Бесфайловое хранилище

Злоумышленники могут хранить данные в «бесфайловых» форматах, чтобы скрыть вредоносную активность от средств защиты. Бесфайловое хранилище можно широко определить как любой формат, отличный от файла. Распространенные примеры энергонезависимого бесфайлового хранилища в системах Windows включают реестр Windows, журналы событий или репозиторий WMI. Каталоги общей памяти в системах Linux (`/dev/shm`, `/run/shm`, `/var/run` и `/var/lock`) и временные каталоги на сетевых устройствах (`/tmp` и `/volatile`) также могут считаться бесфайловым хранилищем, поскольку файлы, записанные в эти каталоги, отображаются непосредственно в RAM и не хранятся на диске.. Подобно бесфайловому поведению в памяти, такому как рефлексивная загрузка кода и внедрение в процесс, бесфайловое хранилище данных может оставаться необнаруженным антивирусом и другими инструментами безопасности конечных точек, которые могут получать доступ только к конкретным форматам файлов из дискового хранилища. Использование бесфайлового хранилища также может позволить злоумышленникам обойти защиту, предлагаемую файловыми системами только для чтения в Linux. Злоумышленники могут использовать бесфайловое хранилище для сокрытия различных типов хранимых данных, включая полезные нагрузки/шелл-код (потенциально используемый как часть закрепления) и собранные данные, еще не эксфильтрованные от жертвы (например, локальная подготовка данных). Злоумышленники также часто шифруют, кодируют, разделяют или иным образом обфусцируют эти бесфайловые данные при хранении. Некоторые формы активности бесфайлового хранилища могут косвенно создавать артефакты в файловой системе, но в централизованных и иным образом трудных для проверки форматах, таких как физические файлы WMI (например, `%SystemRoot%\System32\Wbem\Repository`) или реестра (например, `%SystemRoot%\System32\Config`).