Как вредоносные программы используют «fileless» атаки — и как их не пропустить

Содержание
  1. Как вредоносные программы используют «fileless» атаки — и как их не пропустить
  2. Почему «fileless» атаки — это страшнее, чем обычные вирусы
  3. Как именно работает «fileless» атака — по шагам
  4. Основные методы «fileless» атак — что ищет злоумышленник
  5. Частые ошибки — почему компании всё ещё попадаются
  6. Что выбрать в зависимости от ситуации
  7. Если вы — ИТ-специалист в маленькой компании (до 50 человек)
  8. Если вы — ИТ-безопасность в средней или крупной компании
  9. Если вы — обычный пользователь
  10. Как лучше сделать — практические рекомендации
  11. Сценарии: что делать, если вы подозреваете атаку
  12. Ситуация 1: У вас вдруг начали исчезать файлы, а антивирус молчит
  13. Ситуация 2: Сотрудник говорит, что его компьютер «странный» — тормозит, а он ничего не делал
  14. Ситуация 3: Вы заметили, что в логах PowerShell есть подозрительные команды вроде Invoke-Expression с длинными строками
  15. Итог: что делать прямо сейчас

Как вредоносные программы используют «fileless» атаки — и как их не пропустить

Вы когда-нибудь слышали, что вирус не оставил ни одного файла на диске? Звучит как фантастика. Но это реальность. В последние годы злоумышленники всё чаще переходят на «fileless» атаки — атаки, которые не записывают вредоносный код на диск. И именно поэтому антивирусы часто не срабатывают. Если вы управляете корпоративной сетью, работаете в ИТ-отделе или просто хотите понять, почему ваш компьютер вдруг начал вести себя странно, несмотря на «чистый» антивирус — эта статья для вас.

Почему «fileless» атаки — это страшнее, чем обычные вирусы

Традиционный вирус — это файл. Вы скачали .exe, открыли — и он запустился. Антивирус его увидел, проверил хеш, сравнил с базой — и заблокировал. Просто и понятно.

А «fileless» атака — это как вор, который не ломает дверь, а подбирает ключ, потом прячется в стене и пользуется вашими же инструментами, чтобы открыть сейф. Он не оставляет следов на диске. Никакого .exe, .dll, .js — ничего. Код живёт только в памяти компьютера, в процессах, которые уже есть в системе: PowerShell, WMI, JavaScript в браузере, макросы в Excel.

Почему это опасно?

  • Антивирусы не ищут в памяти — они сканируют файлы.
  • Системные утилиты (PowerShell, regsvr32, bitsadmin) доверенные — их не блокируют.
  • Атака не требует установки — она работает «в тени».
  • Она может жить часами, днями, даже неделями, пока не сработает триггер.

Простой пример: вы открываете письмо с вложением Word. В нём — макрос. Вы нажимаете «Включить содержимое» (потому что «всё равно нужно»). Макрос запускает PowerShell, который скачивает в память вредоносный скрипт, использует WMI для установки автозагрузки в реестр, а потом — через 48 часов — соединяется с сервером злоумышленника и крадёт данные. Файлов на диске — нет. Антивирус молчит. Вы даже не подозреваете, что произошло.

Как именно работает «fileless» атака — по шагам

Вот как выглядит типичная схема безфайловой атаки:

  1. Запуск через доверенный процесс — злоумышленник использует PowerShell, WMI, JavaScript, макросы или даже обновления Windows. Это не вирус — это легальный инструмент системы.
  2. Загрузка кода в память — вредоносный скрипт (например, на PowerShell) загружается прямо в оперативную память, не записываясь на диск. Используются методы вроде Invoke-Expression или Reflective DLL Injection.
  3. Обход защиты — атака отключает логирование событий, удаляет записи в журнале событий Windows, маскируется под легитимные процессы (например, svchost.exe).
  4. Устойчивость — вредоносный код сохраняется в реестре, в задачах планировщика или в памяти BIOS/UEFI (в сложных случаях).
  5. Эксплуатация — кража данных, установка обратного соединения, запуск шифровальщика, перемещение по сети.

