"স্থায়ী ফাইল ছাড়া ম্যালওয়্যার" কী এবং বিনামূল্যের সরঞ্জাম দিয়ে এটি কীভাবে সনাক্ত করা যায়

চেহারা স্থায়ী ফাইল ছাড়া ম্যালওয়্যার এটি নিরাপত্তা দলগুলির জন্য একটি সত্যিকারের মাথাব্যথার কারণ হয়ে দাঁড়িয়েছে। আমরা ডিস্ক থেকে এক্সিকিউটেবল মুছে ফেলার সময় "ধরা" পড়া সাধারণ ভাইরাসগুলির সাথে মোকাবিলা করছি না, বরং এমন হুমকিগুলির সাথে মোকাবিলা করছি যা মেমরিতে থাকে, বৈধ সিস্টেম সরঞ্জামগুলির অপব্যবহার করে এবং অনেক ক্ষেত্রে, খুব কমই কোনও ব্যবহারযোগ্য ফরেনসিক ট্রেস রেখে যায়।

এই ধরণের আক্রমণ বিশেষ করে উন্নত গোষ্ঠী এবং সাইবার অপরাধীদের মধ্যে জনপ্রিয় হয়ে উঠেছে যারা ঐতিহ্যবাহী অ্যান্টিভাইরাস সফটওয়্যার এড়িয়ে চলা, তথ্য চুরি করা এবং লুকিয়ে থাকা যতদিন সম্ভব। আজ সাইবার নিরাপত্তাকে গুরুত্ব সহকারে নিতে চাওয়া যেকোনো প্রতিষ্ঠানের জন্য এগুলো কীভাবে কাজ করে, কোন কৌশল ব্যবহার করে এবং কীভাবে সেগুলো সনাক্ত করতে হয় তা বোঝা গুরুত্বপূর্ণ।

ফাইললেস ম্যালওয়্যার কী এবং কেন এটি এত উদ্বেগের বিষয়?

যখন আমরা সম্পর্কে কথা বলুন ফাইলহীন ম্যালওয়্যার আমরা বলছি না যে একটি বাইটও জড়িত নয়, বরং দূষিত কোডটি এটি ডিস্কে একটি ক্লাসিক এক্সিকিউটেবল ফাইল হিসাবে সংরক্ষণ করা হয় না। এন্ডপয়েন্ট থেকে। পরিবর্তে, এটি সরাসরি মেমোরিতে চলে অথবা রেজিস্ট্রি, WMI, অথবা নির্ধারিত কাজের মতো কম দৃশ্যমান পাত্রে হোস্ট করা হয়।

অনেক পরিস্থিতিতে, আক্রমণকারী সিস্টেমে ইতিমধ্যে উপস্থিত সরঞ্জামগুলির উপর নির্ভর করে — পাওয়ারশেল, ডাব্লুএমআই, স্ক্রিপ্ট, স্বাক্ষরিত উইন্ডোজ বাইনারি — সরাসরি RAM-তে পেলোড লোড, ডিক্রিপ্ট বা এক্সিকিউট করুনএইভাবে, এটি স্পষ্ট এক্সিকিউটেবলগুলিকে এড়িয়ে যায় যা একটি স্বাক্ষর-ভিত্তিক অ্যান্টিভাইরাস একটি সাধারণ স্ক্যানে সনাক্ত করতে পারে।

তদুপরি, আক্রমণ শৃঙ্খলের কিছু অংশ "ফাইলহীন" হতে পারে এবং অন্য অংশ ফাইল সিস্টেম ব্যবহার করতে পারে, তাই আমরা একাধিক সম্পর্কে কথা বলছি ফাইলহীন কৌশলের বর্ণালী একটি একক ম্যালওয়্যার পরিবারের। সেই কারণেই কোনও একক, বদ্ধ সংজ্ঞা নেই, বরং মেশিনে তাদের প্রভাবের মাত্রার উপর নির্ভর করে বেশ কয়েকটি বিভাগ রয়েছে।

স্থায়ী ফাইল ছাড়া ম্যালওয়্যারের প্রধান বৈশিষ্ট্য

এই হুমকিগুলির একটি প্রধান বৈশিষ্ট্য হল তাদের স্মৃতি-কেন্দ্রিক সম্পাদনক্ষতিকারক কোডটি RAM-তে লোড করা হয় এবং বৈধ প্রক্রিয়ার মধ্যে কার্যকর করা হয়, হার্ড ড্রাইভে একটি স্থিতিশীল ক্ষতিকারক বাইনারি প্রয়োজন হয় না। কিছু ক্ষেত্রে, আরও ভালো ছদ্মবেশের জন্য এটি গুরুত্বপূর্ণ সিস্টেম প্রক্রিয়াগুলিতেও ইনজেক্ট করা হয়।

