos be failų nereikia diegti kaip klasikinės programos Norėdamas padaryti žalos, jis naudoja scenarijus, „Windows“ procesus ir komponentus, tokius kaip „PowerShell“, WMI ar net registrą, kad fone vykdytų kenkėjišką kodą. Dėl to aptikimas naudojant tradicinius antivirusinius sprendimus yra labai sudėtingas, todėl reikia pakeisti gynybos strategiją, nukreipiant ją į elgsenos analizę ir nuolatinį stebėjimą.
Kas tiksliai yra kenkėjiška programa be failų?
Kalbėdami apie kenkėjiškas programas be failų, turime omenyje Tai reiškia grėsmių kategoriją, kuri kiek įmanoma vengia įrašyti nuolatinius kenkėjiškus failus į standųjį diską. Vietoj to, užpuolikas įterpia arba vykdo kodą tiesiai į atmintį (RAM) arba per sistemoje jau esančius patikimus procesus.
Tradicinėje kenkėjiškoje programinėje įrangojeUžpuolikas parengia vykdomąjį failą, jį platina (pavyzdžiui, kaip el. laiško priedą arba atsisiuntimą iš žiniatinklio), auka jį paleidžia, ir tas dvejetainis failas lieka sistemoje, kad būtų paleistas iš naujo po kiekvieno paleidimo iš naujo. Be failų modelyje daugelį šių komponentų pakeičia scenarijai arba komandos, kurios „gyvena“ atmintyje, naudoja integruotas „Windows“ programas ir ištrina arba sumažina pėdsakus diske.
Šis metodas tapo ypač populiarus nuo 2017 m.Tuomet pradėtos aptikti masyvesnės kampanijos, nebeapsiribojančios itin tikslinėmis atakomis. Nuo tada tokie gamintojai kaip „Kaspersky“, „SentinelOne“ ir kiti pagrindiniai saugumo paslaugų teikėjai pastebėjo Trojos arklių, reklaminių programų ir spustelėjančių programų šeimų atsiradimą su be failų integruotais komponentais į jų atakų grandinę.
Svarbi savybė Problema ta, kad dažnai susiduriame ne su „naujo tipo kenkėjiška programa“ funkcionalumo prasme, o su nauju būdu diegti tas pačias senas grėsmes: išpirkos reikalaujančios programinės įrangos, kredencialų vagys, RAT (nuotolinės prieigos įrankiai) arba kriptovaliutų kasimo programos gali naudoti be failų technologijas, kad apeitų parašais pagrįstus aptikimus.
Kaip sistemoje veikia kenkėjiška programa be failų
Pagrindinė šių atakų mechanika Nuo klasikinės kenkėjiškos programos ji skiriasi vienu pagrindiniu aspektu: kenkėjiškas kodas nėra įrašomas į diską kaip matomas vykdomasis failas. Paprastai programos įdiegiamos arba nukopijuojamos į saugyklą, o vartotojui jas atidarius, kopija įkeliama į atmintį. Failų neturinčios kenkėjiškos programos atveju šis įrašymo į diską veiksmas praleidžiamas ir ji veikia beveik vien iš iš anksto įkeltų procesų.
Norėdami to pasiekti, užpuolikai piktnaudžiauja tuo, kas vadinama pragyvenimu iš žemės.Jie naudoja teisėtas sistemos funkcijas, scenarijus ir įrankius („LoLBins“), o ne svetimus dvejetainius failus. „PowerShell“ yra puikus pavyzdys „Windows“ aplinkoje, nes suteikia privilegijuotą prieigą prie sistemos API ir leidžia paleisti sudėtingus scenarijus naudojant vieną komandinę eilutę.
Tipiškas išpuolio scenarijus Jis prasideda sukčiavimo el. laišku, kuriame yra kenkėjiška nuoroda arba priedas. Žinutėje bandoma sukurti skubos ar pasitikėjimo įspūdį (pavyzdžiui, apsimetus finansų, žmogiškųjų išteklių skyriumi arba tiekėju) ir įtikinti vartotoją atidaryti failą arba spustelėti nuorodą. Iš ten galima suaktyvinti makrokomandas, „PowerShell“ komandas, VBScript arba JScript scenarijus, kurie atsisiunčia arba vykdo naudingąją apkrovą tiesiai į atmintį.
