ફાઇલલેસ ફાઇલો ઓળખવી: મેમરીમાં માલવેર શોધવા અને રોકવા માટેની સંપૂર્ણ માર્ગદર્શિકા

ડિસ્ક પર કોઈ નિશાન છોડ્યા વિના કાર્યરત હુમલાઓ ઘણી સુરક્ષા ટીમો માટે માથાનો દુખાવો બની ગયા છે કારણ કે તેઓ સંપૂર્ણપણે મેમરીમાં કાર્ય કરે છે અને કાયદેસર સિસ્ટમ પ્રક્રિયાઓનો ઉપયોગ કરે છે. તેથી જાણવાનું મહત્વ ફાઇલલેસ ફાઇલો કેવી રીતે ઓળખવી અને તેમની સામે પોતાનો બચાવ કરો.

હેડલાઇન્સ અને વલણોથી આગળ, તેઓ કેવી રીતે કાર્ય કરે છે તે સમજવું, તે શા માટે આટલા અગમ્ય છે, અને કયા સંકેતો આપણને તેમને શોધવાની મંજૂરી આપે છે તે ઘટનાને રોકવા અને ઉલ્લંઘનનો અફસોસ કરવા વચ્ચેનો તફાવત બનાવે છે. નીચેની પંક્તિઓમાં, અમે સમસ્યાનું વિશ્લેષણ કરીએ છીએ અને પ્રસ્તાવ મૂકીએ છીએ ઉકેલો.

ફાઇલલેસ માલવેર શું છે અને તે શા માટે મહત્વપૂર્ણ છે?

 

ફાઇલલેસ માલવેર કોઈ ચોક્કસ પરિવાર નથી, પરંતુ ઓપરેટ કરવાની એક રીત છે: એક્ઝેક્યુટેબલ્સને ડિસ્ક પર લખવાનું ટાળો તે દૂષિત કોડ ચલાવવા માટે સિસ્ટમમાં પહેલાથી હાજર સેવાઓ અને બાઈનરીનો ઉપયોગ કરે છે. સરળતાથી સ્કેન કરી શકાય તેવી ફાઇલ છોડવાને બદલે, હુમલાખોર વિશ્વસનીય ઉપયોગિતાઓનો દુરુપયોગ કરે છે અને તેના લોજિકને સીધા RAM માં લોડ કરે છે.

આ અભિગમ ઘણીવાર 'જમીનથી દૂર રહેવું' ફિલસૂફીમાં સમાયેલ છે: હુમલાખોરો સાધન બનાવે છે પાવરશેલ, WMI, mshta, rundll32 જેવા મૂળ સાધનો અથવા VBScript અને JScript જેવા સ્ક્રિપ્ટીંગ એન્જિનનો ઉપયોગ કરીને ઓછામાં ઓછા અવાજ સાથે તેમના લક્ષ્યો પ્રાપ્ત કરી શકાય છે.

તેની સૌથી પ્રતિનિધિ વિશેષતાઓમાં આપણને મળે છે: અસ્થિર મેમરીમાં અમલીકરણ, ડિસ્ક પર થોડી કે બિલકુલ ટકાઉપણું, સિસ્ટમ-સહી કરેલ ઘટકોનો ઉપયોગ અને સહી-આધારિત એન્જિન સામે ઉચ્ચ ચોરી ક્ષમતા.

રીબૂટ કર્યા પછી ઘણા પેલોડ અદૃશ્ય થઈ જાય છે, તેમ છતાં મૂર્ખ ન બનો: વિરોધીઓ દ્રઢતા સ્થાપિત કરી શકે છે ડિસ્ક પર શંકાસ્પદ બાઈનરી છોડ્યા વિના, રજિસ્ટ્રી કી, WMI સબ્સ્ક્રિપ્શન્સ અથવા શેડ્યૂલ કરેલા કાર્યોનો ઉપયોગ કરીને.

ફાઇલલેસ ફાઇલો ઓળખવામાં આપણને આટલી મુશ્કેલી કેમ પડે છે?

