ফাইলবিহীন ফাইল সনাক্তকরণ: মেমরিতে ম্যালওয়্যার সনাক্তকরণ এবং বন্ধ করার জন্য একটি সম্পূর্ণ নির্দেশিকা

ডিস্কে কোনও চিহ্ন না রেখে পরিচালিত আক্রমণগুলি অনেক নিরাপত্তা দলের জন্য একটি বড় মাথাব্যথা হয়ে দাঁড়িয়েছে কারণ তারা সম্পূর্ণরূপে মেমোরিতে কার্যকর করে এবং বৈধ সিস্টেম প্রক্রিয়াগুলিকে কাজে লাগায়। তাই জানার গুরুত্ব ফাইলবিহীন ফাইল কীভাবে সনাক্ত করবেন এবং তাদের বিরুদ্ধে নিজেদের রক্ষা করুন।

শিরোনাম এবং প্রবণতার বাইরে, তারা কীভাবে কাজ করে, কেন তারা এত অধরা, এবং কোন লক্ষণগুলি আমাদের সেগুলি সনাক্ত করতে সাহায্য করে তা বোঝা একটি ঘটনা ধারণ করা এবং লঙ্ঘনের জন্য অনুশোচনা করার মধ্যে পার্থক্য তৈরি করে। নিম্নলিখিত লাইনগুলিতে, আমরা সমস্যাটি বিশ্লেষণ করি এবং প্রস্তাব করি সমাধান

ফাইললেস ম্যালওয়্যার কী এবং কেন এটি গুরুত্বপূর্ণ?

 

ফাইললেস ম্যালওয়্যার কোনও নির্দিষ্ট পরিবার নয়, বরং এটি পরিচালনার একটি উপায়: ডিস্কে এক্সিকিউটেবল লেখা এড়িয়ে চলুন এটি ক্ষতিকারক কোড কার্যকর করার জন্য সিস্টেমে ইতিমধ্যে উপস্থিত পরিষেবা এবং বাইনারি ব্যবহার করে। সহজে স্ক্যানযোগ্য ফাইল রেখে যাওয়ার পরিবর্তে, আক্রমণকারী বিশ্বস্ত ইউটিলিটিগুলির অপব্যবহার করে এবং সরাসরি RAM-এ এর লজিক লোড করে।

এই পদ্ধতিটি প্রায়শই 'ভূমি থেকে বেঁচে থাকা' দর্শনের মধ্যে অন্তর্ভুক্ত থাকে: আক্রমণকারীরা হাতিয়ার হিসেবে কাজ করে PowerShell, WMI, mshta, rundll32 এর মতো নেটিভ টুল অথবা VBScript এবং JScript এর মতো স্ক্রিপ্টিং ইঞ্জিন ব্যবহার করে তাদের লক্ষ্য অর্জন করতে পারে যাতে ন্যূনতম শব্দের সাথে।

এর সবচেয়ে প্রতিনিধিত্বমূলক বৈশিষ্ট্যগুলির মধ্যে আমরা পাই: অস্থির মেমরিতে এক্সিকিউশন, ডিস্কে সামান্য বা একেবারেই স্থিরতা নেই, সিস্টেম-স্বাক্ষরিত উপাদানের ব্যবহার এবং স্বাক্ষর-ভিত্তিক ইঞ্জিনগুলির বিরুদ্ধে উচ্চ ফাঁকি দেওয়ার ক্ষমতা।

যদিও রিবুট করার পরে অনেক পেলোড অদৃশ্য হয়ে যায়, তবুও বোকা বোকা হবেন না: প্রতিপক্ষরা অধ্যবসায় প্রতিষ্ঠা করতে পারে ডিস্কে সন্দেহজনক বাইনারি না রেখেই রেজিস্ট্রি কী, WMI সাবস্ক্রিপশন, অথবা নির্ধারিত কাজগুলি ব্যবহার করে।

ফাইলবিহীন ফাইল সনাক্ত করা আমাদের এত কঠিন কেন?