আরেকটি গুরুত্বপূর্ণ বৈশিষ্ট্য হল অপ্রচলিত অধ্যবসায়অনেক ফাইলবিহীন প্রচারণা সম্পূর্ণরূপে অস্থির এবং রিবুট করার পরে অদৃশ্য হয়ে যায়, কিন্তু অন্যরা রেজিস্ট্রি অটোরান কী, WMI সাবস্ক্রিপশন, নির্ধারিত কাজ বা BITS ব্যবহার করে পুনরায় সক্রিয় করতে সক্ষম হয়, যাতে "দৃশ্যমান" আর্টিফ্যাক্টটি ন্যূনতম থাকে এবং প্রতিবার আসল পেলোড মেমরিতে ফিরে আসে।

এই পদ্ধতির কার্যকারিতা ব্যাপকভাবে হ্রাস করে স্বাক্ষর-ভিত্তিক সনাক্তকরণযেহেতু বিশ্লেষণের জন্য কোনও স্থির এক্সিকিউটেবল নেই, তাই আপনি প্রায়শই যা দেখতে পান তা হল একটি সম্পূর্ণ বৈধ PowerShell.exe, wscript.exe, অথবা mshta.exe, যা সন্দেহজনক পরামিতি বা অস্পষ্ট কন্টেন্ট লোড করার সাথে চালু করা হয়েছে।

অবশেষে, অনেক অভিনেতা ফাইললেস কৌশলগুলিকে অন্যান্য কৌশলের সাথে একত্রিত করে ট্রোজান, র‍্যানসমওয়্যার, অথবা অ্যাডওয়্যারের মতো ম্যালওয়্যারের ধরণ, যার ফলে হাইব্রিড প্রচারণা তৈরি হয় যা উভয় জগতের সেরা (এবং সবচেয়ে খারাপ) মিশ্রণ করে: অধ্যবসায় এবং গোপনীয়তা।

সিস্টেমে তাদের পদচিহ্ন অনুসারে ফাইলবিহীন হুমকির প্রকারভেদ

বেশ কিছু নিরাপত্তা নির্মাতা প্রতিষ্ঠান তারা কম্পিউটারে যে চিহ্ন রেখে যায় তার উপর ভিত্তি করে "ফাইলবিহীন" হুমকিগুলিকে শ্রেণীবদ্ধ করে। এই শ্রেণীবিন্যাস আমাদের বুঝতে সাহায্য করে যে আমরা কী দেখছি এবং কীভাবে এটি তদন্ত করতে হবে।

প্রকার I: কোনও দৃশ্যমান ফাইল কার্যকলাপ নেই

সবচেয়ে গোপনে আমরা এমন ম্যালওয়্যার খুঁজে পাই যা এটি ফাইল সিস্টেমে একেবারে কিছুই লেখে না।উদাহরণস্বরূপ, কোডটি এমন নেটওয়ার্ক প্যাকেটের মাধ্যমে আসে যা একটি দুর্বলতা কাজে লাগায় (যেমন EternalBlue), সরাসরি মেমোরিতে ইনজেক্ট করা হয় এবং রক্ষণাবেক্ষণ করা হয়, উদাহরণস্বরূপ, কার্নেলে একটি ব্যাকডোর হিসাবে (DoublePulsar ছিল একটি প্রতীকী কেস)।

অন্যান্য পরিস্থিতিতে, সংক্রমণটি থাকে BIOS ফার্মওয়্যার, নেটওয়ার্ক কার্ড, USB ডিভাইস, এমনকি CPU-এর মধ্যে থাকা সাবসিস্টেমগুলিওএই ধরণের হুমকি অপারেটিং সিস্টেম পুনরায় ইনস্টল, ডিস্ক ফর্ম্যাটিং এবং এমনকি কিছু সম্পূর্ণ রিবুট থেকেও বেঁচে থাকতে পারে।

সমস্যা হলো, বেশিরভাগ নিরাপত্তা সমাধান তারা ফার্মওয়্যার বা মাইক্রোকোড পরিদর্শন করে না।এবং যদি তা করেও, তবুও প্রতিকার জটিল। সৌভাগ্যবশত, এই কৌশলগুলি সাধারণত অত্যন্ত পরিশীলিত ব্যক্তিদের জন্য সংরক্ষিত থাকে এবং গণ আক্রমণের ক্ষেত্রে এটি আদর্শ নয়।