પહેલો અવરોધ સ્પષ્ટ છે: તપાસવા માટે કોઈ અસામાન્ય ફાઇલો નથી.જ્યારે અમલ માન્ય પ્રક્રિયાઓમાં રહે છે અને દૂષિત તર્ક મેમરીમાં રહે છે, ત્યારે સહીઓ અને ફાઇલ વિશ્લેષણ પર આધારિત પરંપરાગત એન્ટિવાયરસ પ્રોગ્રામ્સમાં દાવપેચ માટે બહુ ઓછી જગ્યા હોય છે.

બીજું વધુ સૂક્ષ્મ છે: હુમલાખોરો પોતાને પાછળ છુપાવે છે કાયદેસર ઓપરેટિંગ સિસ્ટમ પ્રક્રિયાઓજો પાવરશેલ અથવા WMI નો ઉપયોગ દરરોજ વહીવટ માટે થાય છે, તો સંદર્ભ અને વર્તણૂકીય ટેલિમેટ્રી વિના તમે સામાન્ય ઉપયોગને દુર્ભાવનાપૂર્ણ ઉપયોગથી કેવી રીતે અલગ કરી શકો છો?

વધુમાં, મહત્વપૂર્ણ સાધનોને આંધળાપણે અવરોધિત કરવાનું શક્ય નથી. પાવરશેલ અથવા ઓફિસ મેક્રોને બોર્ડમાં અક્ષમ કરવાથી કામગીરી ખોરવાઈ શકે છે અને તે દુરુપયોગને સંપૂર્ણપણે અટકાવતું નથીકારણ કે સરળ બ્લોક્સને ટાળવા માટે બહુવિધ વૈકલ્પિક અમલીકરણ માર્ગો અને તકનીકો છે.

આ બધા ઉપરાંત, ક્લાઉડ-આધારિત અથવા સર્વર-સાઇડ શોધ સમસ્યાઓ અટકાવવા માટે ખૂબ મોડું છે. સમસ્યામાં રીઅલ-ટાઇમ સ્થાનિક દૃશ્યતા વિના... કમાન્ડ લાઇન્સ, પ્રક્રિયા સંબંધો અને લોગ ઇવેન્ટ્સએજન્ટ ડિસ્ક પર કોઈ નિશાન છોડતા દૂષિત પ્રવાહને તરત જ ઘટાડી શકતો નથી.

ફાઇલલેસ હુમલો શરૂઆતથી અંત સુધી કેવી રીતે કાર્ય કરે છે

પ્રારંભિક પ્રવેશ સામાન્ય રીતે હંમેશની જેમ જ વેક્ટર સાથે થાય છે: ઓફિસ દસ્તાવેજો સાથે ફિશિંગ જે સક્રિય સામગ્રી, ચેડા થયેલી સાઇટ્સની લિંક્સ, ખુલ્લી એપ્લિકેશનોમાં નબળાઈઓનો ઉપયોગ, અથવા RDP અથવા અન્ય સેવાઓ દ્વારા ઍક્સેસ કરવા માટે લીક થયેલા ઓળખપત્રોનો દુરુપયોગ સક્ષમ કરવા માટે કહે છે.

એકવાર અંદર ગયા પછી, વિરોધી ડિસ્કને સ્પર્શ કર્યા વિના ચલાવવાનો પ્રયાસ કરે છે. આ કરવા માટે, તેઓ સિસ્ટમ કાર્યક્ષમતાઓને એકસાથે સાંકળે છે: દસ્તાવેજોમાં મેક્રો અથવા DDE જે આદેશો લોન્ચ કરે છે, RCE માટે ઓવરફ્લોનો ઉપયોગ કરે છે, અથવા વિશ્વસનીય બાઈનરીઓનો ઉપયોગ કરે છે જે મેમરીમાં કોડ લોડ અને એક્ઝિક્યુટ કરવાની મંજૂરી આપે છે.