প্রথম বাধাটি স্পষ্ট: পরিদর্শন করার জন্য কোনও অস্বাভাবিক ফাইল নেই।স্বাক্ষর এবং ফাইল বিশ্লেষণের উপর ভিত্তি করে প্রচলিত অ্যান্টিভাইরাস প্রোগ্রামগুলিতে কৌশলের জন্য খুব কম জায়গা থাকে যখন কার্যকরকরণ বৈধ প্রক্রিয়াগুলিতে থাকে এবং ক্ষতিকারক যুক্তি মেমরিতে থাকে।

দ্বিতীয়টি আরও সূক্ষ্ম: আক্রমণকারীরা নিজেদেরকে আড়ালে লুকিয়ে রাখে বৈধ অপারেটিং সিস্টেম প্রক্রিয়াযদি PowerShell বা WMI প্রতিদিন প্রশাসনের জন্য ব্যবহার করা হয়, তাহলে প্রসঙ্গ এবং আচরণগত টেলিমেট্রি ছাড়া আপনি কীভাবে স্বাভাবিক ব্যবহারকে ক্ষতিকারক ব্যবহার থেকে আলাদা করতে পারবেন?

তাছাড়া, গুরুত্বপূর্ণ টুলগুলিকে অন্ধভাবে ব্লক করা সম্ভব নয়। PowerShell বা Office ম্যাক্রোগুলিকে বোর্ড জুড়ে অক্ষম করলে অপারেশন ব্যাহত হতে পারে এবং এটি অপব্যবহার সম্পূর্ণরূপে রোধ করে নাকারণ সহজ ব্লকগুলিকে এড়িয়ে যাওয়ার জন্য একাধিক বিকল্প কার্যকরকরণ পথ এবং কৌশল রয়েছে।

সর্বোপরি, ক্লাউড-ভিত্তিক বা সার্ভার-সাইড সনাক্তকরণ সমস্যা প্রতিরোধে অনেক দেরি করে। সমস্যাটির রিয়েল-টাইম স্থানীয় দৃশ্যমানতা ছাড়াই... কমান্ড লাইন, প্রক্রিয়া সম্পর্ক এবং লগ ইভেন্টএজেন্টটি হঠাৎ করেই এমন ক্ষতিকারক প্রবাহকে প্রশমিত করতে পারে না যা ডিস্কে কোনও চিহ্ন রাখে না।

একটি ফাইললেস আক্রমণ শুরু থেকে শেষ পর্যন্ত কীভাবে কাজ করে

প্রাথমিক অ্যাক্সেস সাধারণত সর্বদা একই ভেক্টর দিয়ে ঘটে: অফিসের নথিপত্র দিয়ে ফিশিং করা যা সক্রিয় কন্টেন্ট, আপোস করা সাইটের লিঙ্ক, উন্মুক্ত অ্যাপ্লিকেশনগুলিতে দুর্বলতার শোষণ, অথবা RDP বা অন্যান্য পরিষেবার মাধ্যমে অ্যাক্সেসের জন্য ফাঁস হওয়া শংসাপত্রের অপব্যবহার সক্ষম করতে বলে।

একবার ভেতরে ঢুকে গেলে, প্রতিপক্ষ ডিস্ক স্পর্শ না করেই মৃত্যুদণ্ড কার্যকর করার চেষ্টা করে। এটি করার জন্য, তারা সিস্টেমের কার্যকারিতাগুলিকে একত্রিত করে: ডকুমেন্টে ম্যাক্রো বা DDE যা কমান্ড চালু করে, RCE-এর জন্য ওভারফ্লো ব্যবহার করে, অথবা বিশ্বস্ত বাইনারি ব্যবহার করে যা মেমরিতে কোড লোড এবং এক্সিকিউট করার অনুমতি দেয়।