Daugeliu atvejų pasitaiko ir pažeidžiamumų išnaudojimas.Naršyklės, papildinio ar darbalaukio programos buferio perpildymo arba nuotolinio kodo vykdymo (RCE) pažeidžiamumas leidžia užpuolikui vykdyti apvalkalo kodą pačiame pažeistame procese, neįrašant į diską. Iš ten užpuolikas gali įterpti daugiau kodo į atmintį, diegti papildomus scenarijus arba manipuliuoti sistemos procesais.
Kitais atvejais be failų kenkėjiška programa remiasi „Windows“ registru Norint užtikrinti nuolatinį vykdomąjį failą nepaliekant „akivaizdaus“ vykdomojo failo failų sistemoje. Pavyzdžiui, galite išsaugoti užkoduotą scenarijų kaip automatinio paleidimo rakto reikšmę ir paleisti tokius įrankius kaip „PowerShell“ arba WMI, kad iššifruotų ir vykdytų tą kodą, kai vartotojas prisijungia.
Pagrindinės be failų kenkėjiškų programų naudojamos technikos
Šiuolaikinės kampanijos apjungia kelias failų neturinčias technikas siekiant padidinti vengimą ir atkaklumą. Ne visi jie taikomi kiekvienai atakai, tačiau naudinga žinoti dažniausiai pasitaikančius, nes jie dažnai rodomi kartu:
1. Kenkėjiški scenarijai WMI („Windows Management Instrumentation“)
Įprasta taktika – kenkėjiškų scenarijų saugojimas kaip WMI prenumeratų dalis. Šios prenumeratos gali būti vykdomos, kai įvyksta tam tikri sistemos įvykiai (pvz., paleidžiant sistemą arba prisijungiant), todėl kenkėjiška programa gali būti aktyvuota be tradicinio vykdomojo failo. Kodas lieka įterptas į pačią „Windows“ valdymo infrastruktūrą.
2. „PowerShell“ kaip centrinis vektorius
Kitas klasikinis metodas – perduoti kenkėjišką scenarijų tiesiogiai kaip komandinės eilutės parametrą „PowerShell“. Tai galima padaryti iš „Office“ dokumento su makrokomandomis, iš, regis, teisėto vykdomojo failo arba naudojant sistemos įrankius, tokius kaip „mshta“ arba „rundll32“, kurie paleidžia užmaskuotą „PowerShell“. Šis metodas leidžia užpuolikams perkelti papildomus duomenis į atmintį, manipuliuoti sistema ir bendrauti su komandų ir valdymo serveriais neįrašant nieko visam laikui į diską.
3. Skriptai, saugomi registre arba užduočių planuoklyje
Užpuolikai saugo užkoduotus scenarijus „Windows“ registro raktuose arba užduočių planuoklės įrašuose. Tada teisėtas procesas nuskaito ir vykdo šiuos scenarijus, dažnai per „LoLBin“, pvz., „powershell.exe“, „cscript“, „wscript“ ar net „cmd“. Tokiu būdu užpuoliko atkaklumas yra paslėptas tarp įprastų paleidimo konfigūracijų ir suplanuotų užduočių.
4. .NET apkrovos atsispindi atmintyje
Naudojant .NET atspindžio metodus, kenkėjišką dvejetainį failą galima įkelti tiesiai į atmintį kaip surinktą failą, neįrašant fizinio failo. Šį įkėlimą atliekanti programa gali būti teisėta arba administravimo įrankio dalis, todėl sunkiau atskirti kenkėjišką veiklą nuo teisėtos veiklos, tikrinant tik diske esančius failus.
5. „Microsoft“ pasirašytų dvejetainių failų naudojimas
Tokios priemonės kaip „mshta.exe“ arba „rundll32.exe“, pasirašytos „Microsoft“ ir esančios visose „Windows“ sistemose, dažnai naudojamos kaip paleidimo priemonės. Jos gali vykdyti HTML, „JavaScript“, „VBScript“ arba DLL scenarijus, kuriuose yra kenkėjiško kodo. Kadangi jos laikomos patikimais procesais, daugelis pagrindinių saugumo patikrų leidžia joms praeiti pagal numatytuosius nustatymus.