প্রকার II: ফাইলের পরোক্ষ ব্যবহার

দ্বিতীয় গ্রুপটি হল ডিস্কে সংরক্ষিত স্ট্রাকচারে ক্ষতিকারক কোড ধারণ করেকিন্তু ঐতিহ্যবাহী এক্সিকিউটেবল হিসেবে নয়, বরং এমন রিপোজিটরিতে যেখানে বৈধ এবং ক্ষতিকারক ডেটা মিশ্রিত হয়, সিস্টেমের ক্ষতি না করে পরিষ্কার করা কঠিন।

সাধারণ উদাহরণ হল স্ক্রিপ্টগুলি সংরক্ষিত WMI সংগ্রহস্থল, অস্পষ্ট চেইন রেজিস্ট্রি কী অথবা নির্ধারিত কাজ যা স্পষ্ট ক্ষতিকারক বাইনারি ছাড়াই বিপজ্জনক কমান্ড চালু করে। ম্যালওয়্যার সরাসরি কমান্ড লাইন বা স্ক্রিপ্ট থেকে এই এন্ট্রিগুলি ইনস্টল করতে পারে এবং তারপর কার্যত অদৃশ্য থাকে।

যদিও টেকনিক্যালি কিছু ফাইল জড়িত থাকে (যেখানে উইন্ডোজ WMI রিপোজিটরি বা রেজিস্ট্রি হাইভ সংরক্ষণ করে), ব্যবহারিক উদ্দেশ্যে আমরা কথা বলছি ফাইলবিহীন কার্যকলাপ কারণ এমন কোনও স্পষ্ট এক্সিকিউটেবল নেই যা কেবল কোয়ারেন্টাইনে রাখা যেতে পারে।

প্রকার III: কাজ করার জন্য ফাইলের প্রয়োজন হয়

তৃতীয় ধরণের হুমকির মধ্যে রয়েছে যেগুলি তারা ফাইল ব্যবহার করে, কিন্তু এমনভাবে যা সনাক্তকরণের জন্য খুব একটা কার্যকর নয়।একটি সুপরিচিত উদাহরণ হল Kovter, যা রেজিস্ট্রিতে র‍্যান্ডম এক্সটেনশন নিবন্ধন করে যাতে, যখন সেই এক্সটেনশন সহ একটি ফাইল খোলা হয়, তখন mshta.exe বা অনুরূপ নেটিভ বাইনারি ব্যবহার করে একটি স্ক্রিপ্ট কার্যকর করা হয়।

এই ডিকয় ফাইলগুলিতে অপ্রাসঙ্গিক ডেটা এবং আসল ক্ষতিকারক কোড রয়েছে এটি অন্যান্য রেজিস্ট্রি কী থেকে উদ্ধার করা হয় অথবা অভ্যন্তরীণ সংগ্রহস্থল। যদিও ডিস্কে "কিছু" আছে, তবুও এটিকে আপোষের একটি নির্ভরযোগ্য সূচক হিসাবে ব্যবহার করা সহজ নয়, সরাসরি পরিষ্কারের প্রক্রিয়া হিসাবে তো দূরের কথা।

সর্বাধিক সাধারণ প্রবেশ বাহক এবং সংক্রমণের বিন্দু

পদচিহ্নের শ্রেণীবিভাগের বাইরেও, এটি বোঝা গুরুত্বপূর্ণ যে কীভাবে এখানেই স্থায়ী ফাইল ছাড়া ম্যালওয়্যারের ব্যবহার শুরু হয়। দৈনন্দিন জীবনে, আক্রমণকারীরা প্রায়শই পরিবেশ এবং লক্ষ্যবস্তুর উপর নির্ভর করে বেশ কয়েকটি ভেক্টর একত্রিত করে।

শোষণ এবং দুর্বলতা

সবচেয়ে সরাসরি পথগুলির মধ্যে একটি হল অপব্যবহার রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা ব্রাউজার, প্লাগইন (যেমন ফ্ল্যাশ ব্যাক ইন দ্য ডে), ওয়েব অ্যাপ্লিকেশন, অথবা নেটওয়ার্ক পরিষেবা (SMB, RDP, ইত্যাদি) -এ। এই এক্সপ্লয়েট শেলকোড ইনজেক্ট করে যা সরাসরি ক্ষতিকারক পেলোডকে মেমরিতে ডাউনলোড বা ডিকোড করে।

এই মডেলে, প্রাথমিক ফাইলটি নেটওয়ার্কে থাকতে পারে (শোষণের ধরণ) WannaCryঅথবা এমন একটি নথিতে যা ব্যবহারকারী খোলে, কিন্তু পেলোড কখনই ডিস্কে এক্সিকিউটেবল হিসেবে লেখা হয় না: এটি RAM থেকে তাৎক্ষণিকভাবে ডিক্রিপ্ট এবং কার্যকর করা হয়।