যদি অপারেশনের ধারাবাহিকতার প্রয়োজন হয়, তাহলে নতুন এক্সিকিউটেবল স্থাপন না করেই স্থায়িত্ব বাস্তবায়ন করা যেতে পারে: রেজিস্ট্রিতে স্টার্টআপ এন্ট্রিWMI সাবস্ক্রিপশন যা সিস্টেম ইভেন্ট বা নির্ধারিত কাজের প্রতি প্রতিক্রিয়া দেখায় যা নির্দিষ্ট পরিস্থিতিতে স্ক্রিপ্টগুলিকে ট্রিগার করে।

বাস্তবায়ন প্রতিষ্ঠিত হওয়ার সাথে সাথে, উদ্দেশ্য নিম্নলিখিত পদক্ষেপগুলি নির্দেশ করে: পার্শ্বীয়ভাবে সরানো, তথ্য অপসারণএর মধ্যে রয়েছে শংসাপত্র চুরি করা, RAT স্থাপন করা, ক্রিপ্টোকারেন্সি মাইনিং করা, অথবা র‍্যানসমওয়্যারের ক্ষেত্রে ফাইল এনক্রিপশন সক্রিয় করা। এই সবই করা হয়, যখনই সম্ভব, বিদ্যমান কার্যকারিতা ব্যবহার করে।

প্রমাণ অপসারণ পরিকল্পনার অংশ: সন্দেহজনক বাইনারি না লিখে, আক্রমণকারী বিশ্লেষণের জন্য নিদর্শনগুলি উল্লেখযোগ্যভাবে হ্রাস করে। স্বাভাবিক ঘটনার মধ্যে তাদের কার্যকলাপ মিশ্রিত করা সিস্টেমের ত্রুটিগুলি দূর করা এবং সম্ভব হলে অস্থায়ী চিহ্নগুলি মুছে ফেলা।

তারা সাধারণত যে কৌশল এবং সরঞ্জামগুলি ব্যবহার করে

ক্যাটালগটি বিস্তৃত, তবে এটি প্রায় সবসময় স্থানীয় ইউটিলিটি এবং বিশ্বস্ত রুটগুলির চারপাশে ঘোরে। এগুলি হল সবচেয়ে সাধারণ কিছু, সর্বদা লক্ষ্য নিয়ে মেমোরির মধ্যে এক্সিকিউশন সর্বাধিক করুন এবং ট্রেসটি অস্পষ্ট করুন:

• শক্তির উৎসশক্তিশালী স্ক্রিপ্টিং, উইন্ডোজ এপিআই-তে অ্যাক্সেস এবং অটোমেশন। এর বহুমুখীতা এটিকে প্রশাসন এবং আক্রমণাত্মক অপব্যবহার উভয়ের জন্যই প্রিয় করে তোলে।
• WMI (উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন)এটি আপনাকে সিস্টেম ইভেন্টগুলিতে জিজ্ঞাসা করতে এবং প্রতিক্রিয়া জানাতে, পাশাপাশি দূরবর্তী এবং স্থানীয় ক্রিয়া সম্পাদন করতে দেয়; এর জন্য দরকারী অধ্যবসায় এবং অর্কেস্ট্রেশন.
• ভিবিএস স্ক্রিপ্ট এবং জেস্ক্রিপ্ট: অনেক পরিবেশে উপস্থিত ইঞ্জিন যা সিস্টেম উপাদানগুলির মাধ্যমে যুক্তি সম্পাদনকে সহজতর করে।
• mshta, rundll32 এবং অন্যান্য বিশ্বস্ত বাইনারি: সুপরিচিত LoLBins, যা সঠিকভাবে সংযুক্ত করা হলে, আর্টিফ্যাক্ট না ফেলে কোড এক্সিকিউট করুন ডিস্কে স্পষ্ট।
• সক্রিয় বিষয়বস্তু সহ নথিঅফিসে ম্যাক্রো বা ডিডিই, সেইসাথে উন্নত বৈশিষ্ট্য সহ পিডিএফ রিডারগুলি মেমরিতে কমান্ড চালু করার জন্য একটি স্প্রিংবোর্ড হিসাবে কাজ করতে পারে।
• উইন্ডোজ রেজিস্ট্রি: সিস্টেম উপাদান দ্বারা সক্রিয় পেলোডের স্ব-বুট কী বা এনক্রিপ্ট করা/লুকানো স্টোরেজ।
• প্রক্রিয়াগুলিতে খিঁচুনি এবং ইনজেকশন: চলমান প্রক্রিয়াগুলির মেমরি স্পেসের পরিবর্তন হোস্ট ম্যালিসিয়াস লজিক একটি বৈধ এক্সিকিউটেবলের মধ্যে।
• অপারেটিং কিট: ভিকটিম সিস্টেমে দুর্বলতা সনাক্তকরণ এবং ডিস্ক স্পর্শ না করেই কার্যকর করার জন্য তৈরি এক্সপ্লয়েট স্থাপন।

