- malware maras fayil yana rayuwa a cikin ƙwaƙwalwar ajiya kuma yana cin zarafin halaltattun kayan aikin (PowerShell, WMI, LoLBins), yana mai da wahalar ganowa dangane da fayiloli.
- Makullin shine saka idanu akan halaye: alaƙar tsari, layin umarni, Registry, WMI da cibiyar sadarwa, tare da amsa nan take a ƙarshen ƙarshen.
- Ƙaƙƙarfan tsaro ya haɗu da ƙuntatawa mai fassara, sarrafa macro, faci, MFA da EDR/XDR tare da wadataccen telemetry da 24/7 SOC.
Hare-haren da ke aiki ba tare da barin wata alama akan faifai ba sun zama babban ciwon kai ga ƙungiyoyin tsaro da yawa saboda suna aiwatar da su gaba ɗaya a cikin ƙwaƙwalwar ajiya kuma suna amfani da halaltaccen tsarin tsarin. Don haka mahimmancin sani yadda ake gano fayilolin marasa fayil kuma su kare kansu daga gare su.
Bayan kanun labarai da abubuwan da ke faruwa, fahimtar yadda suke aiki, dalilin da yasa suke da wuyar fahimta, da kuma waɗanne alamomi ne ke ba mu damar gano su ya haifar da bambanci tsakanin ƙunshi abin da ya faru da nadamar warwarewa. A cikin layi na gaba, muna nazarin matsalar kuma muna ba da shawara mafita.
Menene malware marasa fayil kuma me yasa yake da mahimmanci?
malware mara fayil ba takamaiman iyali bane, amma hanya ce ta aiki: Guji rubuta abubuwan aiwatarwa zuwa faifai Yana amfani da ayyuka da binaries da suka riga sun kasance a cikin tsarin don aiwatar da lamba mara kyau. Maimakon barin fayil ɗin da za a iya dubawa cikin sauƙi, maharin yana cin zarafin amintattun kayan aiki kuma yana ɗaukar dabarunsa kai tsaye zuwa RAM.
Wannan hanya sau da yawa tana tattare da falsafar 'Rayuwa Kashe Ƙasa': maharan sun yi amfani da kayan aiki. kayan aikin asali kamar PowerShell, WMI, mshta, rundll32 ko injunan rubutun kamar VBScript da JScript don cimma burinsu tare da ƙaramar hayaniya.
Daga cikin mafi yawan wakilansa muna samun: kisa a cikin ƙwaƙwalwar ajiya maras tabbas, kadan ko babu nacewa akan faifai, yin amfani da abubuwan da aka sanya hannu akan tsarin da babban ƙarfin gujewa daga injunan tushen sa hannu.
Ko da yake yawancin abubuwan biya suna ɓacewa bayan sake yi, kar a yaudare ku: abokan gaba za su iya kafa dagewa ta hanyar yin amfani da maɓallan Registry, biyan kuɗin WMI, ko ayyukan da aka tsara, duk ba tare da barin binaries masu shakka akan faifai ba.
Me yasa muke samun wahalar gano fayilolin marasa fayil?
Shamaki na farko a bayyane yake: Babu fayiloli mara kyau don dubawaShirye-shiryen riga-kafi na al'ada dangane da sa hannu da bincike na fayil ba su da ɗan ɗaki don motsawa yayin aiwatar da aiwatarwa a cikin ingantattun matakai da dabaru na ƙeta suna zaune a ƙwaƙwalwar ajiya.
Na biyu ya fi dabara: maharan sun kama kansu a baya halaltaccen tsarin tafiyar da tsarin aikiIdan ana amfani da PowerShell ko WMI kowace rana don gudanarwa, ta yaya za ku iya bambanta amfani na yau da kullun daga amfani da mugunta ba tare da mahallin mahalli da na'urar wayar salula ba?