ক্ষতিকারক নথি এবং ম্যাক্রো

আরেকটি ব্যাপকভাবে ব্যবহৃত পথ হল ম্যাক্রো বা DDE সহ অফিস ডকুমেন্টপাশাপাশি পাঠকের দুর্বলতা কাজে লাগানোর জন্য ডিজাইন করা PDF ফাইল। একটি আপাতদৃষ্টিতে ক্ষতিকারক নয় এমন Word বা Excel ফাইলে VBA কোড থাকতে পারে যা PowerShell, WMI, অথবা অন্যান্য দোভাষী চালু করে কোড ডাউনলোড করতে, কমান্ড কার্যকর করতে, অথবা বিশ্বস্ত প্রক্রিয়াগুলিতে শেলকোড ইনজেক্ট করতে।

এখানে ডিস্কের ফাইলটি "শুধুমাত্র" একটি ডেটা ধারক, যখন প্রকৃত ভেক্টর হল অ্যাপ্লিকেশনের অভ্যন্তরীণ স্ক্রিপ্টিং ইঞ্জিনপ্রকৃতপক্ষে, অনেক গণ স্প্যাম প্রচারণা কর্পোরেট নেটওয়ার্কগুলিতে ফাইলবিহীন আক্রমণ স্থাপনের জন্য এই কৌশলটির অপব্যবহার করেছে।

বৈধ লিপি এবং বাইনারি (ভূমির বাইরে বসবাস)

আক্রমণকারীরা উইন্ডোজ ইতিমধ্যেই যে সরঞ্জামগুলি সরবরাহ করে তা পছন্দ করে: পাওয়ারশেল, wscript, cscript, mshta, rundll32, regsvr32উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন, বিআইটিএস ইত্যাদি। এই স্বাক্ষরিত এবং বিশ্বস্ত বাইনারিগুলি সন্দেহজনক "virus.exe" এর প্রয়োজন ছাড়াই স্ক্রিপ্ট, ডিএলএল বা দূরবর্তী সামগ্রী কার্যকর করতে পারে।

ক্ষতিকারক কোডটি পাস করে কমান্ড লাইন প্যারামিটারএটিকে ছবিতে এম্বেড করা, মেমোরিতে এনক্রিপ্ট করা এবং ডিকোড করা, অথবা রেজিস্ট্রিতে সংরক্ষণ করা নিশ্চিত করে যে অ্যান্টিভাইরাস কেবলমাত্র বৈধ প্রক্রিয়া থেকে কার্যকলাপ দেখতে পায়, যা শুধুমাত্র ফাইলের উপর ভিত্তি করে সনাক্তকরণকে অনেক বেশি কঠিন করে তোলে।

ক্ষতিগ্রস্থ হার্ডওয়্যার এবং ফার্মওয়্যার

আরও নিম্ন স্তরে, উন্নত আক্রমণকারীরা অনুপ্রবেশ করতে পারে BIOS ফার্মওয়্যার, নেটওয়ার্ক কার্ড, হার্ড ড্রাইভ, এমনকি CPU ব্যবস্থাপনা সাবসিস্টেম (যেমন Intel ME বা AMT)। এই ধরণের ম্যালওয়্যার অপারেটিং সিস্টেমের নীচে চলে এবং OS-এর অজান্তেই ট্র্যাফিককে বাধা দিতে বা পরিবর্তন করতে পারে।

যদিও এটি একটি চরম পরিস্থিতি, এটি একটি ফাইলবিহীন হুমকি কতটা ভয়াবহ হতে পারে তা চিত্রিত করে OS ফাইল সিস্টেম স্পর্শ না করেই স্থায়িত্ব বজায় রাখুনএবং কেন এই ক্ষেত্রে ক্লাসিক এন্ডপয়েন্ট টুলগুলি কম পড়ে।

স্থায়ী ফাইল ছাড়া ম্যালওয়্যার আক্রমণ কীভাবে কাজ করে

প্রবাহ স্তরে, একটি ফাইলবিহীন আক্রমণ একটি ফাইল-ভিত্তিক আক্রমণের মতোই, তবে এর সাথে প্রাসঙ্গিক পার্থক্য পেলোড কীভাবে বাস্তবায়িত হয় এবং কীভাবে অ্যাক্সেস বজায় রাখা হয়।