જો કામગીરીને સાતત્યની જરૂર હોય, તો નવા એક્ઝિક્યુટેબલ્સનો ઉપયોગ કર્યા વિના દ્રઢતાનો અમલ કરી શકાય છે: રજિસ્ટ્રીમાં સ્ટાર્ટઅપ એન્ટ્રીઓWMI સબ્સ્ક્રિપ્શન્સ જે સિસ્ટમ ઇવેન્ટ્સ અથવા સુનિશ્ચિત કાર્યો પર પ્રતિક્રિયા આપે છે જે ચોક્કસ પરિસ્થિતિઓ હેઠળ સ્ક્રિપ્ટ્સને ટ્રિગર કરે છે.

અમલ સ્થાપિત થયા પછી, ઉદ્દેશ્ય નીચેના પગલાં નક્કી કરે છે: બાજુની દિશામાં આગળ વધો, એક્સફિલ્ટ્રેટ ડેટાઆમાં ઓળખપત્રોની ચોરી કરવી, RAT જમાવવું, ક્રિપ્ટોકરન્સીનું ખાણકામ કરવું અથવા રેન્સમવેરના કિસ્સામાં ફાઇલ એન્ક્રિપ્શન સક્રિય કરવું શામેલ છે. આ બધું શક્ય હોય ત્યારે, હાલની કાર્યક્ષમતાઓનો લાભ લઈને કરવામાં આવે છે.

પુરાવા દૂર કરવા એ યોજનાનો એક ભાગ છે: શંકાસ્પદ દ્વિસંગીઓ ન લખીને, હુમલાખોર વિશ્લેષણ કરવા માટેની કલાકૃતિઓને નોંધપાત્ર રીતે ઘટાડે છે. સામાન્ય ઘટનાઓ વચ્ચે તેમની પ્રવૃત્તિનું મિશ્રણ સિસ્ટમના કાર્યો અને શક્ય હોય ત્યારે કામચલાઉ નિશાનો કાઢી નાખવા.

તેઓ સામાન્ય રીતે જે તકનીકો અને સાધનોનો ઉપયોગ કરે છે

આ કેટલોગ વ્યાપક છે, પરંતુ તે લગભગ હંમેશા સ્થાનિક ઉપયોગિતાઓ અને વિશ્વસનીય રૂટ્સની આસપાસ ફરે છે. આ કેટલાક સૌથી સામાન્ય રૂટ્સ છે, હંમેશા ધ્યેય સાથે મેમરીમાં મહત્તમ અમલીકરણ કરો અને ટ્રેસને ઝાંખો કરો:

• પાવરશેલશક્તિશાળી સ્ક્રિપ્ટીંગ, વિન્ડોઝ API ની ઍક્સેસ અને ઓટોમેશન. તેની વૈવિધ્યતાને કારણે તે વહીવટ અને આક્રમક દુરુપયોગ બંને માટે પ્રિય બને છે.
• WMI (વિન્ડોઝ મેનેજમેન્ટ ઇન્સ્ટ્રુમેન્ટેશન)તે તમને સિસ્ટમ ઇવેન્ટ્સને ક્વેરી કરવા અને પ્રતિક્રિયા આપવા, તેમજ દૂરસ્થ અને સ્થાનિક ક્રિયાઓ કરવા માટે પરવાનગી આપે છે; માટે ઉપયોગી દ્રઢતા અને ગોઠવણી.
• VBScript અને JScript: ઘણા વાતાવરણમાં હાજર એન્જિન જે સિસ્ટમ ઘટકો દ્વારા તર્કના અમલીકરણને સરળ બનાવે છે.
• mshta, rundll32 અને અન્ય વિશ્વસનીય બાઈનરીઓ: જાણીતા LoLBins, જે યોગ્ય રીતે જોડાયેલા હોય ત્યારે, આર્ટિફેક્ટ્સ છોડ્યા વિના કોડ એક્ઝિક્યુટ કરો ડિસ્ક પર સ્પષ્ટ દેખાય છે.
• સક્રિય સામગ્રીવાળા દસ્તાવેજોઓફિસમાં મેક્રો અથવા DDE, તેમજ અદ્યતન સુવિધાઓ સાથે PDF રીડર્સ, મેમરીમાં આદેશો લોન્ચ કરવા માટે સ્પ્રિંગબોર્ડ તરીકે સેવા આપી શકે છે.
• વિન્ડોઝ રજિસ્ટ્રી: સિસ્ટમ ઘટકો દ્વારા સક્રિય કરાયેલા પેલોડ્સના સ્વ-બુટ કી અથવા એન્ક્રિપ્ટેડ/છુપાયેલા સ્ટોરેજ.
• પ્રક્રિયાઓમાં જપ્તી અને ઇન્જેક્શન: ચાલી રહેલ પ્રક્રિયાઓની મેમરી સ્પેસમાં ફેરફાર હોસ્ટ દૂષિત તર્ક કાયદેસર એક્ઝિક્યુટેબલની અંદર.
• ઓપરેટિંગ કિટ્સ: પીડિતની સિસ્ટમમાં નબળાઈઓની શોધ અને ડિસ્કને સ્પર્શ કર્યા વિના અમલ પ્રાપ્ત કરવા માટે અનુરૂપ શોષણોનો ઉપયોગ.