Bugu da ƙari, toshe kayan aiki masu mahimmanci a makance ba abu ne mai yiwuwa ba. Kashe PowerShell ko Macros Office a duk faɗin hukumar na iya karya ayyuka da Ba ya hana cin zarafi gaba ɗayasaboda akwai hanyoyi daban-daban na kisa da dabaru don kewaya sassa masu sauƙi.
Don kashe shi duka, tushen girgije ko gano gefen uwar garken ya makara don hana matsaloli. Ba tare da ganin ainihin lokaci na gida cikin batun ba... layin umarni, aiwatar da alaƙa, da abubuwan logWakilin ba zai iya ragewa a kan gardama ba tare da ƙeta ba wanda bai bar wata alama akan faifai ba.
Yadda harin marasa fayil ke aiki daga farko zuwa ƙarshe
Samun shiga na farko yawanci yana faruwa tare da vector iri ɗaya kamar koyaushe: phishing tare da takardun ofis wanda ke neman ba da damar abun ciki mai aiki, hanyoyin haɗi zuwa wuraren da aka lalata, yin amfani da lahani a cikin aikace-aikacen da aka fallasa, ko cin zarafin bayanan sirri don samun dama ta hanyar RDP ko wasu ayyuka.
Da zarar ciki, abokin hamayyar yana neman aiwatarwa ba tare da taɓa diski ba. Don yin wannan, suna haɗa haɗin aikin tsarin aiki: macros ko DDE a cikin takardu waɗanda ke ƙaddamar da umarni, yin amfani da ambaliya don RCE, ko kiran amintattun binaries waɗanda ke ba da damar lodawa da aiwatar da lamba a ƙwaƙwalwar ajiya.
Idan aikin yana buƙatar ci gaba, ana iya aiwatar da dagewa ba tare da tura sabbin masu aiwatarwa ba: shigarwar farawa a cikin RegistryBiyan kuɗi na WMI waɗanda ke amsa ga al'amuran tsarin ko tsara ayyuka waɗanda ke haifar da rubutun ƙarƙashin wasu sharuɗɗa.
Tare da kafa kisa, makasudin yana ƙulla matakai masu zuwa: matsawa a kaikaice, exfiltrate dataWannan ya haɗa da satar takaddun shaida, tura RAT, ma'adinan cryptocurrencies, ko kunna ɓoyayyen fayil a cikin yanayin ransomware. Ana yin duk wannan, idan ya yiwu, ta hanyar amfani da ayyukan da ke akwai.
Cire shaida wani ɓangare ne na shirin: ta hanyar rashin rubuta binaries masu tuhuma, maharin yana rage yawan kayan tarihi da za a bincika. hada ayyukansu tsakanin al'amuran al'ada na tsarin da kuma share alamun wucin gadi idan zai yiwu.
Dabaru da kayan aikin da suka saba amfani da su
Katalogin yana da yawa, amma kusan koyaushe yana ta'allaka ne akan abubuwan amfani na asali da amintattun hanyoyin. Waɗannan su ne wasu daga cikin waɗanda aka fi sani, koyaushe tare da manufar ƙara yawan aiwatar da ƙwaƙwalwar ajiya kuma blur alamar:
- PowerShellƘarfin rubutun, samun dama ga Windows APIs, da aiki da kai. Ƙwararren sa ya sa ya zama abin da aka fi so don gudanarwa da kuma cin zarafi.
- WMI (Kayan Gudanar da Windows)Yana ba ku damar yin tambaya da amsa ga al'amuran tsarin, da kuma yin ayyukan nesa da na gida; mai amfani ga dagewa da makada.
- VBScript da JScript: injuna suna samuwa a wurare da yawa waɗanda ke sauƙaƙe aiwatar da dabaru ta hanyar sassan tsarin.
- mshta, rundll32 da sauran amintattun binaries: sanannun LoLBins waɗanda, idan an haɗa su da kyau, zasu iya aiwatar da code ba tare da zubar da kayan tarihi ba bayyana akan faifai.