১. সিস্টেমে প্রাথমিক অ্যাক্সেস

আক্রমণকারী যখন প্রথম পা রাখে তখনই সবকিছু শুরু হয়: a ক্ষতিকারক লিঙ্ক বা সংযুক্তি সহ ফিশিং ইমেল, একটি দুর্বল অ্যাপ্লিকেশনের বিরুদ্ধে একটি শোষণ, RDP বা VPN এর জন্য চুরি করা শংসাপত্র, এমনকি একটি টেম্পারড USB ডিভাইস।

এই পর্যায়ে, নিম্নলিখিতগুলি ব্যবহার করা হয়: সামাজিক প্রকৌশলক্ষতিকারক পুনঃনির্দেশনা, ক্ষতিকারক প্রচারণা, অথবা ক্ষতিকারক ওয়াই-ফাই আক্রমণের মাধ্যমে ব্যবহারকারীদের প্রতারণা করে যেখানে তাদের উচিত নয় সেখানে ক্লিক করতে বাধ্য করানো অথবা ইন্টারনেটে প্রকাশিত পরিষেবাগুলি কাজে লাগানো।

2. মেমরিতে ক্ষতিকারক কোড কার্যকর করা

প্রথম এন্ট্রিটি অর্জন করার পর, ফাইললেস কম্পোনেন্টটি ট্রিগার হয়: একটি অফিস ম্যাক্রো পাওয়ারশেল চালু করে, একটি এক্সপ্লাইট শেলকোড ইনজেক্ট করে, একটি WMI সাবস্ক্রিপশন একটি স্ক্রিপ্ট ট্রিগার করে, ইত্যাদি। লক্ষ্য হল সরাসরি RAM-তে ক্ষতিকারক কোড লোড করুনহয় ইন্টারনেট থেকে ডাউনলোড করে অথবা এমবেডেড ডেটা থেকে পুনর্গঠন করে।

সেখান থেকে, ম্যালওয়্যারটি সুবিধা বৃদ্ধি করা, পার্শ্বীয়ভাবে স্থানান্তর করা, শংসাপত্র চুরি করা, ওয়েবশেল স্থাপন করা, RAT ইনস্টল করা, অথবা ডেটা এনক্রিপ্ট করাএই সবকিছুই শব্দ কমানোর বৈধ প্রক্রিয়া দ্বারা সমর্থিত।

৩. অধ্যবসায় প্রতিষ্ঠা করা

সাধারণ কৌশলগুলির মধ্যে এইগুলি হল:

• অটোরান কী লগ ইন করার সময় কমান্ড বা স্ক্রিপ্ট চালানোর জন্য রেজিস্ট্রিতে।
• নির্ধারিত কাজ যা স্ক্রিপ্ট, প্যারামিটার সহ বৈধ বাইনারি, অথবা রিমোট কমান্ড চালু করে।
• WMI সাবস্ক্রিপশন নির্দিষ্ট সিস্টেম ইভেন্ট ঘটলে যে কোডটি ট্রিগার করে।
• বিআইটিএস ব্যবহার কমান্ড এবং কন্ট্রোল সার্ভার থেকে পেলোডের পর্যায়ক্রমিক ডাউনলোডের জন্য।

কিছু ক্ষেত্রে, স্থায়ী উপাদানটি ন্যূনতম এবং শুধুমাত্র কাজ করে ম্যালওয়্যারটি মেমরিতে পুনরায় ইনজেক্ট করুন প্রতিবার সিস্টেম শুরু হলে বা একটি নির্দিষ্ট শর্ত পূরণ হলে।

৪. লক্ষ্যবস্তু এবং বহিষ্কারের উপর পদক্ষেপ

দৃঢ়তার সাথে, আক্রমণকারী তার আগ্রহের বিষয়গুলিতে মনোনিবেশ করে: তথ্য চুরি করা, এনক্রিপ্ট করা, সিস্টেমে হেরফের করা, অথবা মাসের পর মাস ধরে গুপ্তচরবৃত্তি করাএক্সফিল্ট্রেশন HTTPS, DNS, গোপন চ্যানেল, অথবা বৈধ পরিষেবার মাধ্যমে করা যেতে পারে। বাস্তব-বিশ্বের ঘটনাগুলিতে, জেনে রাখা হ্যাক হওয়ার পর প্রথম ২৪ ঘন্টায় কী করবেন পার্থক্য করতে পারে।

APT আক্রমণে, ম্যালওয়্যার থাকা সাধারণ বিষয়। দীর্ঘ সময় ধরে নীরব এবং গোপনে, অবকাঠামোর কিছু অংশ সনাক্ত এবং পরিষ্কার করা হলেও অ্যাক্সেস নিশ্চিত করার জন্য অতিরিক্ত পিছনের দরজা তৈরি করা।