કંપનીઓ માટે પડકાર (અને શા માટે ફક્ત બધું જ અવરોધિત કરવું પૂરતું નથી)

એક સરળ અભિગમ એક કઠોર પગલાં સૂચવે છે: પાવરશેલને અવરોધિત કરવું, મેક્રોને પ્રતિબંધિત કરવું, rundll32 જેવા બાયનરીઝને અટકાવવા. વાસ્તવિકતા વધુ સૂક્ષ્મ છે: તેમાંથી ઘણા સાધનો આવશ્યક છે. દૈનિક આઇટી કામગીરી અને વહીવટી ઓટોમેશન માટે.

વધુમાં, હુમલાખોરો છટકબારીઓ શોધે છે: સ્ક્રિપ્ટીંગ એન્જિનને અન્ય રીતે ચલાવવું, વૈકલ્પિક નકલોનો ઉપયોગ કરોતમે છબીઓમાં તર્ક પેક કરી શકો છો અથવા ઓછા મોનિટર થયેલા LoLBins નો આશરો લઈ શકો છો. બ્રુટ બ્લોકિંગ આખરે સંપૂર્ણ બચાવ કર્યા વિના ઘર્ષણ પેદા કરે છે.

સંપૂર્ણપણે સર્વર-સાઇડ અથવા ક્લાઉડ-આધારિત વિશ્લેષણ પણ સમસ્યાનું નિરાકરણ લાવતું નથી. સમૃદ્ધ એન્ડપોઇન્ટ ટેલિમેટ્રી વિના અને એજન્ટમાં જ પ્રતિભાવશીલતાનિર્ણય મોડો આવે છે અને નિવારણ શક્ય નથી કારણ કે આપણે બાહ્ય ચુકાદાની રાહ જોવી પડે છે.

દરમિયાન, બજારના અહેવાલો લાંબા સમયથી આ ક્ષેત્રમાં ખૂબ જ નોંધપાત્ર વૃદ્ધિ તરફ નિર્દેશ કરે છે, જ્યાં ટોચ પર પાવરશેલનો દુરુપયોગ કરવાના પ્રયાસો લગભગ બમણા થયા ટૂંકા ગાળામાં, જે પુષ્ટિ કરે છે કે તે વિરોધીઓ માટે પુનરાવર્તિત અને નફાકારક યુક્તિ છે.

આધુનિક શોધ: ફાઇલથી વર્તન સુધી

મુખ્ય વાત એ નથી કે કોણ અમલ કરે છે, પરંતુ કેવી રીતે અને શા માટે. દેખરેખ રાખવી પ્રક્રિયા વર્તન અને તેના સંબંધો તે નિર્ણાયક છે: કમાન્ડ લાઇન, પ્રક્રિયા વારસો, સંવેદનશીલ API કોલ્સ, આઉટબાઉન્ડ કનેક્શન્સ, રજિસ્ટ્રી ફેરફારો અને WMI ઇવેન્ટ્સ.