6. Dokumentai su makrokomandomis ir kitomis aktyviomis funkcijomis
„Word“, „Excel“, „PowerPoint“ arba PDF failuose gali būti makrokomandų, DDE laukų arba jie gali išnaudoti skaitytojui būdingus pažeidžiamumus komandoms paleisti. Iš pažiūros švarus dokumentas gali suaktyvinti „PowerShell“ eilutę, kuri atsisiunčia ir vykdo atmintyje esantį naudingąjį apkrovą arba įterpia kodą į esamus procesus, o auka nemato nieko daugiau, tik „įprastą“ dokumentą.
7. Per HTTP gaunami žiniatinklio apvalkalai ir komponentai
Serverių aplinkose užpuolikai įdiegia žiniatinklio apvalkalus (pvz., „Godzilla“ ir kitus), kurie gauna kenkėjiškų programų komponentus per HTTP užklausas. Šie fragmentai įterpiami tiesiai į žiniatinklio serverio arba programos proceso atmintį, nereikia įrašyti papildomų bibliotekų ar dvejetainių failų į diską.
Kenkėjiškų programų atakos be failų etapai
Failų neturinti ataka paprastai vyksta panašia veiksmų seka panašus į bet kokį kenkėjiškos programos incidentą, tačiau pritaikytas taip, kad būtų kuo mažiau naudojamas fizinis failas ir kuo labiau padidintas esamų procesų palaikymas.
1. Pradinė prieiga prie įrangos ar tinklo
Dažniausias patekimo taškas išlieka sukčiavimas: el. laiškai su nuorodomis į kenkėjiškas svetaines, „Office“ priedai su makrokomandomis, PDF failai su spragomis arba paprasti vykdomieji failai, užmaskuoti kaip dokumentai. Taip pat išnaudojami pažeidžiamos paslaugos, žiniatinklio programų trūkumai arba pavogti prisijungimo duomenys, siekiant gauti prieigą per RDP ar kitus nuotolinės prieigos sprendimus.
2. Kodo vykdymas atmintyje
Kai tik įvyksta pradinis įsilaužimas, užpuolikas vykdo befailį kodą naudodamas „PowerShell“, WMI, VBScript, JScript arba apvalkalinio kodo skriptus, įterptus į veikiančius procesus. Įprasta naudoti komandas, kurios tiesiogiai perduoda skriptą į komandinę eilutę, dažnai užmaskuotas, ir konfigūruoti „PowerShell“ vykdymo politiką apėjimo režimu, kad būtų galima apeiti apribojimus.
3. Patvarumas ir šoninis judėjimas
Norint išlaikyti prieigą po perkrovimo, naudojant registrą, WMI prenumeratas, suplanuotas užduotis arba modifikuotas „teisėtas“ paslaugas sukuriami išsaugojimo mechanizmai. Iš ten kenkėjiška programa gali plisti į kitus kompiuterius, naudodama pažeistus prisijungimo duomenis, standartinius administravimo įrankius ir įprastus įmonės protokolus, o visa tai minimaliai naudojant naujus failus.
4. Veiksmai siekiant tikslo
Paskutiniame etape kenkėjiška programa atlieka savo paskirtį: vagia prisijungimo duomenis, šifruoja failus išpirkos reikalaujančia programa, diegia RAT virusus, išfiltruoja jautrią informaciją arba diegia kriptovaliutų kasimo programas. Daugelis šių veiksmų atliekami per gerybinius procesus, kurie tiesiog yra „priversti“ elgtis anomaliai.
Ką gali padaryti kenkėjiška programa be failų ir kodėl ji tokia pavojinga?
Kalbant apie savo gebėjimą padaryti žalos, failų neturinti kenkėjiška programa praktiškai neturi ribų. Skirtingai nuo tradicinės kenkėjiškos programos, ji naudoja atmintyje esančius scenarijus ir patikimus procesus, kad veiktų kaip:
Informacijos ir įgaliojimų vagis
Jis gali registruoti klavišų paspaudimus, išgauti slaptažodžius iš procesų, tokių kaip naršyklės ar kredencialų tvarkyklės, atminties ir siųsti visus šiuos duomenis į išorinį serverį. Kadangi daugelis šių operacijų atliekamos naudojant administravimo įrankius, pagrindiniai įspėjimai ne visada suaktyvinami.
