- Как вредоносные программы используют «fileless» атаки — и как их не пропустить
- Почему «fileless» атаки — это страшнее, чем обычные вирусы
- Как именно работает «fileless» атака — по шагам
- Основные методы «fileless» атак — что ищет злоумышленник
- Частые ошибки — почему компании всё ещё попадаются
- Что выбрать в зависимости от ситуации
- Если вы — ИТ-специалист в маленькой компании (до 50 человек)
- Если вы — ИТ-безопасность в средней или крупной компании
- Если вы — обычный пользователь
- Как лучше сделать — практические рекомендации
- Сценарии: что делать, если вы подозреваете атаку
- Ситуация 1: У вас вдруг начали исчезать файлы, а антивирус молчит
- Ситуация 2: Сотрудник говорит, что его компьютер «странный» — тормозит, а он ничего не делал
- Ситуация 3: Вы заметили, что в логах PowerShell есть подозрительные команды вроде Invoke-Expression с длинными строками
- Итог: что делать прямо сейчас
Как вредоносные программы используют «fileless» атаки — и как их не пропустить
Вы когда-нибудь слышали, что вирус не оставил ни одного файла на диске? Звучит как фантастика. Но это реальность. В последние годы злоумышленники всё чаще переходят на «fileless» атаки — атаки, которые не записывают вредоносный код на диск. И именно поэтому антивирусы часто не срабатывают. Если вы управляете корпоративной сетью, работаете в ИТ-отделе или просто хотите понять, почему ваш компьютер вдруг начал вести себя странно, несмотря на «чистый» антивирус — эта статья для вас.
Почему «fileless» атаки — это страшнее, чем обычные вирусы
Традиционный вирус — это файл. Вы скачали .exe, открыли — и он запустился. Антивирус его увидел, проверил хеш, сравнил с базой — и заблокировал. Просто и понятно.
А «fileless» атака — это как вор, который не ломает дверь, а подбирает ключ, потом прячется в стене и пользуется вашими же инструментами, чтобы открыть сейф. Он не оставляет следов на диске. Никакого .exe, .dll, .js — ничего. Код живёт только в памяти компьютера, в процессах, которые уже есть в системе: PowerShell, WMI, JavaScript в браузере, макросы в Excel.
Почему это опасно?
- Антивирусы не ищут в памяти — они сканируют файлы.
- Системные утилиты (PowerShell, regsvr32, bitsadmin) доверенные — их не блокируют.
- Атака не требует установки — она работает «в тени».
- Она может жить часами, днями, даже неделями, пока не сработает триггер.
Простой пример: вы открываете письмо с вложением Word. В нём — макрос. Вы нажимаете «Включить содержимое» (потому что «всё равно нужно»). Макрос запускает PowerShell, который скачивает в память вредоносный скрипт, использует WMI для установки автозагрузки в реестр, а потом — через 48 часов — соединяется с сервером злоумышленника и крадёт данные. Файлов на диске — нет. Антивирус молчит. Вы даже не подозреваете, что произошло.
Как именно работает «fileless» атака — по шагам
Вот как выглядит типичная схема безфайловой атаки:
- Запуск через доверенный процесс — злоумышленник использует PowerShell, WMI, JavaScript, макросы или даже обновления Windows. Это не вирус — это легальный инструмент системы.
- Загрузка кода в память — вредоносный скрипт (например, на PowerShell) загружается прямо в оперативную память, не записываясь на диск. Используются методы вроде
Invoke-ExpressionилиReflective DLL Injection. - Обход защиты — атака отключает логирование событий, удаляет записи в журнале событий Windows, маскируется под легитимные процессы (например,
svchost.exe). - Устойчивость — вредоносный код сохраняется в реестре, в задачах планировщика или в памяти BIOS/UEFI (в сложных случаях).
- Эксплуатация — кража данных, установка обратного соединения, запуск шифровальщика, перемещение по сети.
Самое страшное — это то, что вы не видите ничего подозрительного. В диспетчере задач — обычные процессы. В папке Downloads — ничего нового. В журнале событий — всё чисто. Пока не станет слишком поздно.