ফাইলবিহীন হতে পারে এমন ম্যালওয়্যারের ক্ষমতা এবং প্রকারগুলি

ক্লাসিক ম্যালওয়্যার যে কোনও ক্ষতিকারক ফাংশন সম্পাদন করতে পারে তা এই পদ্ধতি অনুসরণ করে বাস্তবায়িত করা যেতে পারে। ফাইলহীন বা আধা-ফাইলহীনপরিবর্তনগুলি উদ্দেশ্য নয়, বরং কোডটি কীভাবে প্রয়োগ করা হয়েছে তা।

ম্যালওয়্যার কেবল মেমরিতে থাকে

এই বিভাগে পেলোড অন্তর্ভুক্ত রয়েছে যা তারা একচেটিয়াভাবে প্রক্রিয়া বা কার্নেলের স্মৃতিতে বাস করে।আধুনিক রুটকিট, উন্নত ব্যাকডোর, অথবা স্পাইওয়্যার একটি বৈধ প্রক্রিয়ার মেমরি স্পেসে লোড হতে পারে এবং সিস্টেমটি পুনরায় চালু না হওয়া পর্যন্ত সেখানেই থাকতে পারে।

এই উপাদানগুলি ডিস্ক-ভিত্তিক সরঞ্জামগুলির সাহায্যে দেখা বিশেষভাবে কঠিন, এবং ব্যবহার করতে বাধ্য করে লাইভ মেমরি বিশ্লেষণ, রিয়েল-টাইম পরিদর্শন বা উন্নত ফরেনসিক ক্ষমতা সহ EDR।

উইন্ডোজ রেজিস্ট্রি-ভিত্তিক ম্যালওয়্যার

আরেকটি পুনরাবৃত্তিমূলক কৌশল হল সংরক্ষণ করা রেজিস্ট্রি কীগুলিতে এনক্রিপ্ট করা বা অস্পষ্ট কোড এবং মেমরিতে এটি পড়তে, ডিকোড করতে এবং কার্যকর করতে একটি বৈধ বাইনারি (যেমন PowerShell, MSHTA, অথবা rundll32) ব্যবহার করুন।

রেজিস্ট্রিতে লেখার পর প্রাথমিক ড্রপারটি নিজে থেকেই ধ্বংস হয়ে যেতে পারে, তাই যা অবশিষ্ট থাকে তা হল আপাতদৃষ্টিতে ক্ষতিকারক তথ্যের মিশ্রণ যা সিস্টেমটি শুরু হওয়ার সাথে সাথে তারা হুমকি সক্রিয় করে অথবা প্রতিবার একটি নির্দিষ্ট ফাইল খোলার সময়।

র‍্যানসমওয়্যার এবং ফাইললেস ট্রোজান

ফাইললেস পদ্ধতিটি খুব আক্রমণাত্মক লোডিং পদ্ধতির সাথে বেমানান নয় যেমন ransomwareএমন কিছু প্রচারণা আছে যা পাওয়ারশেল বা WMI ব্যবহার করে মেমরিতে সম্পূর্ণ এনক্রিপশন ডাউনলোড, ডিক্রিপ্ট এবং কার্যকর করে, র‍্যানসমওয়্যারটি ডিস্কে এক্সিকিউটেবল না রেখে।

একইভাবে, রিমোট অ্যাক্সেস ট্রোজান (RATs)কীলগার বা ক্রেডেনশিয়াল চোররা আধা-ফাইলবিহীনভাবে কাজ করতে পারে, চাহিদা অনুযায়ী মডিউল লোড করে এবং বৈধ সিস্টেম প্রক্রিয়াগুলিতে মূল যুক্তি হোস্ট করে।

শোষণের সরঞ্জাম এবং চুরি যাওয়া শংসাপত্র

ওয়েব এক্সপ্লাইট কিটগুলি ধাঁধার আরেকটি অংশ: তারা ইনস্টল করা সফ্টওয়্যার সনাক্ত করে, তারা উপযুক্ত এক্সপ্লয়েট নির্বাচন করে এবং পেলোডটি সরাসরি মেমোরিতে ইনজেক্ট করে।, প্রায়শই ডিস্কে কিছু সংরক্ষণ না করেই।

অন্যদিকে, ব্যবহার চুরি করা পরিচয়পত্র এটি এমন একটি ভেক্টর যা ফাইললেস কৌশলগুলির সাথে খুব ভালোভাবে মানানসই: আক্রমণকারী একজন বৈধ ব্যবহারকারী হিসাবে প্রমাণীকরণ করে এবং সেখান থেকে, স্থানীয় প্রশাসনিক সরঞ্জামগুলি (PowerShell Remoting, WMI, PsExec) অপব্যবহার করে স্ক্রিপ্ট এবং কমান্ড স্থাপন করে যা ম্যালওয়্যারের কোনও ক্লাসিক চিহ্ন রাখে না।

ফাইললেস ম্যালওয়্যার সনাক্ত করা এত কঠিন কেন?