Failų neturinti išpirkos reikalaujanti programa
Kai kurios išpirkos reikalaujančių virusų šeimos įdiegė befailes technologijas, skirtas vykdyti iš atminties, masiškai užšifruoti failus ir ištrinti visus pėdsakus, kai operacija baigta. Kadangi jos nesiremia matomu dvejetainiu failu, aptikimo langas yra siauresnis, o atsakas turi būti labai greitas, kad būtų išvengta nelaimės.
RAT virusai ir nuolatinės užpakalinės durys
Nuotolinės prieigos rinkiniai gali būti iš dalies atmintyje ir, norėdami išlikti aktyvūs, pasikliauti registru arba WMI. Tai leidžia užpuolikams mėnesius judėti tinkle, rinkti informaciją arba ruoštis būsimiems atakos etapams, dažnai nesukeldami įtarimų.
Kriptovaliutų kasimas ir išteklių piktnaudžiavimas
Be failų veikiantis scenarijus gali paleisti kasybos procesus, prisijungti prie kriptovaliutų telkinių ir apkrauti procesoriaus bei grafikos procesoriaus apkrovą, ypač serveriuose, kurie retai paleidžiami iš naujo. Poveikis pastebimas našumo sumažėjimu ir padidėjusiomis energijos sąnaudomis, tačiau atsekti šaltinį gali būti sunku be išsamios procesų veiklos stebėsenos.
Didelė problema įmonėms ir vartotojams Kenkėjiška programa be failų yra sukurta nuo nulio taip, kad apeitų parašais pagrįstą antivirusinę programinę įrangą ir konkrečiu momentu atliekamus failų nuskaitymus. Jei apsauga sustos šiame lygmenyje, organizacijos gali būti visiškai nepasiruošusios tokio tipo atakoms.
Kodėl failų neturinčią kenkėjišką programą taip sunku aptikti
Pagrindinis šių grėsmių taktinis pranašumas Problema ta, kad jie beveik nepalieka jokių pėdsakų failų sistemoje. Veikdami teisėtais procesais ir pasikliaudami RAM atmintimi, tradiciniai diskų skaitytuvai retai aptinka ką nors įtartino.
Nėra atpažįstamų kenkėjiškų failų
Tradiciniai varikliai remiasi parašais: jie aptinka baitų modelius, susijusius su žinoma kenkėjiška programa failuose. Jei užpuolikas vengia kurti failus arba ištrina juos iškart po naudojimo, tas parašas niekada netikrinamas. Štai kodėl daugeliui failų neturinčių atakų pavyksta apeiti valdiklius, kurie skirti tik saugyklai.
Intensyvus patikimų procesų naudojimas
„PowerShell“, WMI, „mshta“, „rundll32“, „cscript“, „wscript“ ir net „Office“ programos yra būtinos administravimui ir kasdieniam darbui. Vien tik jų blokavimas sutrikdytų IT operacijas ir verslą. Dėl to net ir patys paprasčiausi šių įrankių valdikliai yra pernelyg liberalūs, o užpuolikai tuo naudojasi, norėdami paslėpti savo kodą.
Daugelio tradicinių antivirusinių programų apribojimai
Daugelis senesnių sprendimų nėra skirti nuodugniai tikrinti atminties procesus, komandų eilutes, vykdymo parametrus ar sistemos įvykių koreliacijas. Neturint šio matomumo, labai sunku aptikti, kad už „Office“ proceso buvo paleistas „PowerShell“ scenarijus su užmaskuota eilute, atsisiunčiančia kodą iš įtartino domeno.
Obfuskacijos ir antianalizės metodai
Užpuolikai naudoja scenarijų maskavimą, „base64“ kodavimą, kodo fragmentavimą arba scenarijų įterpimą į vaizdus (pavyzdžiui, naudodami metodus, panašius į „Invoke-PSImage“), kad apsunkintų statinę analizę. Todėl net įrankiai, kurie iš failo išgauna makrokomandas ar scenarijus, gali sunkiai nustatyti, ar jie yra kenkėjiški, nesugeneruodami daugybės klaidingai teigiamų rezultatų.