આ અભિગમ ચોરીની સપાટીને ભારે ઘટાડે છે: જો સામેલ દ્વિસંગીઓ બદલાય તો પણ, હુમલાના દાખલાઓ પુનરાવર્તિત થાય છે (સ્મૃતિમાં ડાઉનલોડ અને એક્ઝિક્યુટ કરતી સ્ક્રિપ્ટો, LoLBins નો દુરુપયોગ, દુભાષિયાઓનો ઉપયોગ, વગેરે). ફાઇલની 'ઓળખ' નહીં, પરંતુ તે સ્ક્રિપ્ટનું વિશ્લેષણ કરવાથી શોધમાં સુધારો થાય છે.

અસરકારક EDR/XDR પ્લેટફોર્મ સંપૂર્ણ ઘટના ઇતિહાસનું પુનર્નિર્માણ કરવા માટે સિગ્નલોને સહસંબંધિત કરે છે, જે ઓળખે છે મૂળભૂત કારણ 'દેખાતી' પ્રક્રિયાને દોષ આપવાને બદલે, આ વાર્તા જોડાણો, મેક્રો, દુભાષિયા, પેલોડ્સ અને દ્રઢતાને જોડીને સમગ્ર પ્રવાહને ઓછો કરે છે, ફક્ત એક અલગ ભાગને નહીં.

જેવા માળખાનો ઉપયોગ MITER AT&CK તે અવલોકન કરાયેલ યુક્તિઓ અને તકનીકો (TTPs) ને નકશા બનાવવામાં મદદ કરે છે અને રુચિના વર્તણૂકો તરફ ધમકી શિકારને માર્ગદર્શન આપે છે: અમલ, દ્રઢતા, સંરક્ષણ ચોરી, ઓળખપત્ર ઍક્સેસ, શોધ, બાજુની ગતિ અને બહાર નીકળવું.

છેલ્લે, એન્ડપોઇન્ટ રિસ્પોન્સ ઓર્કેસ્ટ્રેશન તાત્કાલિક હોવું જોઈએ: ઉપકરણને અલગ કરો, અંતિમ પ્રક્રિયાઓ સામેલ, રજિસ્ટ્રી અથવા ટાસ્ક શેડ્યૂલરમાં ફેરફારોને ઉલટાવી દો અને બાહ્ય પુષ્ટિકરણની રાહ જોયા વિના શંકાસ્પદ આઉટગોઇંગ કનેક્શન્સને અવરોધિત કરો.

ઉપયોગી ટેલિમેટ્રી: શું જોવું અને કેવી રીતે પ્રાથમિકતા આપવી

સિસ્ટમને સંતૃપ્ત કર્યા વિના શોધની સંભાવના વધારવા માટે, ઉચ્ચ-મૂલ્યના સંકેતોને પ્રાથમિકતા આપવાની સલાહ આપવામાં આવે છે. કેટલાક સ્ત્રોતો અને નિયંત્રણો જે સંદર્ભ પ્રદાન કરે છે. ફાઇલલેસ માટે મહત્વપૂર્ણ તે છે:

• વિગતવાર પાવરશેલ લોગ અને અન્ય દુભાષિયા: સ્ક્રિપ્ટ બ્લોક લોગ, કમાન્ડ ઇતિહાસ, લોડેડ મોડ્યુલ્સ અને AMSI ઇવેન્ટ્સ, જ્યારે ઉપલબ્ધ હોય ત્યારે.
• WMI રિપોઝીટરીખાસ કરીને સંવેદનશીલ નેમસ્પેસમાં ઇવેન્ટ ફિલ્ટર્સ, ગ્રાહકો અને લિંક્સના નિર્માણ અથવા ફેરફાર અંગે ઇન્વેન્ટરી અને ચેતવણી.
• સુરક્ષા ઘટનાઓ અને સિસ્મોન: પ્રક્રિયા સહસંબંધ, છબી અખંડિતતા, મેમરી લોડિંગ, ઇન્જેક્શન, અને સુનિશ્ચિત કાર્યોનું નિર્માણ.
• Red: અસામાન્ય આઉટબાઉન્ડ કનેક્શન્સ, બીકનિંગ, પેલોડ ડાઉનલોડ પેટર્ન અને એક્સફિલ્ટ્રેશન માટે ગુપ્ત ચેનલોનો ઉપયોગ.