অন্তর্নিহিত কারণ হল এই ধরণের হুমকি বিশেষভাবে তৈরি করা হয়েছে যাতে প্রতিরক্ষার ঐতিহ্যবাহী স্তরগুলিকে এড়িয়ে যানস্বাক্ষর, শ্বেত তালিকা এবং পর্যায়ক্রমিক ফাইল স্ক্যানের উপর ভিত্তি করে।

যদি ক্ষতিকারক কোডটি ডিস্কে এক্সিকিউটেবল হিসেবে কখনও সংরক্ষণ না করা হয়, অথবা যদি এটি WMI, রেজিস্ট্রি, অথবা ফার্মওয়্যারের মতো মিশ্র পাত্রে লুকিয়ে থাকে, তাহলে ঐতিহ্যবাহী অ্যান্টিভাইরাস সফ্টওয়্যারের বিশ্লেষণ করার মতো খুব কমই থাকে। একটি "সন্দেহজনক ফাইল" এর পরিবর্তে, আপনার কাছে যা আছে তা হল বৈধ প্রক্রিয়া যা অস্বাভাবিক আচরণ করে.

তদুপরি, এটি পাওয়ারশেল, অফিস ম্যাক্রো, বা WMI এর মতো সরঞ্জামগুলিকে আমূলভাবে ব্লক করে। অনেক প্রতিষ্ঠানে এটি কার্যকর নয়।কারণ এগুলি প্রশাসন, স্বয়ংক্রিয়তা এবং দৈনন্দিন কার্যক্রমের জন্য অপরিহার্য। এটি সমর্থকদের খুব সাবধানতার সাথে পদক্ষেপ নিতে বাধ্য করে।

কিছু বিক্রেতা দ্রুত সমাধানের মাধ্যমে ক্ষতিপূরণ দেওয়ার চেষ্টা করেছেন (জেনেরিক পাওয়ারশেল ব্লকিং, সম্পূর্ণ ম্যাক্রো অক্ষমকরণ, ক্লাউড-অনলি সনাক্তকরণ, ইত্যাদি), কিন্তু এই ব্যবস্থাগুলি সাধারণত অপর্যাপ্ত বা অত্যধিক বিঘ্নকারী ব্যবসার জন্য

ফাইললেস ম্যালওয়্যার সনাক্তকরণ এবং বন্ধ করার জন্য আধুনিক কৌশল

এই হুমকি মোকাবেলা করার জন্য, কেবল ফাইল স্ক্যান করার বাইরে গিয়ে একটি কেন্দ্রীভূত পদ্ধতি গ্রহণ করা প্রয়োজন। আচরণ, রিয়েল-টাইম টেলিমেট্রি এবং গভীর দৃশ্যমানতা চূড়ান্ত বিন্দু থেকে।

আচরণ এবং স্মৃতি পর্যবেক্ষণ

একটি কার্যকর পদ্ধতির মধ্যে রয়েছে প্রক্রিয়াগুলি আসলে কী করে তা পর্যবেক্ষণ করা: তারা কোন কমান্ডগুলি কার্যকর করে, কোন সংস্থানগুলিতে অ্যাক্সেস করে, কোন সংযোগ স্থাপন করেতারা একে অপরের সাথে কীভাবে সম্পর্কিত, ইত্যাদি। যদিও হাজার হাজার ম্যালওয়্যার ভেরিয়েন্ট বিদ্যমান, তবুও দূষিত আচরণের ধরণ অনেক বেশি সীমিত। এটির সাথেও পরিপূরক হতে পারে YARA এর মাধ্যমে উন্নত সনাক্তকরণ.

আধুনিক সমাধানগুলি এই টেলিমেট্রিকে ইন-মেমরি অ্যানালিটিক্স, উন্নত হিউরিস্টিকস এবং স্বয়ংক্রিয় শিক্ষা আক্রমণ শৃঙ্খল সনাক্ত করতে, এমনকি যখন কোডটি খুব বেশি অস্পষ্ট থাকে বা আগে কখনও দেখা না যায়।

AMSI এবং ETW এর মতো সিস্টেম ইন্টারফেসের ব্যবহার

উইন্ডোজ যেমন প্রযুক্তি প্রদান করে অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস (AMSI) y উইন্ডোজের জন্য ইভেন্ট ট্রেসিং (ETW) এই উৎসগুলি খুব নিম্ন স্তরে সিস্টেম স্ক্রিপ্ট এবং ইভেন্টগুলির পরিদর্শনের অনুমতি দেয়। নিরাপত্তা সমাধানগুলিতে এই উৎসগুলিকে একীভূত করলে সনাক্তকরণ সহজ হয়। কার্যকর করার ঠিক আগে বা চলাকালীন ক্ষতিকারক কোড.

এছাড়াও, গুরুত্বপূর্ণ ক্ষেত্রগুলি বিশ্লেষণ করা - নির্ধারিত কাজ, WMI সাবস্ক্রিপশন, বুট রেজিস্ট্রি কী ইত্যাদি - সনাক্ত করতে সাহায্য করে গোপন ফাইলহীন অধ্যবসায় যা একটি সাধারণ ফাইল স্ক্যানের মাধ্যমে অলক্ষিত হতে পারে।

হুমকি অনুসন্ধান এবং আক্রমণের সূচক (IoA)

যেহেতু ক্লাসিক সূচকগুলি (হ্যাশ, ফাইল পাথ) কম পড়ে, তাই নির্ভর করা যুক্তিযুক্ত আক্রমণের সূচক (IoA), যা সন্দেহজনক আচরণ এবং পরিচিত কৌশলের সাথে মানানসই কর্মের ক্রম বর্ণনা করে।

হুমকি শিকারকারী দলগুলি—অভ্যন্তরীণ বা পরিচালিত পরিষেবার মাধ্যমে—সক্রিয়ভাবে অনুসন্ধান করতে পারে পার্শ্বীয় নড়াচড়ার ধরণ, স্থানীয় সরঞ্জামের অপব্যবহার, পাওয়ারশেল ব্যবহারের অসঙ্গতি অথবা সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস, ফাইলবিহীন হুমকিগুলি কোনও বিপর্যয় ঘটানোর আগেই সনাক্ত করা।

EDR, XDR এবং SOC 24/7

আধুনিক প্ল্যাটফর্মগুলি EDR এবং XDR (এন্ডপয়েন্ট ডিটেকশন এবং রেসপন্স অ্যাক্টিভেটেড লেভেলে) প্রথম ফিশিং ইমেল থেকে শুরু করে চূড়ান্ত এক্সফিল্ট্রেশন পর্যন্ত কোনও ঘটনার সম্পূর্ণ ইতিহাস পুনর্গঠনের জন্য প্রয়োজনীয় দৃশ্যমানতা এবং পারস্পরিক সম্পর্ক প্রদান করে।

একটির সাথে মিলিত ২৪/৭ কার্যকরী এসওসিতারা কেবল সনাক্তকরণই নয়, বরং স্বয়ংক্রিয়ভাবে ধারণ এবং প্রতিকার করুন ক্ষতিকারক কার্যকলাপ: কম্পিউটার বিচ্ছিন্ন করা, প্রক্রিয়াগুলি ব্লক করা, রেজিস্ট্রিতে পরিবর্তনগুলি ফিরিয়ে আনা, অথবা সম্ভব হলে এনক্রিপশন পূর্বাবস্থায় ফেরানো।

ফাইললেস ম্যালওয়্যার কৌশলগুলি খেলাটি বদলে দিয়েছে: কেবল একটি অ্যান্টিভাইরাস স্ক্যান চালানো এবং সন্দেহজনক এক্সিকিউটেবল মুছে ফেলা এখন আর যথেষ্ট নয়। আজ, প্রতিরক্ষার মধ্যে রয়েছে মেমরি, রেজিস্ট্রি, WMI, বা ফার্মওয়্যারে কোড লুকিয়ে আক্রমণকারীরা কীভাবে দুর্বলতাগুলিকে কাজে লাগায় তা বোঝা এবং আচরণগত পর্যবেক্ষণ, ইন-মেমরি বিশ্লেষণ, EDR/XDR, হুমকি শিকার এবং সর্বোত্তম অনুশীলনের সংমিশ্রণ স্থাপন করা। বাস্তবিকভাবে প্রভাব কমিয়ে আনুন আক্রমণগুলি, যা নকশা অনুসারে, এমন কোনও চিহ্ন না রেখে চেষ্টা করে যেখানে আরও ঐতিহ্যবাহী সমাধানগুলি দেখা যায়, একটি সামগ্রিক এবং চলমান কৌশলের প্রয়োজন। আপোষের ক্ষেত্রে, জেনে রাখা একটি গুরুতর ভাইরাসের পরে উইন্ডোজ মেরামত করুন অপরিহার্য.