Основные методы «fileless» атак — что ищет злоумышленник
Не все «fileless» атаки одинаковы. Вот три основных типа, которые встречаются чаще всего:
| Метод | Как работает | Где используется | Почему сложно обнаружить |
|---|---|---|---|
| PowerShell-атаки | Скачивание и выполнение скрипта прямо в памяти через Invoke-Expression или DownloadString |
Письма с вложениями, фишинговые сайты, компрометированные сайты | PowerShell — легитимный инструмент. Антивирус не блокирует его по умолчанию. |
| WMI-атаки | Использование Windows Management Instrumentation для запуска кода, создания автозагрузки, сбора информации | Корпоративные сети, где есть доступ к удалённым машинам | WMI — системный сервис. Журналы WMI редко мониторятся. |
| Макросы в Office | Вредоносный VBA-код в Excel/Word, который запускает PowerShell или загружает DLL в память | Почта, документы с «важными» счетами, актами, заявками | Пользователи включают макросы «на всякий случай». Антивирус не блокирует .docx. |
Есть и другие методы — через JavaScript в браузере, через .NET-сборки, через память драйверов. Но эти три — самые распространённые. Их вы точно встретите, если работаете в ИТ-безопасности.
Частые ошибки — почему компании всё ещё попадаются
Я видел десятки инцидентов. И почти всегда причина — не отсутствие технологий, а человеческие ошибки.
- «У нас есть антивирус» — и всё. Антивирус не смотрит в память. Он смотрит на файлы. А «fileless» — не файл.
- «Мы отключили PowerShell» — но оставили WMI. Или наоборот. Злоумышленник найдёт путь.
- «Мы не включаем макросы» — но сотрудники их включают. Потому что «важно».
- «Мы не логируем PowerShell» — а без логов вы не увидите, что происходило до инцидента.
- «У нас нет подозрительной активности» — потому что вы не знаете, что искать. «svchost.exe» в памяти — это нормально? А если он запущен из
explorer.exe? А если он использует нестандартный порт?
Самая большая ошибка — верить, что если ничего не видно — значит, всё в порядке. В «fileless» мире — если ничего не видно, значит, атака уже работает.
Что выбрать в зависимости от ситуации
Нет универсального решения. Но есть разумные подходы — в зависимости от вашей роли.
Если вы — ИТ-специалист в маленькой компании (до 50 человек)
У вас нет бюджета на SIEM и EDR. Что делать?
- Включите логирование PowerShell: в групповой политике — включите модуль логирования PowerShell (Module Logging) и Script Block Logging.
- Отключите макросы в Office по умолчанию — и не позволяйте пользователям их включать без вашего одобрения.
- Установите Microsoft Defender for Endpoint (бесплатно для Windows 10/11 Pro) — он умеет обнаруживать аномалии в памяти.
- Проводите раз в месяц проверку запущенных процессов — смотрите, кто запустил PowerShell и откуда.
Если вы — ИТ-безопасность в средней или крупной компании
У вас есть ресурсы. Не тратьте их на «антивирусы».
- Внедрите EDR (Endpoint Detection and Response) — CrowdStrike, SentinelOne, Microsoft Defender for Endpoint в режиме EDR. Они смотрят в память, анализируют поведение процессов, а не файлы.
- Настройте логирование WMI и PowerShell — и отправляйте логи в SIEM (Splunk, ELK, Microsoft Sentinel).
- Включите AppLocker — запретите запуск скриптов из временных папок, из %TEMP%, из загрузок.
- Проводите пентесты с «fileless» сценариями — пусть ваша команда взламывает себя, чтобы понять, как уязвима система.
Если вы — обычный пользователь
Вы не ИТ-специалист. Но вы можете защитить себя.
- Никогда не включайте макросы в документах, если не уверены, откуда они.
- Не открывайте вложения из подозрительных писем — даже если они выглядят как «счёт» или «заказ».
- Обновляйте Windows — в обновлениях часто исправляют уязвимости, которые используют для «fileless» атак.
- Используйте Windows Defender — он лучше, чем многие платные антивирусы, если включены все функции.