ઓટોમેશન ઘઉંને ભૂસાથી અલગ કરવામાં મદદ કરે છે: વર્તન-આધારિત શોધ નિયમો, માટે પરવાનગી યાદીઓ કાયદેસર વહીવટ અને ધમકીની ગુપ્ત માહિતી સાથે સંવર્ધન ખોટા હકારાત્મકતાને મર્યાદિત કરે છે અને પ્રતિભાવને વેગ આપે છે.

સપાટીનું નિવારણ અને ઘટાડો

કોઈ એક જ પગલું પૂરતું નથી, પરંતુ સ્તરીય સંરક્ષણ જોખમને ઘણું ઘટાડે છે. નિવારક બાજુએ, પગલાંની ઘણી રેખાઓ અલગ પડે છે પાક વેક્ટર અને વિરોધી માટે જીવન વધુ મુશ્કેલ બનાવો:

• મેક્રો મેનેજમેન્ટ: ડિફૉલ્ટ રૂપે અક્ષમ કરો અને જ્યારે એકદમ જરૂરી અને સહી થયેલ હોય ત્યારે જ મંજૂરી આપો; જૂથ નીતિઓ દ્વારા દાણાદાર નિયંત્રણો.
• દુભાષિયા અને LoLBins પર પ્રતિબંધ: વ્યાપક લોગિંગ સાથે એપલોકર/ડબલ્યુડીએસી અથવા સમકક્ષ, સ્ક્રિપ્ટ્સનું નિયંત્રણ અને એક્ઝેક્યુશન ટેમ્પ્લેટ્સ લાગુ કરો.
• પેચિંગ અને શમન: શોષણ કરી શકાય તેવી નબળાઈઓને બંધ કરો અને RCE અને ઇન્જેક્શનને મર્યાદિત કરતી મેમરી સુરક્ષાને સક્રિય કરો.
• મજબૂત પ્રમાણીકરણઓળખપત્રના દુરુપયોગને રોકવા માટે MFA અને શૂન્ય ટ્રસ્ટ સિદ્ધાંતો અને બાજુની ગતિશીલતા ઘટાડવી.
• જાગૃતિ અને સિમ્યુલેશનફિશિંગ, સક્રિય સામગ્રીવાળા દસ્તાવેજો અને અસામાન્ય અમલીકરણના સંકેતો પર વ્યવહારુ તાલીમ.

આ પગલાં એવા ઉકેલો દ્વારા પૂરક છે જે વાસ્તવિક સમયમાં દૂષિત વર્તનને ઓળખવા માટે ટ્રાફિક અને મેમરીનું વિશ્લેષણ કરે છે, તેમજ વિભાજન નીતિઓ અને જ્યારે કંઈક લપસી જાય ત્યારે અસરને રોકવા માટે ન્યૂનતમ વિશેષાધિકારો.

કાર્યરત સેવાઓ અને અભિગમો

ઘણા અંતિમ બિંદુઓ અને ઉચ્ચ ક્રિટિકલિટીવાળા વાતાવરણમાં, સંચાલિત શોધ અને પ્રતિભાવ સેવાઓ સાથે 24/7 દેખરેખ તેઓ ઘટના નિયંત્રણને વેગ આપવા માટે સાબિત થયા છે. SOC, EMDR/MDR, અને EDR/XDR નું સંયોજન નિષ્ણાત આંખો, સમૃદ્ધ ટેલિમેટ્રી અને સંકલિત પ્રતિભાવ ક્ષમતાઓ પ્રદાન કરે છે.

સૌથી અસરકારક પ્રદાતાઓએ વર્તન તરફના પરિવર્તનને આંતરિક બનાવ્યું છે: હળવા વજનના એજન્ટો જે કર્નલ સ્તરે પ્રવૃત્તિને સહસંબંધિત કરોતેઓ સંપૂર્ણ હુમલાના ઇતિહાસનું પુનર્નિર્માણ કરે છે અને જ્યારે તેઓ દૂષિત સાંકળો શોધે છે ત્યારે સ્વચાલિત શમન લાગુ કરે છે, જેમાં ફેરફારોને પૂર્વવત્ કરવાની રોલબેક ક્ષમતા હોય છે.