কোম্পানিগুলির জন্য চ্যালেঞ্জ (এবং কেন কেবল সবকিছু ব্লক করা যথেষ্ট নয়)

একটি সরল পদ্ধতির মাধ্যমে একটি কঠোর ব্যবস্থা গ্রহণ করা হয়: পাওয়ারশেল ব্লক করা, ম্যাক্রো নিষিদ্ধ করা, rundll32 এর মতো বাইনারি প্রতিরোধ করা। বাস্তবতা আরও সূক্ষ্ম: এই সরঞ্জামগুলির মধ্যে অনেকগুলিই অপরিহার্য। দৈনন্দিন আইটি কার্যক্রম এবং প্রশাসনিক অটোমেশনের জন্য।

এছাড়াও, আক্রমণকারীরা ফাঁকফোকর খোঁজে: স্ক্রিপ্টিং ইঞ্জিনকে অন্য উপায়ে চালানো, বিকল্প কপি ব্যবহার করুনআপনি ছবিতে লজিক প্যাকেজ করতে পারেন অথবা কম নজরদারি করা LoLBins ব্যবহার করতে পারেন। ব্রুট ব্লকিং শেষ পর্যন্ত সম্পূর্ণ প্রতিরক্ষা প্রদান না করেই ঘর্ষণ তৈরি করে।

সম্পূর্ণ সার্ভার-সাইড বা ক্লাউড-ভিত্তিক বিশ্লেষণও সমস্যার সমাধান করে না। সমৃদ্ধ এন্ডপয়েন্ট টেলিমেট্রি ছাড়া এবং এজেন্টের মধ্যেই প্রতিক্রিয়াশীলতাসিদ্ধান্ত দেরিতে আসে এবং প্রতিরোধ সম্ভব নয় কারণ আমাদের বাইরের রায়ের জন্য অপেক্ষা করতে হয়।

ইতিমধ্যে, বাজারের প্রতিবেদনগুলি দীর্ঘদিন ধরে এই অঞ্চলে একটি অত্যন্ত উল্লেখযোগ্য প্রবৃদ্ধির দিকে ইঙ্গিত করেছে, যেখানে শীর্ষে রয়েছে পাওয়ারশেলের অপব্যবহারের প্রচেষ্টা প্রায় দ্বিগুণ হয়েছে স্বল্প সময়ের মধ্যে, যা নিশ্চিত করে যে এটি প্রতিপক্ষদের জন্য একটি পুনরাবৃত্ত এবং লাভজনক কৌশল।

আধুনিক সনাক্তকরণ: ফাইল থেকে আচরণ পর্যন্ত

কে মৃত্যুদণ্ড কার্যকর করে তা গুরুত্বপূর্ণ নয়, বরং কীভাবে এবং কেন তা গুরুত্বপূর্ণ। পর্যবেক্ষণ প্রক্রিয়া আচরণ এবং এর সম্পর্ক এটি নির্ধারক: কমান্ড লাইন, প্রক্রিয়া উত্তরাধিকার, সংবেদনশীল API কল, আউটবাউন্ড সংযোগ, রেজিস্ট্রি পরিবর্তন এবং WMI ইভেন্ট।