Самое страшное — это то, что вы не видите ничего подозрительного. В диспетчере задач — обычные процессы. В папке Downloads — ничего нового. В журнале событий — всё чисто. Пока не станет слишком поздно.

Основные методы «fileless» атак — что ищет злоумышленник

Не все «fileless» атаки одинаковы. Вот три основных типа, которые встречаются чаще всего:

Метод Как работает Где используется Почему сложно обнаружить
PowerShell-атаки Скачивание и выполнение скрипта прямо в памяти через Invoke-Expression или DownloadString Письма с вложениями, фишинговые сайты, компрометированные сайты PowerShell — легитимный инструмент. Антивирус не блокирует его по умолчанию.
WMI-атаки Использование Windows Management Instrumentation для запуска кода, создания автозагрузки, сбора информации Корпоративные сети, где есть доступ к удалённым машинам WMI — системный сервис. Журналы WMI редко мониторятся.
Макросы в Office Вредоносный VBA-код в Excel/Word, который запускает PowerShell или загружает DLL в память Почта, документы с «важными» счетами, актами, заявками Пользователи включают макросы «на всякий случай». Антивирус не блокирует .docx.

Есть и другие методы — через JavaScript в браузере, через .NET-сборки, через память драйверов. Но эти три — самые распространённые. Их вы точно встретите, если работаете в ИТ-безопасности.

Частые ошибки — почему компании всё ещё попадаются

Я видел десятки инцидентов. И почти всегда причина — не отсутствие технологий, а человеческие ошибки.

  • «У нас есть антивирус» — и всё. Антивирус не смотрит в память. Он смотрит на файлы. А «fileless» — не файл.
  • «Мы отключили PowerShell» — но оставили WMI. Или наоборот. Злоумышленник найдёт путь.
  • «Мы не включаем макросы» — но сотрудники их включают. Потому что «важно».
  • «Мы не логируем PowerShell» — а без логов вы не увидите, что происходило до инцидента.
  • «У нас нет подозрительной активности» — потому что вы не знаете, что искать. «svchost.exe» в памяти — это нормально? А если он запущен из explorer.exe? А если он использует нестандартный порт?

Самая большая ошибка — верить, что если ничего не видно — значит, всё в порядке. В «fileless» мире — если ничего не видно, значит, атака уже работает.

Что выбрать в зависимости от ситуации

Нет универсального решения. Но есть разумные подходы — в зависимости от вашей роли.

Если вы — ИТ-специалист в маленькой компании (до 50 человек)

У вас нет бюджета на SIEM и EDR. Что делать?

  • Включите логирование PowerShell: в групповой политике — включите модуль логирования PowerShell (Module Logging) и Script Block Logging.
  • Отключите макросы в Office по умолчанию — и не позволяйте пользователям их включать без вашего одобрения.
  • Установите Microsoft Defender for Endpoint (бесплатно для Windows 10/11 Pro) — он умеет обнаруживать аномалии в памяти.
  • Проводите раз в месяц проверку запущенных процессов — смотрите, кто запустил PowerShell и откуда.

Если вы — ИТ-безопасность в средней или крупной компании

У вас есть ресурсы. Не тратьте их на «антивирусы».

  • Внедрите EDR (Endpoint Detection and Response) — CrowdStrike, SentinelOne, Microsoft Defender for Endpoint в режиме EDR. Они смотрят в память, анализируют поведение процессов, а не файлы.
  • Настройте логирование WMI и PowerShell — и отправляйте логи в SIEM (Splunk, ELK, Microsoft Sentinel).
  • Включите AppLocker — запретите запуск скриптов из временных папок, из %TEMP%, из загрузок.
  • Проводите пентесты с «fileless» сценариями — пусть ваша команда взламывает себя, чтобы понять, как уязвима система.

Если вы — обычный пользователь

Вы не ИТ-специалист. Но вы можете защитить себя.

  • Никогда не включайте макросы в документах, если не уверены, откуда они.
  • Не открывайте вложения из подозрительных писем — даже если они выглядят как «счёт» или «заказ».
  • Обновляйте Windows — в обновлениях часто исправляют уязвимости, которые используют для «fileless» атак.
  • Используйте Windows Defender — он лучше, чем многие платные антивирусы, если включены все функции.