સમાંતર રીતે, એન્ડપોઇન્ટ પ્રોટેક્શન સ્યુટ્સ અને XDR પ્લેટફોર્મ વર્કસ્ટેશન, સર્વર્સ, ઓળખ, ઇમેઇલ અને ક્લાઉડમાં કેન્દ્રિય દૃશ્યતા અને ધમકી વ્યવસ્થાપનને એકીકૃત કરે છે; ધ્યેય એ છે કે તેને તોડી પાડવામાં આવે. હુમલાની સાંકળ ફાઇલો સામેલ છે કે નહીં તે ધ્યાનમાં લીધા વિના.

ધમકીના શિકાર માટે વ્યવહારુ સૂચકાંકો

જો તમારે શોધ પૂર્વધારણાઓને પ્રાથમિકતા આપવી હોય, તો સંકેતોને જોડવા પર ધ્યાન કેન્દ્રિત કરો: એક ઓફિસ પ્રક્રિયા જે અસામાન્ય પરિમાણો સાથે દુભાષિયા શરૂ કરે છે, WMI સબ્સ્ક્રિપ્શન બનાવટ દસ્તાવેજ ખોલ્યા પછી, સ્ટાર્ટઅપ કીમાં ફેરફાર કરવામાં આવે છે અને ત્યારબાદ નબળી પ્રતિષ્ઠાવાળા ડોમેન સાથે જોડાણ કરવામાં આવે છે.

બીજો અસરકારક અભિગમ એ છે કે તમારા પર્યાવરણમાંથી બેઝલાઇન પર આધાર રાખવો: તમારા સર્વર્સ અને વર્કસ્ટેશન પર શું સામાન્ય છે? કોઈપણ વિચલન (નવા સહી કરેલા દ્વિસંગીઓ જે દુભાષિયાના માતાપિતા તરીકે દેખાય છે, પ્રદર્શનમાં અચાનક વધારો (સ્ક્રિપ્ટો, અસ્પષ્ટતાવાળા કમાન્ડ સ્ટ્રિંગ્સ) તપાસને પાત્ર છે.

છેલ્લે, મેમરી ભૂલશો નહીં: જો તમારી પાસે એવા સાધનો છે જે ચાલી રહેલા પ્રદેશોનું નિરીક્ષણ કરે છે અથવા સ્નેપશોટ કેપ્ચર કરે છે, RAM માં તારણો તેઓ ફાઇલલેસ પ્રવૃત્તિનો ચોક્કસ પુરાવો હોઈ શકે છે, ખાસ કરીને જ્યારે ફાઇલ સિસ્ટમમાં કોઈ કલાકૃતિઓ ન હોય.

આ યુક્તિઓ, તકનીકો અને નિયંત્રણોનું સંયોજન ખતરાને દૂર કરતું નથી, પરંતુ તે તમને સમયસર તેને શોધવા માટે વધુ સારી સ્થિતિમાં મૂકે છે. સાંકળ કાપો અને અસર ઓછી કરો.

જ્યારે આ બધું સમજદારીપૂર્વક લાગુ કરવામાં આવે છે - એન્ડપોઇન્ટ-સમૃદ્ધ ટેલિમેટ્રી, વર્તણૂકીય સહસંબંધ, સ્વચાલિત પ્રતિભાવ અને પસંદગીયુક્ત સખ્તાઇ - ત્યારે ફાઇલલેસ યુક્તિ તેના મોટા ભાગના ફાયદા ગુમાવે છે. અને, જોકે તે વિકસિત થવાનું ચાલુ રાખશે, વર્તન પર ધ્યાન કેન્દ્રિત કરો ફાઇલો કરતાં, તે તમારા બચાવને તેની સાથે વિકસિત કરવા માટે એક મજબૂત પાયો પૂરો પાડે છે.