এই পদ্ধতিটি ফাঁকি দেওয়ার পৃষ্ঠকে ব্যাপকভাবে হ্রাস করে: এমনকি যদি জড়িত বাইনারিগুলি পরিবর্তিত হয়, আক্রমণের ধরণগুলি পুনরাবৃত্তি হয় (মেমরিতে ডাউনলোড এবং এক্সিকিউট করা স্ক্রিপ্ট, LoLBins এর অপব্যবহার, দোভাষীর আহ্বান ইত্যাদি)। ফাইলের 'পরিচয়' নয়, বরং সেই স্ক্রিপ্ট বিশ্লেষণ করলে সনাক্তকরণ উন্নত হয়।

কার্যকর EDR/XDR প্ল্যাটফর্মগুলি সম্পূর্ণ ঘটনার ইতিহাস পুনর্গঠনের জন্য সংকেতগুলিকে পারস্পরিক সম্পর্কযুক্ত করে, যা সনাক্ত করে মূল কারণ 'প্রকাশিত' প্রক্রিয়াটিকে দোষারোপ করার পরিবর্তে, এই আখ্যানটি কেবল একটি বিচ্ছিন্ন অংশ নয়, বরং সমগ্র প্রবাহকে প্রশমিত করার জন্য সংযুক্তি, ম্যাক্রো, দোভাষী, পেলোড এবং অধ্যবসায়কে সংযুক্ত করে।

কাঠামোর প্রয়োগ যেমন মিটার এটিটি এবং সিকে এটি পর্যবেক্ষণকৃত কৌশল এবং কৌশল (TTP) মানচিত্র তৈরি করতে সাহায্য করে এবং হুমকি শিকারকে আগ্রহের আচরণের দিকে পরিচালিত করে: মৃত্যুদন্ড, অধ্যবসায়, প্রতিরক্ষা ফাঁকি, শংসাপত্র অ্যাক্সেস, আবিষ্কার, পার্শ্বীয় চলাচল এবং বহিষ্কার।

অবশেষে, এন্ডপয়েন্ট রেসপন্স অর্কেস্ট্রেশন তাৎক্ষণিক হতে হবে: ডিভাইসটি আলাদা করুন, শেষ প্রক্রিয়া জড়িত, রেজিস্ট্রি বা টাস্ক শিডিউলারের পরিবর্তনগুলি পূর্বাবস্থায় ফিরিয়ে আনুন এবং বহিরাগত নিশ্চিতকরণের জন্য অপেক্ষা না করে সন্দেহজনক বহির্গামী সংযোগগুলি ব্লক করুন।

দরকারী টেলিমেট্রি: কী দেখতে হবে এবং কীভাবে অগ্রাধিকার দিতে হবে

সিস্টেমকে স্যাচুরেট না করে সনাক্তকরণের সম্ভাবনা বাড়ানোর জন্য, উচ্চ-মানের সংকেতগুলিকে অগ্রাধিকার দেওয়া বাঞ্ছনীয়। কিছু উৎস এবং নিয়ন্ত্রণ যা প্রসঙ্গ প্রদান করে। ফাইললেস এর জন্য গুরুত্বপূর্ণ তারা:

• বিস্তারিত পাওয়ারশেল লগ এবং অন্যান্য দোভাষী: স্ক্রিপ্ট ব্লক লগ, কমান্ড ইতিহাস, লোড করা মডিউল এবং AMSI ইভেন্ট, যখন উপলব্ধ থাকে।
• WMI রিপোজিটরিইভেন্ট ফিল্টার, গ্রাহক এবং লিঙ্ক তৈরি বা পরিবর্তন সম্পর্কিত ইনভেন্টরি এবং সতর্কতা, বিশেষ করে সংবেদনশীল নেমস্পেসে।
• নিরাপত্তা ইভেন্ট এবং সিসমন: প্রক্রিয়া সম্পর্ক, চিত্রের অখণ্ডতা, মেমরি লোডিং, ইনজেকশন এবং নির্ধারিত কাজ তৈরি।
• লাল: অস্বাভাবিক বহির্গামী সংযোগ, বীকনিং, পেলোড ডাউনলোড প্যাটার্ন এবং এক্সফিল্ট্রেশনের জন্য গোপন চ্যানেলের ব্যবহার।