Как лучше сделать — практические рекомендации
Вот что реально работает, если вы хотите защититься от «fileless» атак — не теория, а проверенные шаги.
- Логируйте PowerShell — включите
ScriptBlockLoggingиModuleLoggingв групповой политике. Это не сложнее, чем включить антивирус. И это ваш первый детектор. - Запретите запуск скриптов из временных папок — через AppLocker или Windows Defender Application Control. Большинство «fileless» атак используют %TEMP% или %APPDATA%.
- Отключите WMI, если он не нужен — в большинстве офисов WMI используется только для мониторинга. Если вы не используете его — отключите службу.
- Смотрите на поведение, а не на файлы — если PowerShell запущен из Word или Excel — это тревожный сигнал. Если он пытается подключиться к неизвестному IP — это атака.
- Проверяйте запущенные процессы раз в неделю — откройте диспетчер задач → вкладка «Подробности» → добавьте столбец «Команда запуска». Увидите, откуда запущен каждый процесс. Если
svchost.exeзапущен изC:\Users\Alice\Downloads— это не нормально. - Обучайте сотрудников — 80% «fileless» атак начинаются с фишинга. Если сотрудник не включает макросы — атака не сработает.
Не ждите, пока произойдёт инцидент. Сделайте эти шаги — и вы уже на шаг впереди большинства компаний.
Сценарии: что делать, если вы подозреваете атаку
Вот три реальные ситуации — и как действовать.
Ситуация 1: У вас вдруг начали исчезать файлы, а антивирус молчит
Скорее всего — шифровальщик в памяти. Не пытайтесь перезагрузить компьютер — он может удалить следы. Отключите его от сети. Запустите Process Explorer от Sysinternals. Ищите процессы с именами вроде powershell.exe, запущенные из нестандартных путей. Проверьте журналы событий Windows → Applications and Services Logs → Microsoft → Windows → PowerShell → Operational. Там могут быть следы команд, которые запускали шифрование.
Ситуация 2: Сотрудник говорит, что его компьютер «странный» — тормозит, а он ничего не делал
Запустите PowerShell от имени администратора и выполните:
Get-WmiObject -Class Win32_Service | Where-Object {_.State -eq "Running" -and_.Name -like "*Wmi*"} | Select Name, PathName
Если вы видите странные службы — это WMI-атака. Проверьте автозагрузку через:
Get-CimInstance -ClassName Win32_StartupCommand | Select Name, Command, Location
Если есть записи в %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup — это подозрительно.
Ситуация 3: Вы заметили, что в логах PowerShell есть подозрительные команды вроде Invoke-Expression с длинными строками
Это почти наверняка «fileless» атака. Не пытайтесь «починить» — изолируйте машину. Сделайте дамп памяти (с помощью Procdump от Sysinternals) и передайте его в ИБ-команду. Не пытайтесь удалить «что-то» — вы не знаете, что именно запущено. Только изоляция и анализ.
Итог: что делать прямо сейчас
Если вы читаете это — значит, вы уже на шаг впереди. Большинство людей даже не знают, что такое «fileless» атака. А вы уже понимаете, что антивирус — не панацея.
Вот что делать прямо сейчас:
- Если вы ИТ-специалист — включите логирование PowerShell и AppLocker. Это займёт 20 минут.
- Если вы руководитель — спросите у ИТ-отдела: «Как мы защищаемся от атак, которые не оставляют файлов?» Если ответ — «у нас антивирус» — это тревожный сигнал.
- Если вы обычный пользователь — больше не включайте макросы. Никогда.
«Fileless» атаки не исчезнут. Они только улучшаются. Но их можно остановить — не дорогими решениями, а вниманием к деталям. К логам. К поведению. К тому, что происходит в памяти, а не на диске.
Не ждите, пока вас взломают. Проверьте свои системы сегодня. Даже если вы не видите угроз — она может быть уже внутри.
Информация в этой статье носит ознакомительный характер. Для защиты корпоративных систем и реагирования на инциденты обращайтесь к квалифицированным специалистам в области информационной безопасности.