Как лучше сделать — практические рекомендации

Вот что реально работает, если вы хотите защититься от «fileless» атак — не теория, а проверенные шаги.

  1. Логируйте PowerShell — включите ScriptBlockLogging и ModuleLogging в групповой политике. Это не сложнее, чем включить антивирус. И это ваш первый детектор.
  2. Запретите запуск скриптов из временных папок — через AppLocker или Windows Defender Application Control. Большинство «fileless» атак используют %TEMP% или %APPDATA%.
  3. Отключите WMI, если он не нужен — в большинстве офисов WMI используется только для мониторинга. Если вы не используете его — отключите службу.
  4. Смотрите на поведение, а не на файлы — если PowerShell запущен из Word или Excel — это тревожный сигнал. Если он пытается подключиться к неизвестному IP — это атака.
  5. Проверяйте запущенные процессы раз в неделю — откройте диспетчер задач → вкладка «Подробности» → добавьте столбец «Команда запуска». Увидите, откуда запущен каждый процесс. Если svchost.exe запущен из C:\Users\Alice\Downloads — это не нормально.
  6. Обучайте сотрудников — 80% «fileless» атак начинаются с фишинга. Если сотрудник не включает макросы — атака не сработает.

Не ждите, пока произойдёт инцидент. Сделайте эти шаги — и вы уже на шаг впереди большинства компаний.

Сценарии: что делать, если вы подозреваете атаку

Вот три реальные ситуации — и как действовать.

Ситуация 1: У вас вдруг начали исчезать файлы, а антивирус молчит

Скорее всего — шифровальщик в памяти. Не пытайтесь перезагрузить компьютер — он может удалить следы. Отключите его от сети. Запустите Process Explorer от Sysinternals. Ищите процессы с именами вроде powershell.exe, запущенные из нестандартных путей. Проверьте журналы событий Windows → Applications and Services Logs → Microsoft → Windows → PowerShell → Operational. Там могут быть следы команд, которые запускали шифрование.

Ситуация 2: Сотрудник говорит, что его компьютер «странный» — тормозит, а он ничего не делал

Запустите PowerShell от имени администратора и выполните:

Get-WmiObject -Class Win32_Service | Where-Object {_.State -eq "Running" -and_.Name -like "*Wmi*"} | Select Name, PathName

Если вы видите странные службы — это WMI-атака. Проверьте автозагрузку через:

Get-CimInstance -ClassName Win32_StartupCommand | Select Name, Command, Location

Если есть записи в %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup — это подозрительно.

Ситуация 3: Вы заметили, что в логах PowerShell есть подозрительные команды вроде Invoke-Expression с длинными строками

Это почти наверняка «fileless» атака. Не пытайтесь «починить» — изолируйте машину. Сделайте дамп памяти (с помощью Procdump от Sysinternals) и передайте его в ИБ-команду. Не пытайтесь удалить «что-то» — вы не знаете, что именно запущено. Только изоляция и анализ.

Итог: что делать прямо сейчас

Если вы читаете это — значит, вы уже на шаг впереди. Большинство людей даже не знают, что такое «fileless» атака. А вы уже понимаете, что антивирус — не панацея.

Вот что делать прямо сейчас:

  • Если вы ИТ-специалист — включите логирование PowerShell и AppLocker. Это займёт 20 минут.
  • Если вы руководитель — спросите у ИТ-отдела: «Как мы защищаемся от атак, которые не оставляют файлов?» Если ответ — «у нас антивирус» — это тревожный сигнал.
  • Если вы обычный пользователь — больше не включайте макросы. Никогда.

«Fileless» атаки не исчезнут. Они только улучшаются. Но их можно остановить — не дорогими решениями, а вниманием к деталям. К логам. К поведению. К тому, что происходит в памяти, а не на диске.

Не ждите, пока вас взломают. Проверьте свои системы сегодня. Даже если вы не видите угроз — она может быть уже внутри.

Информация в этой статье носит ознакомительный характер. Для защиты корпоративных систем и реагирования на инциденты обращайтесь к квалифицированным специалистам в области информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком