"ያለ ቋሚ ፋይሎች ማልዌር" ምንድን ነው እና በነጻ መሳሪያዎች እንዴት ማግኘት እንደሚቻል

የ. ገጽታ ማልዌር ያለ ቋሚ ፋይሎች ይህ ለደህንነት ቡድኖች እውነተኛ ራስ ምታት ሆኖብናል። እኛ የምንታገለው አንድን ሊተገበር የሚችል ፋይል ከዲስክ ሲሰርዙ "የሚይዙትን" የተለመደ ቫይረስ አይደለም፣ ነገር ግን በማስታወስ ውስጥ የሚኖሩ፣ ህጋዊ የስርዓት መሳሪያዎችን አላግባብ የሚጠቀሙ እና በብዙ አጋጣሚዎች ምንም ጥቅም ላይ የማይውል የፎረንሲክ ዱካ የሚተዉ ስጋቶችን ነው።

ይህ ዓይነቱ ጥቃት በተለይ በተራቀቁ ቡድኖች እና በሳይበር ወንጀለኞች መካከል ተወዳጅ ሆኗል ባህላዊ የጸረ-ቫይረስ ሶፍትዌርን ማምለጥ፣ ውሂብ መስረቅ እና ተደብቆ መቆየት በተቻለ መጠን ለረጅም ጊዜ። እንዴት እንደሚሰሩ፣ ምን አይነት ቴክኒኮችን እንደሚጠቀሙ እና እንዴት እንደሚለዩ መረዳት ዛሬ የሳይበር ደህንነትን በቁም ነገር ለመመልከት ለሚፈልግ ለማንኛውም ድርጅት ቁልፍ ነገር ነው።

ፋይል አልባ ማልዌር ምንድን ነው እና ለምን እንደዚህ አይነት አሳሳቢ ጉዳይ ነው?

ስንናገር ፋይል አልባ ማልዌር አንድ ባይት አልተሳተፈም እያልን አይደለም፣ ነገር ግን ተንኮል አዘል ኮዱ በዲስክ ላይ እንደ ክላሲክ ሊተገበር የሚችል ፋይል ሆኖ አይቀመጥም ከመጨረሻው ነጥብ። በምትኩ፣ በቀጥታ በማህደረ ትውስታ ውስጥ ይሰራል ወይም እንደ መዝገብ ቤት፣ WMI ወይም የታቀዱ ተግባራት ባሉ ብዙም በማይታዩ ኮንቴይነሮች ውስጥ ይስተናገዳል።

በብዙ ሁኔታዎች፣ አጥቂው በስርዓቱ ውስጥ ቀድሞውኑ በሚገኙ መሳሪያዎች ላይ ይተማመናል - ፓወርሼል፣ ደብሊውአይኤምአይ፣ ስክሪፕቶች፣ የተፈረሙ የዊንዶውስ ባይነሪዎች - ለ የክፍያ ጭነቶችን በቀጥታ ወደ RAM መጫን፣ መፍታት ወይም ማስኬድበዚህ መንገድ፣ ፊርማ ላይ የተመሠረተ ጸረ-ቫይረስ በመደበኛ ቅኝት ሊያገኛቸው የሚችላቸውን ግልጽ የሆኑ ሊፈጸሙ የሚችሉ ፋይሎችን ከመተው ይቆጠባል።

በተጨማሪም፣ የጥቃት ሰንሰለቱ ክፍል "ፋይል አልባ" ሊሆን ይችላል፣ ሌላኛው ክፍል ደግሞ የፋይል ስርዓቱን ሊጠቀም ይችላል፣ ስለዚህ ከአንድ በላይ ስለሆኑ ነገሮች እየተነጋገርን ነው። ፋይል አልባ ቴክኒኮች ስፔክትረም የአንድ ማልዌር ቤተሰብ። ለዚህም ነው አንድ፣ የተዘጋ ፍቺ የሌለው፣ ነገር ግን በማሽኑ ላይ በሚተዉት ተጽዕኖ መጠን ላይ በመመስረት የተለያዩ ምድቦች።

የማያቋርጥ ፋይሎች የሌሉባቸው የማልዌር ዋና ዋና ባህሪያት

የእነዚህ ስጋቶች ቁልፍ ባህሪያቸው የእነሱ ነው ማህደረ ትውስታን ማዕከል ያደረገ አፈፃፀምተንኮል አዘል ኮዱ በሃርድ ድራይቭ ላይ የተረጋጋ ተንኮል አዘል ባይነሪ ሳያስፈልገው በ RAM ውስጥ ተጭኖ በሕጋዊ ሂደቶች ውስጥ ይፈጸማል። በአንዳንድ ሁኔታዎች፣ ለተሻለ መሸጎጫ ወደ ወሳኝ የስርዓት ሂደቶች እንኳን ይገባል።

ሌላው አስፈላጊ ባህሪ ነው ያልተለመደ ጽናትብዙ ፋይል የሌላቸው ዘመቻዎች ሙሉ በሙሉ ተለዋዋጭ ናቸው እና ዳግም ከተጀመረ በኋላ ይጠፋሉ፣ ነገር ግን ሌሎች ደግሞ "የሚታየው" ቅርስ አነስተኛ እንዲሆን እና እውነተኛው ጭነት በእያንዳንዱ ጊዜ ወደ ማህደረ ትውስታ ተመልሶ እንዲቆይ የRegistry Autorun ቁልፎችን፣ WMI የደንበኝነት ምዝገባዎችን፣ የታቀዱ ተግባራትን ወይም BITS ን በመጠቀም እንደገና ማንቃት ችለዋል።

ይህ አካሄድ የአጠቃቀም ውጤታማነትን በእጅጉ ይቀንሳል በፊርማ ላይ የተመሠረተ ማወቂያለመተንተን ምንም ቋሚ ሊተገበር የሚችል ነገር ስለሌለ፣ ብዙ ጊዜ የሚያዩት ፍጹም ህጋዊ የሆነ PowerShell.exe፣ wscript.exe ወይም mshta.exe ሲሆን አጠራጣሪ መለኪያዎች ያሉት ወይም የተደበቀ ይዘት የሚጫን ነው።

በመጨረሻም፣ ብዙ ተዋናዮች ፋይል የሌላቸውን ቴክኒኮች ከሌሎች ጋር ያጣምራሉ እንደ ትሮጃኖች፣ ራንሰምዌር ወይም አድዌር ያሉ የማልዌር አይነቶችይህም የሁለቱንም ዓለማት ምርጥ (እና መጥፎ) የሚያጣምሩ የተደባለቁ ዘመቻዎችን አስከትሏል፤ ይህም ጽናት እና ድብቅነት ነው።

በስርዓቱ ላይ ባለው አሻራ መሰረት የፋይል አልባ ማስፈራሪያዎች አይነቶች

በርካታ የደህንነት አምራቾች "ፋይል የሌላቸውን" ስጋቶች በኮምፒዩተሩ ላይ በሚተዉት ዱካ መሰረት ይመድባሉ። ይህ ታክሶኖሚ የምናየውን እና እንዴት መመርመር እንዳለብን እንድንረዳ ይረዳናል።

አይነት I: የሚታይ የፋይል እንቅስቃሴ የለም

በጣም ሚስጥራዊ በሆነው ጫፍ ላይ ተንኮል አዘል ዌር እናገኛለን በፋይል ስርዓቱ ላይ ምንም ነገር አይጽፍምኮዱ ለምሳሌ፣ ተጋላጭነትን (እንደ EternalBlue ያሉ) በሚጠቀሙ የአውታረ መረብ ፓኬቶች በኩል ይደርሳል፣ በቀጥታ ወደ ማህደረ ትውስታ ይገባል፣ እና ለምሳሌ በከርነል ውስጥ እንደ የኋላ በር ሆኖ ይቆያል (DoublePulsar ምሳሌያዊ ጉዳይ ነበር)።

በሌሎች ሁኔታዎች ኢንፌክሽኑ በሚከተሉት ሁኔታዎች ውስጥ ይገኛል የባዮስ ፈርምዌር፣ የኔትወርክ ካርዶች፣ የዩኤስቢ መሳሪያዎች ወይም በሲፒዩ ውስጥ ያሉ ንዑስ ስርዓቶች እንኳንይህ ዓይነቱ ስጋት የስርዓተ ክወና ዳግም መጫንን፣ የዲስክ ቅርጸትን እና እንዲያውም አንዳንድ ሙሉ ዳግም ማስነሳቶችን ሊቋቋም ይችላል።

ችግሩ አብዛኛዎቹ የደህንነት መፍትሄዎች መሆናቸው ነው እነሱ ፈርምዌርን ወይም ማይክሮኮድን አይመረምሩምእና ቢያደርጉም እንኳን፣ ማስተካከያው ውስብስብ ነው። እንደ እድል ሆኖ፣ እነዚህ ዘዴዎች ብዙውን ጊዜ ለከፍተኛ ደረጃ ላላቸው ተዋናዮች የተጠበቁ ናቸው እና በጅምላ ጥቃቶች ውስጥ የተለመዱ አይደሉም።

ዓይነት II፡ የፋይሎች ቀጥተኛ ያልሆነ አጠቃቀም

ሁለተኛው ቡድን የተመሰረተው በ በዲስክ ላይ በተከማቹ መዋቅሮች ውስጥ ተንኮል አዘል ኮድ መያዝነገር ግን እንደ ባህላዊ አስፈፃሚዎች ሳይሆን፣ ስርዓቱን ሳይጎዱ ለማጽዳት አስቸጋሪ የሆኑ ህጋዊ እና ተንኮል አዘል መረጃዎችን በሚቀላቀሉ ማከማቻዎች ውስጥ።

የተለመዱ ምሳሌዎች በ ውስጥ የተከማቹ ስክሪፕቶች ናቸው የWMI ማከማቻ፣ የተደበቁ ሰንሰለቶች በ የመዝገብ ቁልፎች ወይም አደገኛ ትዕዛዞችን ያለ ግልጽ ተንኮል አዘል ሁለትዮሽ የሚያስጀምሩ የታቀዱ ተግባራት። ማልዌር እነዚህን ግቤቶች በቀጥታ ከትዕዛዝ መስመሩ ወይም ከስክሪፕት ሊጭን እና ከዚያም በማይታይ ሁኔታ ሊቆይ ይችላል።

ምንም እንኳን በቴክኒካዊ መልኩ የተሳተፉ ፋይሎች ቢኖሩም (ዊንዶውስ የWMI ማከማቻን ወይም የመዝገብ ቤት ቀፎ የሚያከማችበት አካላዊ ፋይል)፣ ለተግባራዊ ዓላማዎች እየተነጋገርን ያለነው ስለ ፋይል አልባ እንቅስቃሴ ምክንያቱም በቀላሉ ሊገለል የሚችል ግልጽ የሆነ ተፈጻሚነት የለውም።

ዓይነት III፡- ፋይሎችን ለመስራት ይፈልጋል

ሦስተኛው ዓይነት የሚከተሉትን ማስፈራሪያዎች ያካትታል ፋይሎችን ይጠቀማሉ፣ ነገር ግን ለመለየት ብዙም ጠቃሚ ባልሆነ መንገድ።አንድ የታወቀ ምሳሌ Kovter ሲሆን በRegistry ውስጥ የዘፈቀደ ቅጥያዎችን የሚያስመዘግብ ሲሆን ይህም በዚያ ቅጥያ ያለው ፋይል ሲከፈት ስክሪፕት በ mshta.exe ወይም ተመሳሳይ በሆነ ቤተኛ ባይነሪ በኩል ይፈጸማል።

እነዚህ የማታለያ ፋይሎች ተዛማጅነት የሌላቸውን መረጃዎች እና እውነተኛውን ተንኮል አዘል ኮድ ይይዛሉ ከሌሎች የመዝገብ ቁልፎች የተወሰደ ነው ወይም ውስጣዊ ማከማቻዎች። በዲስክ ላይ "የሆነ ነገር" ቢኖርም፣ እንደ ቀጥተኛ የጽዳት ዘዴ ሳይሆን እንደ አስተማማኝ የስምምነት አመላካች አድርጎ መጠቀም ቀላል አይደለም።

በጣም የተለመዱት የመግቢያ ቬክተሮች እና የኢንፌክሽን ነጥቦች

የእግር አሻራ ምደባን ከማስፋት ባለፈ፣ እንዴት እንደሆነ መረዳት አስፈላጊ ነው ቋሚ ፋይሎች የሌሉበት ማልዌር የሚጫወተው እዚህ ነው። በዕለት ተዕለት ሕይወት ውስጥ፣ አጥቂዎች ብዙውን ጊዜ እንደ አካባቢው እና እንደ ኢላማው የተለያዩ ቬክተሮችን ያጣምራሉ።

ብዝበዛዎች እና ተጋላጭነቶች

በጣም ቀጥተኛ ከሆኑ መንገዶች አንዱ አላግባብ መጠቀም ነው የርቀት ኮድ አፈፃፀም (RCE) ተጋላጭነቶች በአሳሾች፣ ተሰኪዎች (እንደ ፍላሽ ባሉ ድሮ)፣ የድር መተግበሪያዎች ወይም የኔትወርክ አገልግሎቶች (SMB፣ RDP፣ ወዘተ) ውስጥ። ይህ ተንኮል አዘል ጭነትን በቀጥታ የሚያወርድ ወይም ወደ ማህደረ ትውስታ የሚፈታ የሼልኮድ ያስገባል።

በዚህ ሞዴል፣ የመጀመሪያው ፋይል በአውታረ መረቡ ላይ ሊሆን ይችላል (የፍጆታ አይነት) WannaCryወይም ተጠቃሚው በሚከፍተው ሰነድ ውስጥ፣ ግን የክፍያው ጭነት በዲስክ ላይ እንደ ሊፈጸም የሚችል ነገር ፈጽሞ አይጻፍም: ዲክሪፕት ተደርጎ ከ RAM በፍጥነት ይፈጸማል።

ተንኮል አዘል ሰነዶች እና ማክሮዎች

ሌላው በጣም ጥቅም ላይ የዋለ መንገድ ደግሞ ማክሮዎች ወይም DDE ያላቸው የቢሮ ሰነዶችእንዲሁም የአንባቢ ተጋላጭነቶችን ለመበዝበዝ የተነደፉ ፒዲኤፎች። ምንም ጉዳት የሌለው የሚመስል የዎርድ ወይም የኤክሴል ፋይል ኮድ ለማውረድ፣ ትዕዛዞችን ለመፈጸም ወይም የሼልኮድን ወደ ታማኝ ሂደቶች ለማስገባት PowerShell፣ WMI ወይም ሌሎች ተርጓሚዎችን የሚያስጀምር የVBA ኮድ ሊይዝ ይችላል።

እዚህ ላይ በዲስክ ላይ ያለው ፋይል የውሂብ መያዣ "ብቻ" ሲሆን ትክክለኛው ቬክተር ደግሞ የመተግበሪያው ውስጣዊ የስክሪፕት ሞተርእንደ እውነቱ ከሆነ፣ ብዙ የጅምላ የአይፈለጌ መልእክት ዘመቻዎች ይህንን ዘዴ በኮርፖሬት ኔትወርኮች ላይ ፋይል አልባ ጥቃቶችን ለማሰማራት አላግባብ ተጠቅመዋል።

ሕጋዊ ስክሪፕቶች እና ባይናሪዎች (ከምድር ውጪ መኖር)

አጥቂዎች ዊንዶውስ አስቀድሞ የሚያቀርባቸውን መሳሪያዎች ይወዳሉ፦ PowerShell፣ wscript፣ cscript፣ mshta፣ rundll32፣ regsvr32የዊንዶውስ ማኔጅመንት መሳሪያ፣ BITS፣ ወዘተ። እነዚህ የተፈረሙ እና የታመኑ ባይናሪዎች አጠራጣሪ "virus.exe" ሳያስፈልጋቸው ስክሪፕቶችን፣ DLLዎችን ወይም የርቀት ይዘቶችን ማስፈጸም ይችላሉ።

ተንኮል አዘል ኮድ በማለፍ እንደ የትእዛዝ መስመር መለኪያዎችበምስሎች ውስጥ ማስገባት፣ በማህደረ ትውስታ ውስጥ ኢንክሪፕት ማድረግ እና ዲኮዲንግ ማድረግ ወይም በመዝገብ ቤት ውስጥ ማስቀመጥ ጸረ-ቫይረስ ከሕጋዊ ሂደቶች ብቻ እንቅስቃሴን እንዲያይ ያረጋግጣል፣ ይህም በፋይሎች ላይ ብቻ የተመሠረተ ምርመራን በጣም አስቸጋሪ ያደርገዋል።

የተበላሸ ሃርድዌር እና ፈርምዌር

በዝቅተኛ ደረጃ ላይ፣ የላቁ አጥቂዎች ሰርገው መግባት ይችላሉ የባዮስ ፈርምዌር፣ የኔትወርክ ካርዶች፣ ሃርድ ድራይቮች ወይም የሲፒዩ አስተዳደር ንዑስ ስርዓቶች እንኳን (እንደ Intel ME ወይም AMT ያሉ)። ይህ ዓይነቱ ማልዌር ከኦፕሬቲንግ ሲስተሙ በታች የሚሄድ ሲሆን ኦፕሬቲንግ ሲስተሙ ሳያውቅ ትራፊክን ሊያስተጓጉል ወይም ሊያሻሽል ይችላል።

ምንም እንኳን እጅግ በጣም ከባድ ቢሆንም፣ ፋይል የሌለው ስጋት ምን ያህል ሊሆን እንደሚችል ያሳያል። የስርዓተ ክወና ፋይል ስርዓቱን ሳይነኩ ጽናትዎን ይጠብቁእና በእነዚህ ጉዳዮች ላይ ክላሲክ የመጨረሻ ነጥብ መሳሪያዎች ለምን አይሳኩም?

የማያቋርጥ ፋይሎች የሌሉበት የማልዌር ጥቃት እንዴት እንደሚሰራ

በፍሰት ደረጃ፣ ፋይል አልባ ጥቃት ከፋይል-ተኮር ጥቃት ጋር በጣም ተመሳሳይ ነው፣ ግን ከ ተዛማጅ ልዩነቶች የክፍያ ጭነቱ እንዴት እንደሚተገበር እና ተደራሽነት እንዴት እንደሚጠበቅ።

1. ወደ ስርዓቱ የመጀመሪያ መዳረሻ

ሁሉም የሚጀምረው አጥቂው የመጀመሪያውን ቦታ ሲያገኝ ነው፡ የፊሺንግ ኢሜይል ከተንኮል አዘል አገናኝ ወይም አባሪ ጋር፣ ተጋላጭ በሆነ መተግበሪያ ላይ የሚደረግ ብዝበዛ፣ ለRDP ወይም VPN የተሰረቀ ምስክርነቶች ወይም በተበላሸ የዩኤስቢ መሣሪያ ላይ እንኳን።

በዚህ ደረጃ የሚከተለው ጥቅም ላይ ይውላል: ማህበራዊ ምህንድስናተጠቃሚው ወደማይገባበት ቦታ እንዲሄድ ወይም በኢንተርኔት ላይ የተገለጹ አገልግሎቶችን እንዲበዘብዝ ለማድረግ ተንኮል አዘል ሪቨርስ፣ ማልቨርቲሲንግ ዘመቻዎች ወይም ተንኮል አዘል የዋይፋይ ጥቃቶች።

2. በማህደረ ትውስታ ውስጥ የተንኮል አዘል ኮድ አፈጻጸም

የመጀመሪያውን ግቤት አንዴ ካገኘ በኋላ፣ ፋይል አልባው ክፍል ይቀሰቀሳል፡ የኦፊስ ማክሮ PowerShellን ያስጀምራል፣ አንድ ብልሽት የሼልኮድን ይመገባል፣ የWMI የደንበኝነት ምዝገባ ስክሪፕት ያስጀምራል፣ ወዘተ። ግቡ ተንኮል አዘል ኮድ በቀጥታ ወደ ራም ይጫኑከኢንተርኔት በማውረድ ወይም ከተከተተ ውሂብ እንደገና በመገንባት።

ከዚያ ጀምሮ ማልዌር ሊሰራ ይችላል መብቶችን ማሳደግ፣ ወደ ጎን መንቀሳቀስ፣ ምስክርነቶችን መስረቅ፣ የድር ሼሎችን ማሰማራት፣ RATዎችን መጫን ወይም ውሂብን ማመስጠርይህ ሁሉ ድምጽን ለመቀነስ በሕጋዊ ሂደቶች የተደገፈ ነው።

3. ጽናት ማቋቋም

ከተለመዱት ቴክኒኮች መካከል እነዚህ ናቸው

• የራስ-ሰር ቁልፎች ሲገቡ ትዕዛዞችን ወይም ስክሪፕቶችን የሚያስፈጽም መዝገብ ውስጥ።
• የጊዜ ሰሌዳ ሥራዎች ስክሪፕቶችን፣ መለኪያዎችን ወይም የርቀት ትዕዛዞችን የሚያስጀምሩ ህጋዊ ባይነሪዎች።
• የWMI የደንበኝነት ምዝገባዎች የተወሰኑ የስርዓት ክስተቶች ሲከሰቱ የሚያነቃቃ ኮድ።
• የቢትስ አጠቃቀም ከትዕዛዝ እና ከቁጥጥር አገልጋዮች የሚላኩ የክፍያ ጭነቶችን በየጊዜው ለማውረድ።

በሁኔታዎች፣ ቀጣይነት ያለው አካል አነስተኛ እና ለሚከተሉት ብቻ የሚያገለግል ነው ማልዌርን ወደ ማህደረ ትውስታ እንደገና ያስገቡ ስርዓቱ በሚጀምርበት ወይም የተወሰነ ሁኔታ በሚሟላበት ጊዜ ሁሉ።

4. በዒላማዎች እና በማጣራት ላይ የሚወሰዱ እርምጃዎች

አጥቂው በጽናት እርግጠኛ ሆኖ፣ በእውነት በሚስበው ነገር ላይ ያተኩራል፡ መረጃን መስረቅ፣ ኢንክሪፕት ማድረግ፣ ስርዓቶችን ማዛባት ወይም ለወራት መሰለልየማጣራት ስራ በHTTPS፣ DNS፣ ሚስጥራዊ ቻናሎች ወይም ህጋዊ አገልግሎቶች ሊከናወን ይችላል። በእውነተኛ አለም ክስተቶች፣ ማወቅ ከጠለፋ በኋላ በመጀመሪያዎቹ 24 ሰዓታት ውስጥ ምን ማድረግ እንዳለበት ለውጥ ማምጣት ይችላል።

በAPT ጥቃቶች፣ ማልዌር መቆየቱ የተለመደ ነው። ለረጅም ጊዜ ዝምተኛ እና ሚስጥራዊየመሠረተ ልማቱ አካል ተገኝቶ ቢጸዳም እንኳ መዳረሻን ለማረጋገጥ ተጨማሪ የኋላ በሮችን መገንባት።

ፋይል የሌላቸው ሊሆኑ የሚችሉ የማልዌር ችሎታዎች እና አይነቶች

ክላሲክ ማልዌር ሊያከናውናቸው የሚችላቸው ማንኛውም ተንኮል አዘል ተግባራት ይህንን አካሄድ በመከተል ሊተገበሩ ይችላሉ ፋይል የሌለው ወይም ከፊል ፋይል የሌለውየሚለዋወጠው ነገር ዓላማው ሳይሆን ኮዱ የሚተገበርበት መንገድ ነው።

በማህደረ ትውስታ ውስጥ ብቻ የሚቀመጡ ማልዌር

ይህ ምድብ የሚከተሉትን ጭነቶች ያካትታል እነሱ የሚኖረው በሂደቱ ወይም በከርነል ትዝታ ውስጥ ብቻ ነው።ዘመናዊ የሩትኪትስ፣ የላቁ የኋላ በሮች ወይም ስፓይዌር ወደ ህጋዊ ሂደት የማህደረ ትውስታ ቦታ ሊገቡ እና ስርዓቱ እንደገና እስኪጀመር ድረስ እዚያው ሊቆዩ ይችላሉ።

እነዚህ ክፍሎች በተለይ በዲስክ ላይ በተመሰረቱ መሳሪያዎች ለማየት አስቸጋሪ ናቸው፣ እና እነዚህን መሳሪያዎች መጠቀም ያስገድዳሉ የቀጥታ ማህደረ ትውስታ ትንተና, በእውነተኛ ጊዜ ምርመራ ወይም የላቀ የፎረንሲክ ችሎታዎች ያለው EDR።

በዊንዶውስ መዝገብ ቤት ላይ የተመሠረተ ማልዌር

ሌላው ተደጋጋሚ ዘዴ ማከማቸት ነው በ Registry Keys ውስጥ የተመሰጠረ ወይም የተደበቀ ኮድ እና በማህደረ ትውስታ ውስጥ ለማንበብ፣ ለመፍታት እና ለማስፈጸም ህጋዊ የሆነ ሁለትዮሽ (እንደ PowerShell፣ MSHTA ወይም rundll32 ያሉ) ይጠቀሙ።

የመጀመሪያው dropper ወደ መዝገብ ቤቱ ከጻፈ በኋላ ራሱን ሊያጠፋ ይችላል፣ ስለዚህ የሚቀረው ምንም ጉዳት የሌለው የሚመስል መረጃ ድብልቅ ብቻ ነው ስርዓቱ በሚጀምርበት ጊዜ ሁሉ አደጋውን ያነቃቃሉ ወይም የተወሰነ ፋይል በሚከፈትበት እያንዳንዱ ጊዜ።

ራንሰምዌር እና ፋይል አልባ ትሮጃኖች

ፋይል አልባው አካሄድ እንደሚከተሉት ካሉ በጣም ኃይለኛ የመጫኛ ዘዴዎች ጋር ተኳሃኝ አይደለም ransomwareበ PowerShell ወይም WMI በመጠቀም በማህደረ ትውስታ ውስጥ ያለውን ሙሉ ምስጠራ የሚያወርዱ፣ የሚፈቱ እና የሚፈጽሙ ዘመቻዎች አሉ፣ ይህም የራንሰምዌር ሊተገበር የሚችል ዲስክ ላይ ሳይተው ነው።

በተመሳሳይ, የርቀት መዳረሻ ትሮጃኖች (RATs)የቁልፍ ሎገሮች ወይም የምስክርነት ሌቦች በከፊል ፋይል አልባ በሆነ መንገድ ሊሰሩ፣ ሞጁሎችን በፍላጎት መጫን እና በሕጋዊ የስርዓት ሂደቶች ውስጥ ዋናውን አመክንዮ ማስተናገድ ይችላሉ።

የብዝበዛ ኪቶች እና የተሰረቁ የምስክር ወረቀቶች

የድር ኤክስፕሎረር ኪቶች ሌላው የእንቆቅልሹ ክፍል ናቸው፤ የተጫነ ሶፍትዌርን ለይተው ያውቃሉ፣ ተገቢውን ብዝበዛ ይመርጣሉ እና የክፍያ ጭነቱን በቀጥታ ወደ ማህደረ ትውስታ ውስጥ ያስገቡ።ብዙ ጊዜ ምንም ነገር ወደ ዲስክ ሳያስቀምጡ።

በሌላ በኩል ደግሞ አጠቃቀሙ የተሰረቁ የምስክር ወረቀቶች ከፋይል አልባ ቴክኒኮች ጋር በጣም የሚስማማ ቬክተር ነው፡ አጥቂው እንደ ህጋዊ ተጠቃሚ ያረጋግጣል እና ከዚያ ጀምሮ ምንም አይነት ክላሲክ የማልዌር ዱካ የማይተዉ ስክሪፕቶችን እና ትዕዛዞችን ለማሰማራት የአገሬው ተወላጅ የአስተዳደር መሳሪያዎችን (PowerShell Remoting፣ WMI፣ PsExec) ይጠቀማል።

ፋይል አልባ ማልዌርን ለመለየት ይህን ያህል አስቸጋሪ የሆነው ለምንድን ነው?

ዋናው ምክንያት ይህ ዓይነቱ ስጋት በተለይ የተነደፈው ለዚሁ ነው የሚለው ነው። ባህላዊ የመከላከያ ንብርብሮችን ማለፍበፊርማዎች፣ በነጭ ዝርዝሮች እና በየጊዜው በሚደረጉ የፋይል ቅኝቶች ላይ የተመሠረተ።

ተንኮል አዘል ኮዱ በዲስክ ላይ እንደ ሊተገበር የሚችል ሆኖ ካልተቀመጠ ወይም እንደ WMI፣ Registry ወይም firmware ባሉ የተደባለቁ ኮንቴይነሮች ውስጥ ከተደበቀ፣ ባህላዊ የጸረ-ቫይረስ ሶፍትዌር ለመተንተን በጣም ትንሽ ነገር አለው። "አጠራጣሪ ፋይል" ከመሆን ይልቅ፣ ያለዎት ነገር ነው። ያልተለመዱ ድርጊቶችን የሚፈጽሙ ህጋዊ ሂደቶች.

በተጨማሪም፣ እንደ PowerShell፣ Office ማክሮዎች ወይም WMI ያሉ መሳሪያዎችን በፍፁም ያግዳል። በብዙ ድርጅቶች ውስጥ ተግባራዊ ሊሆን አይችልምምክንያቱም ለአስተዳደር፣ ለአውቶሜሽን እና ለዕለታዊ ስራዎች አስፈላጊ ናቸው። ይህ በጣም በጥንቃቄ እንዲራመዱ ያበረታታል።

አንዳንድ ሻጮች ፈጣን ጥገናዎችን (አጠቃላይ የ PowerShell እገዳ፣ አጠቃላይ ማክሮ ማሰናከል፣ የደመና ብቻ ለይቶ ማወቅ፣ ወዘተ) ለማካካስ ሞክረዋል፣ ነገር ግን እነዚህ መለኪያዎች ብዙውን ጊዜ የሚወሰዱት በቂ ያልሆነ ወይም ከልክ በላይ ረብሻ ለንግድ.

ፋይል የሌላቸውን ማልዌር ለመለየት እና ለማስቆም ዘመናዊ ስልቶች

እነዚህን ስጋቶች ለመጋፈጥ ፋይሎችን ከመቃኘት ባለፈ ትኩረት የተደረገበት አካሄድ መከተል ያስፈልጋል። ባህሪ፣ በእውነተኛ ጊዜ ቴሌሜትሪ እና ጥልቅ ታይነት የመጨረሻው ነጥብ።

የባህሪ እና የማስታወስ ክትትል

ውጤታማ አካሄድ ሂደቶቹ በትክክል ምን እንደሚያደርጉ መከታተልን ያካትታል፡ ምን ትዕዛዞችን እንደሚፈጽሙ፣ ምን ግብዓቶችን እንደሚደርሱ፣ ምን ግንኙነቶችን እንደሚያቋቁሙእርስ በእርስ እንዴት እንደሚዛመዱ፣ ወዘተ። በሺዎች የሚቆጠሩ የማልዌር ልዩነቶች ቢኖሩም፣ የተንኮል አዘል ባህሪ ቅጦች በጣም የተገደቡ ናቸው። ይህ ከሚከተሉት ጋር ሊሟላ ይችላል በYARA የላቀ ማወቂያ.

ዘመናዊ መፍትሄዎች ይህንን ቴሌሜትሪ ከውስጣዊ ማህደረ ትውስታ ትንታኔዎች፣ የላቀ ሂዩሪስቲክስ እና አውቶማቲክ ትምህርት የጥቃት ሰንሰለቶችን ለመለየት፣ ኮዱ በጣም የተደበቀ ወይም ከዚህ በፊት ታይቶ የማያውቅ ቢሆንም።

እንደ AMSI እና ETW ያሉ የስርዓት በይነገጾችን መጠቀም

ዊንዶውስ እንደዚህ አይነት ቴክኖሎጂዎችን ያቀርባል ፀረ ማልዌር ስካን በይነገጽ (AMSI) y ለዊንዶውስ (ETW) የክስተት ክትትል እነዚህ ምንጮች የስርዓት ስክሪፕቶችን እና ክስተቶችን በጣም ዝቅተኛ በሆነ ደረጃ ለመመርመር ያስችላሉ። እነዚህን ምንጮች ከደህንነት መፍትሄዎች ጋር ማዋሃድ ለይቶ ማወቅን ያመቻቻል። ተንኮል አዘል ኮድ ከመፈጸሙ በፊት ወይም በሚፈጸምበት ጊዜ.

በተጨማሪም፣ ወሳኝ ቦታዎችን መተንተን - የታቀዱ ተግባራት፣ የWMI የደንበኝነት ምዝገባዎች፣ የቡት መዝገብ ቁልፎች፣ ወዘተ - ለመለየት ይረዳል ሚስጥራዊ ፋይል አልባ ጽናት በቀላል የፋይል ቅኝት ሳይስተዋል ሊሄድ ይችላል።

የጥቃት ስጋት እና አመላካቾች (IoA)

ክላሲክ አመልካቾች (ሃሾች፣ ​​የፋይል ዱካዎች) ስለማያልቁ፣ በሚከተሉት ላይ መተማመን ይመከራል የጥቃት አመልካቾች (IoA)ከሚታወቁ ስልቶች ጋር የሚስማሙ አጠራጣሪ ባህሪያትን እና የድርጊቶችን ቅደም ተከተል የሚገልጹ።

የስጋት አደን ቡድኖች - ውስጣዊ ወይም በሚተዳደሩ አገልግሎቶች - በንቃት መፈለግ ይችላሉ የጎን እንቅስቃሴ ቅጦች፣ የአገሬው ተወላጅ መሳሪያዎችን አላግባብ መጠቀም፣ PowerShell ን በመጠቀም ረገድ ያልተለመዱ ነገሮች ወይም ያልተፈቀደ ሚስጥራዊ መረጃዎችን መድረስ፣ ፋይል የሌላቸውን ስጋቶች አደጋ ከማስከተላቸው በፊት መለየት።

EDR፣ XDR እና SOC 24/7

ዘመናዊ መድረኮች EDR እና XDR (የመጨረሻ ነጥብ መለየት እና በተራዘመ ደረጃ ምላሽ) ከመጀመሪያው የፊሺንግ ኢሜይል እስከ የመጨረሻው የማጣሪያ ሂደት ድረስ የአንድ ክስተት ሙሉ ታሪክ እንደገና ለመገንባት የሚያስፈልገውን ታይነት እና ትስስር ይሰጣል።

ከ ጋር ተጣምሮ 24/7 ኦፕሬሽን ሶኮእነሱ መለየትን ብቻ ሳይሆን እንዲሁም እንዲያውቁ ያስችላቸዋል በራስ-ሰር መያዝ እና ማስተካከል ተንኮል አዘል እንቅስቃሴ፡ ኮምፒውተሮችን ማግለል፣ ሂደቶችን ማገድ፣ ወደ መዝገብ ቤቱ የሚደረጉ ለውጦችን መመለስ ወይም የሚቻል ከሆነ ምስጠራን መሰረዝ።

ፋይል የሌላቸው የማልዌር ቴክኒኮች ጨዋታውን ቀይረውታል፡ የጸረ-ቫይረስ ቅኝት ማስኬድ እና አጠራጣሪ የሆነ ሊተገበር የሚችልን መሰረዝ ብቻ በቂ አይደለም። ዛሬ፣ መከላከያ አጥቂዎች ኮድን በማህደረ ትውስታ፣ በመዝገብ ቤት፣ በWMI ወይም በጽኑዌር ውስጥ በመደበቅ ተጋላጭነቶችን እንዴት እንደሚጠቀሙ መረዳት እና የባህሪ ክትትል፣ የማህደረ ትውስታ ውስጥ ትንተና፣ EDR/XDR፣ የማስፈራራት አደን እና ምርጥ ልምዶችን ጥምረት ማሰማራትን ያካትታል። ተፅዕኖውን በተጨባጭ ይቀንሱ በዲዛይን መሰረት፣ የበለጠ ባህላዊ መፍትሄዎች የሚመስሉበት ቦታ ሁሉን አቀፍ እና ቀጣይነት ያለው ስትራቴጂ የሚያስፈልጋቸውን ምንም አይነት ዱካ ለመተው የሚሞክሩ ጥቃቶችን ያጠቃል። ስምምነት በሚፈጠርበት ጊዜ ማወቅ ከከባድ ቫይረስ በኋላ ዊንዶውስ ይጠግኑ አስፈላጊ ነው.