Šiuolaikinės aptikimo strategijos: nuo failo iki elgsenos
Norint kovoti su kenkėjiška programine įranga be failų, nebeužtenka retkarčiais tiesiog „paleisti antivirusinę programą“.Akivaizdi tendencija yra derinti kelis saugumo sluoksnius, orientuotus į procesų elgseną ir įvykių koreliaciją.
Realaus laiko elgesio analizė
Šiuolaikiniai EDR ir XDR sprendimai stebi visą svarbią galinių taškų veiklą: paleidžiamus procesus, komandinės eilutės argumentus, prieigą prie registro, administravimo įrankių naudojimą, tinklo ryšius ir kt. Užuot pasikliavę vien tik parašais, jie aptinka tipinius kenkėjiškų programų elgesio modelius, pvz., „Office“ dokumentas atidaro paslėptą „PowerShell“ egzempliorių ir tada atsisiunčia dvejetainį failą iš nepatikimo domeno.
Pažeidimų prevencijos mechanizmai
Pažeidimų prevencijos (EP) sluoksnis siekia blokuoti atakas pažeidžiamumų išnaudojimo etape, prieš kenkėjiškai programai vykdant savo apvalkalo kodą tiksliniame procese. Tai žymiai sumažina atakų paviršių, skirtą be failų sujungimo technikoms, kurios išnaudoja RCE pažeidžiamumus arba buferio perpildymą.
Kritinių sistemos sričių analizė
Išplėstiniai įrankiai periodiškai ir automatiškai nuskaito tokias sritis kaip planuoklės užduotys, jautrūs registro raktai, WMI prenumeratos ir kiti įprasti atkūrimo taškai. Tikslas – aptikti anomalius įrašus, užmaskuotus scenarijus arba užduotis, kurios vykdo įtartinas komandas, net jei nematomi susiję dvejetainiai failai.
ETW ir AMSI naudojimas sistemoje „Windows“
„Windows“ teikia tokias technologijas kaip „Event Tracing for Windows“ (ETW) ir „Antimalware Scan Interface“ (AMSI), kurios leidžia žemo lygio žurnaluoti ir analizuoti scenarijų vykdymą ir kitą turinį. Integravus šiuos mechanizmus į saugos sprendimus, galima patikrinti „PowerShell“, VBScript arba JScript turinį prieš pat vykdymą, o tai žymiai padidina aptikimo galimybes.
Grėsmių medžioklė ir nuolatinė žvalgyba
Be automatinio aptikimo, daugelis organizacijų samdo grėsmių paieškos komandas, kurios aktyviai analizuoja savo aplinką, ieškodamos atakų, susijusių su be failų naudojančiomis technikomis, požymių. Šios komandos naudojasi tokiomis sistemomis kaip MITRE ATT&CK, tikrina istorinius telemetrijos duomenis ir tobulina aptikimo taisykles, kad numatytų naujas kampanijas.
Poveikis organizacijoms ir iššūkiai saugumo paslaugų teikėjams
Įmonėms be failų kenkėjiškos programos yra didelis galvos skausmas. Nes jis atakuoja būtent ten, kur skauda: procesuose ir įrankiuose, kurių negalima tiesiog užblokuoti nepakenkiant verslui. Pavyzdžiui, visiškas „PowerShell“ išjungimas apsunkintų sistemos administravimą ir sukeltų vidinį pasipriešinimą IT komandose.
Tas pats pasakytina ir apie „Office“ makrokomandas.
Daugelyje įmonių darbo eigų vis dar naudojami dokumentai, kuriuose naudojamos makrokomandos užduotims automatizuoti. Nors „Microsoft“ siūlo parinktis jas išjungti, realybė tokia, kad daugelis organizacijų jas palaiko aktyvias iš būtinybės. Saugumo programų tiekėjai bandė tai sušvelninti išskirdami ir analizuodami makrokomandų kodą, tačiau tiksliai jį klasifikuoti nesukeliant klaidingų teigiamų rezultatų yra didelis iššūkis.
Apsaugos bandymai tik serveryje
Kai kurie sprendimai beveik visą aptikimo logiką deleguoja debesijos arba centriniams serveriams. Dėl to atsiranda delsa ir priklausomybė nuo ryšio: agentas turi laukti serverio sprendimo, prieš imdamasis veiksmų, todėl sunku užkirsti kelią realiuoju laiku. Be to, labai greitose atakose, tokiose kaip tam tikros failų neturinčios išpirkos reikalaujančios programinės įrangos, net kelios sekundės delsos gali turėti lemiamą reikšmę.