অটোমেশন গমকে তুষ থেকে আলাদা করতে সাহায্য করে: আচরণ-ভিত্তিক সনাক্তকরণের নিয়ম, অনুমতি তালিকা বৈধ প্রশাসন এবং হুমকি গোয়েন্দা তথ্য সমৃদ্ধকরণ মিথ্যা ইতিবাচকতা সীমিত করে এবং প্রতিক্রিয়া ত্বরান্বিত করে।

পৃষ্ঠতলের প্রতিরোধ এবং হ্রাস

কোনও একক ব্যবস্থাই যথেষ্ট নয়, তবে স্তরবদ্ধ প্রতিরক্ষা ঝুঁকি অনেকাংশে হ্রাস করে। প্রতিরোধমূলক দিক থেকে, বেশ কয়েকটি পদক্ষেপ উল্লেখযোগ্য ফসল ভেক্টর এবং প্রতিপক্ষের জীবনকে আরও কঠিন করে তুলুন:

• ম্যাক্রো ব্যবস্থাপনা: ডিফল্টরূপে অক্ষম করুন এবং শুধুমাত্র যখন একেবারে প্রয়োজনীয় এবং স্বাক্ষরিত হয় তখনই অনুমতি দিন; গ্রুপ নীতির মাধ্যমে গ্রানুলার নিয়ন্ত্রণ।
• দোভাষী এবং LoLBins-এর উপর বিধিনিষেধ: AppLocker/WDAC বা সমতুল্য, স্ক্রিপ্ট নিয়ন্ত্রণ এবং এক্সিকিউশন টেমপ্লেট ব্যাপক লগিং সহ প্রয়োগ করুন।
• প্যাচিং এবং প্রশমন: শোষণযোগ্য দুর্বলতাগুলি বন্ধ করুন এবং RCE এবং ইনজেকশনগুলিকে সীমাবদ্ধ করে এমন মেমরি সুরক্ষা সক্রিয় করুন।
• শক্তিশালী প্রমাণীকরণশংসাপত্রের অপব্যবহার রোধে MFA এবং শূন্য বিশ্বাস নীতি এবং পার্শ্বীয় নড়াচড়া কমানো.
• সচেতনতা এবং সিমুলেশনফিশিং, সক্রিয় বিষয়বস্তু সহ নথি এবং অস্বাভাবিক সম্পাদনের লক্ষণ সম্পর্কে ব্যবহারিক প্রশিক্ষণ।

এই পরিমাপগুলি এমন সমাধান দ্বারা পরিপূরক যা ট্র্যাফিক এবং মেমরি বিশ্লেষণ করে রিয়েল টাইমে দূষিত আচরণ সনাক্ত করে, পাশাপাশি বিভাজন নীতি এবং কিছু পিছলে গেলে প্রভাব নিয়ন্ত্রণের জন্য ন্যূনতম সুযোগ-সুবিধা।

কাজ করছে এমন পরিষেবা এবং পদ্ধতি

অনেক শেষ বিন্দু এবং উচ্চ সমালোচনামূলক পরিবেশে, পরিচালিত সনাক্তকরণ এবং প্রতিক্রিয়া পরিষেবাগুলির সাথে ২৪/৭ পর্যবেক্ষণ তারা ঘটনা নিয়ন্ত্রণকে ত্বরান্বিত করতে প্রমাণিত হয়েছে। SOC, EMDR/MDR, এবং EDR/XDR এর সংমিশ্রণ বিশেষজ্ঞ চোখ, সমৃদ্ধ টেলিমেট্রি এবং সমন্বিত প্রতিক্রিয়া ক্ষমতা প্রদান করে।

