Wykrycie i neutralizacja ataku bez plików („fileless”) w pamięci RAM dzięki UnderDefense
Zespół UnderDefense wykrył niezwykle zaawansowany atak fileless, który działał wyłącznie w pamięci RAM, omijając tradycyjne systemy bezpieczeństwa. Dzięki dogłębnej analizie procesów i telemetrii pamięciowej specjaliści zidentyfikowali złośliwy kod ukryty w aplikacji ASP.NET, neutralizując zagrożenie zanim mogło wyrządzić szkody w infrastrukturze klienta. Ten przypadek pokazuje, jak kluczowa jest widoczność w pamięci procesów i monitoring działań aplikacyjnych w czasie rzeczywistym.
Tło sytuacji
W listopadzie zespół UnderDefense otrzymał sygnał o podejrzanej aktywności na jednym z serwerów produkcyjnych klienta. System EDR wykrył, że proces IIS (w3wp.exe) wielokrotnie ładował plik .NET (webengine4.dll), co stanowiło nietypowy wzorzec działania. Działanie to nie wyglądało na zwykły błąd systemowy – sygnały były „mglist e” i trudne do interpretacji bez kontekstu.
Kluczowe wyzwanie polegało na tym, że:● atak nie zostawiał śladów na dysku,● wszystkie działania odbywały się wyłącznie w pamięci RAM,● tradycyjne narzędzia forensyczne nie wykrywały ich efektywnie,● kod był wykonywany bez zapisu na dysku, co utrudniało analizę.
Takie ataki określane są jako fileless, ponieważ złośliwy kod nie zapisuje się na dysku, a jego egzekucja zachodzi tylko w pamięci procesu. Tego typu techniki są szczególnie trudne do wykrycia i często omijają klasyczne systemy obronne.
Jak doszło do naruszenia?
Atak polegał na wykorzystaniu mechanizmu ASP.NET ViewState — funkcji wbudowanej w aplikacje ASP.NET do zapisywania stanu między żądaniami HTTP. Choć ViewState chroniony jest kluczami maszynowymi (machine keys), w praktyce wiele środowisk używa tych samych, publicznie znanych kluczy — co otwiera lukę dla atakujących.
Atakujący wykorzystali publicznie ujawnione machine keys, aby:● sfałszować obiekty ViewState,● wstrzykiwać i wykonywać własny kod .NET bez zapisu na dysku,● ukrywać się w pamięci procesu IIS, imitując normalne zachowanie systemu.
Największe wyzwania detekcyjne
Rozwiązanie wdrożone przez UnderDefense
Głębsza analiza procesów i telemetrii pamięciowej
Skupiono się na śledzeniu zachowania pamięci i działania procesów aplikacyjnych — nawet jeśli wyglądały jak normalne działania serwera.
Weryfikacja integralności komponentów systemowych
Potwierdzono, że moduł webengine4.dll był oryginalny i nienaruszony, co skierowało dochodzenie na trop kodu wstrzykniętego w pamięć RAM.
Wsparcie i kontekst narzucony przez analizę globalną
Dzięki narzędziom i analizie zachowań widocznym w innych systemach (LogScale i dedykowane zapytania) możliwe było potwierdzenie złośliwych, nieznacznych zmian w pamięci.
Wyodrębnienie i identyfikacja ataku
Zastosowano dedykowane reguły i zapytania detekcyjne, które wykryły obecność złośliwych komponentów .NET w pamięci procesów.
Wyniki i korzyści dla klienta
UnderDefense
UnderDefense to globalna firma z zakresu cyberbezpieczeństwa, która pomaga organizacjom budować odporne zabezpieczenia przed nowoczesnymi zagrożeniami cyfrowymi. Łącząc wiedzę ekspercką, innowacyjne technologie oraz dogłębną analizę ryzyka, UnderDefense oferuje pełen cykl usług – od działań prewencyjnych po monitorowanie i reagowanie na incydenty 24/7.
Umów się na demo i dowiedz się więcej
Aby umówić się na indywidualne demonstracje, szkolenia partnerskie lub projekty pilotażowe, prosimy o kontakt z Business Development Managerem w Oberig IT - Krystianem Hofmanem.