Klientai reikalauja aiškios apsaugos nuo atakų be failų
Didėjant informuotumui apie šio tipo grėsmes, organizacijos spaudžia gamintojus įrodyti, kad jų produktai iš tikrųjų blokuoja kampanijas be failų, o ne tik prideda paviršutiniškus pataisymus. Tai paskatino dirbtinio intelekto pagrindu veikiančių variklių, įvykių koreliacijos ir „StoryLine“ modelių arba atakų grafikų, kurie atkuria tikrąją kenkėjiškos veiklos kilmę, kūrimą.
Geriausia praktika, kaip išvengti be failų veikiančių kenkėjiškų programų
Nors jokia aplinka negali būti 100 % saugi, yra keletas priemonių, kurių galima imtis. o tai labai sumažina rimtos befailės infekcijos tikimybę ir pagerina ankstyvo jos aptikimo galimybes.
Griežtas scenarijų ir administravimo įrankių valdymas
Labai svarbu apriboti, kas gali naudoti „PowerShell“, WMI, „cscript“, „wscript“ ir kitas didelės rizikos programas. Tai apima ribojančių vykdymo politikų vykdymą, pasirašytų scenarijų versijų naudojimą, visų šių dvejetainių failų veiklos registravimą ir anomalių naudojimo modelių blokavimą (pvz., „PowerShell“, kurį paleidžia „Office“ procesas su užmaskuotais parametrais).
Aktyvių makrokomandų ir dokumentų valdymas
Idealiu atveju makrokomandos turėtų būti išjungtos pagal numatytuosius nustatymus ir leidžiamos tik konkretiems vartotojams arba šablonams, prieš tai peržiūrėjus. Taip pat patartina filtruoti el. laiškų priedus, kuriuose gali būti aktyvaus kodo, ir naudoti sprendimus, kurie analizuoja dokumentus izoliuotose aplinkose prieš juos pateikiant vartotojui.
Nuolatinis pažeidžiamumų taisymas
Naršyklių, papildinių, biuro programų paketų, operacinių sistemų ir serverių programų atnaujinimas su naujausiais pataisymais smarkiai sumažina įsilaužimo galimybes. Papildant tai įsilaužimų prevencijos sistemomis (IPS), galima užpildyti programų spragas, kurių negalima atnaujinti iš karto.
Tvirtas autentifikavimas ir nulinio pasitikėjimo modelis
Kadangi daugelis atakų be failų remiasi pažeistais prisijungimo duomenimis, daugiafaktorinio autentifikavimo (MFA) ir nulinio pasitikėjimo principų (pagal numatytuosius nustatymus nepasitikėjimas niekuo ar jokiu įrenginiu) įdiegimas riboja užpuoliko galimybes judėti horizontaliai ir didinti teises, kai jis jau yra viduje.
Stebėjimas ir valdomas reagavimas
Tokios paslaugos kaip išoriniai SOC arba MDR/EMDR platformos leidžia organizacijoms, neturinčioms didelių vidinių komandų, stebėti visą parą, naudotis pažangia signalų koreliacija ir greito reagavimo galimybėmis. Šios paslaugos dažnai remiasi tokiomis sistemomis kaip MITRE ATT&CK, kad nustatytų taktiką ir metodus, įskaitant susijusius su kenkėjiškomis programomis be failų.
Trumpai tariant, failų neturinti kenkėjiška programa užsitarnavo savo reputaciją. Nes jis puikiai išnaudoja tradicinių failais ir parašais pagrįstų metodų silpnąsias vietas. Supratimas, kaip jis infiltruojasi, kokias technikas naudoja („PowerShell“, WMI, registras, makrokomandos, žiniatinklio apvalkalai, atmintis, „LoLBins“) ir kokią žalą gali padaryti, yra pirmas žingsnis stiprinant apsaugą naudojant EDR/XDR, elgsenos analizę, grėsmių paiešką ir griežtą administracinių įrankių bei aktyvių dokumentų naudojimo politiką.