সবচেয়ে কার্যকর সরবরাহকারীরা আচরণের পরিবর্তনকে অভ্যন্তরীণ করে তুলেছেন: হালকা ওজনের এজেন্ট যা কার্নেল স্তরে কার্যকলাপ সম্পর্কিত করুনতারা সম্পূর্ণ আক্রমণের ইতিহাস পুনর্গঠন করে এবং ক্ষতিকারক চেইন সনাক্ত করলে স্বয়ংক্রিয় প্রশমন প্রয়োগ করে, পরিবর্তনগুলি পূর্বাবস্থায় ফিরিয়ে আনার রোলব্যাক ক্ষমতা সহ।

সমান্তরালভাবে, এন্ডপয়েন্ট সুরক্ষা স্যুট এবং XDR প্ল্যাটফর্মগুলি ওয়ার্কস্টেশন, সার্ভার, পরিচয়, ইমেল এবং ক্লাউড জুড়ে কেন্দ্রীভূত দৃশ্যমানতা এবং হুমকি ব্যবস্থাপনাকে একীভূত করে; লক্ষ্য হল ভেঙে ফেলা আক্রমণের শৃঙ্খল ফাইল জড়িত থাকুক বা না থাকুক।

হুমকি শিকারের জন্য ব্যবহারিক সূচক

যদি আপনাকে অনুসন্ধানের অনুমানকে অগ্রাধিকার দিতে হয়, তাহলে সংকেতগুলিকে একত্রিত করার উপর মনোযোগ দিন: একটি অফিস প্রক্রিয়া যা অস্বাভাবিক পরামিতি সহ একজন দোভাষী চালু করে, WMI সাবস্ক্রিপশন তৈরি একটি ডকুমেন্ট খোলার পর, স্টার্টআপ কীগুলিতে পরিবর্তন আনা হয় এবং তারপরে খারাপ খ্যাতি সম্পন্ন ডোমেনগুলির সাথে সংযোগ স্থাপন করা হয়।

আরেকটি কার্যকর পদ্ধতি হল আপনার পরিবেশ থেকে বেসলাইনের উপর নির্ভর করা: আপনার সার্ভার এবং ওয়ার্কস্টেশনে স্বাভাবিক কী? কোনও বিচ্যুতি (নতুন স্বাক্ষরিত বাইনারিগুলি দোভাষীর পিতামাতা হিসাবে উপস্থিত হচ্ছে, কর্মক্ষমতায় হঠাৎ উত্থান (স্ক্রিপ্ট, অস্পষ্ট কমান্ড স্ট্রিংগুলির) তদন্তের দাবি রাখে।

অবশেষে, স্মৃতি ভুলে যাবেন না: যদি আপনার কাছে চলমান অঞ্চলগুলি পরিদর্শন করার বা স্ন্যাপশট ক্যাপচার করার সরঞ্জাম থাকে, RAM-তে প্রাপ্ত ফলাফল এগুলি ফাইলবিহীন কার্যকলাপের নিশ্চিত প্রমাণ হতে পারে, বিশেষ করে যখন ফাইল সিস্টেমে কোনও শিল্পকর্ম থাকে না।

এই কৌশল, কৌশল এবং নিয়ন্ত্রণের সমন্বয় হুমকি দূর করে না, তবে এটি আপনাকে সময়মতো এটি সনাক্ত করার জন্য আরও ভাল অবস্থানে রাখে। শিকল কেটে ফেলো এবং প্রভাব কমাতে।

যখন এই সবকিছুই বিচক্ষণতার সাথে প্রয়োগ করা হয়—এন্ডপয়েন্ট-সমৃদ্ধ টেলিমেট্রি, আচরণগত পারস্পরিক সম্পর্ক, স্বয়ংক্রিয় প্রতিক্রিয়া এবং নির্বাচনী কঠোরতা—তখন ফাইলবিহীন কৌশলটি তার সুবিধার অনেকটাই হারায়। এবং, যদিও এটি বিকশিত হতে থাকবে, আচরণের উপর মনোযোগ ফাইলের পরিবর্তে, এটি আপনার প্রতিরক্ষার জন্য একটি শক্ত ভিত্তি প্রদান করে যার সাথে এটি বিকশিত হয়।