← Назад к блогу

Детект fileless-атак через memfd_create

Fileless-подходы популярны, потому что оставляют минимум следов на диске. На Linux ключевой примитив — memfd_create, позволяющий создавать анонимные “файлы” в памяти, которые затем можно запускать или использовать для инжекта.

Как это используют атакующие

Типовой сценарий:

  1. полезная нагрузка загружается или расшифровывается в памяти;
  2. payload записывается в memfd;
  3. payload исполняется без сохранения на диск.

Такой путь усложняет классический анализ “вредоносного файла”.

Почему это опасно

Fileless-исполнение:

  • обходит многие file-based детекты;
  • оставляет меньше артефактов для форензики;
  • ускоряет staging и дальнейшее развитие атаки.

Даже короткоживущий payload может нанести серьёзный ущерб.

Как детектить без лишнего шума

Не каждый memfd_create — это атака. Легитимное ПО тоже использует этот syscall. Поэтому нужен баланс:

  • срабатывание на подозрительные сочетания процесса и memfd-активности;
  • исключения для известных безопасных паттернов;
  • тестируемая логика правил, чтобы не ломать качество детекта при изменениях.

Встроенное правило SecureExec fileless_execution как раз построено под этот баланс: ловить подозрительные in-memory сценарии и снижать ложные срабатывания.

Как SecureExec помогает расследовать

SecureExec сохраняет в Elasticsearch и алерт, и связанные сырые события. Это даёт быстрые ответы:

  • какой процесс создал memfd;
  • какой был родительский процесс;
  • что происходило до и после в той же временной линии.

Так аналитик получает доказательную картину, а не только “один тревожный сигнал”.

Перейдите от догадок к фактам

Fileless-техники будут только расти. Нужны надёжная телеметрия, realtime-алерты и история для ретроспективы.

Используйте SecureExec, чтобы вовремя видеть подозрительное использование memfd_create и уверенно расследовать инциденты.