- Takaddun bayanai tare da abun ciki mai aikiMacros ko DDE a cikin Office, da kuma masu karanta PDF tare da abubuwan ci gaba, na iya aiki azaman allo don ƙaddamar da umarni a cikin ƙwaƙwalwar ajiya.
- Rajista na Windows: maɓallan boot ɗin kai ko rufaffen/ɓoye ajiyar kayan biya waɗanda aka kunna ta tsarin tsarin.
- Kamewa da allura cikin matakai: gyaggyarawa sararin žwažwalwar ajiya na tafiyar matakai don rundunar malicious dabaru a cikin halaltaccen zartarwa.
- Kayan aiki: gano lahani a cikin tsarin wanda aka azabtar da kuma tura abubuwan da aka keɓance don cimma kisa ba tare da taɓa faifai ba.
Kalubalen ga kamfanoni (kuma me yasa kawai toshe komai bai isa ba)
Hanyar butulci tana nuna tsattsauran ma'auni: toshe PowerShell, hana macros, hana binaries kamar rundll32. Gaskiyar ta fi karkata: Yawancin waɗannan kayan aikin suna da mahimmanci. don ayyukan IT na yau da kullun da don sarrafa kansa.
Bugu da ƙari, maharan suna neman maɗaukaki: gudanar da injin rubutun ta wasu hanyoyi, yi amfani da madadin kwafiKuna iya tattara dabaru a cikin hotuna ko kuma neman LoLBins marasa kulawa. Toshewa a ƙarshe yana haifar da rikici ba tare da samar da cikakken tsaro ba.
Keɓaɓɓen ɓangaren uwar garken ko bincike na tushen gajimare ba zai magance matsalar ba. Ba tare da wadataccen telemetry na ƙarshen ƙarshen ba kuma ba tare da amsawa a cikin wakili kantaShawarar ta zo a makare kuma rigakafin ba zai yuwu ba saboda dole ne mu jira hukuncin waje.
A halin yanzu, rahotannin kasuwa sun dade suna nuna babban ci gaba a wannan yanki, tare da kololuwa inda Ƙoƙarin cin zarafin PowerShell ya kusan ninka sau biyu a cikin gajeren lokaci, wanda ke tabbatar da cewa dabara ce mai maimaitawa kuma mai riba ga abokan gaba.
Gano zamani: daga fayil zuwa hali
Makullin ba wanda yake aiwatarwa ba, amma ta yaya kuma me yasa. Kulawa da dabi'un tsari da alakar sa Yana da yanke hukunci: layin umarni, gadon tsari, kiran API masu mahimmanci, haɗin waje, gyare-gyaren rajista, da abubuwan WMI.
Wannan dabarar tana rage ɓacin rai sosai: ko da binaries da suka shafi canji, da ana maimaita tsarin harin (rubutun da ke saukewa da aiwatarwa a ƙwaƙwalwar ajiya, cin zarafin LoLBins, kiran masu fassara, da sauransu). Yin nazarin rubutun, ba 'ainihin' fayil ɗin ba, yana inganta ganowa.
Ingantattun dandamali na EDR/XDR suna daidaita sigina don sake gina cikakken tarihin abin da ya faru, gano tushen dalili Maimakon zargi tsarin da ya 'nuna', wannan labarin ya haɗu da haɗe-haɗe, macros, masu fassara, abubuwan da aka biya, da kuma dagewa don rage yawan kwararar, ba kawai yanki ba.
Aiwatar da tsarin kamar MITER ATT & CK Yana taimakawa taswira da aka lura da dabaru da dabaru (TTPs) da jagorar farautar barazanar farauta zuwa halayen sha'awa: kisa, dagewa, gujewa tsaro, samun fa'ida, ganowa, motsi ta gefe da fiɗa.
A ƙarshe, ƙungiyar makaɗa ta mayar da martani dole ne ta kasance nan take: ware na'urar, karshen tafiyar matakai da hannu, maido da canje-canje a cikin Registry ko mai tsara ɗawainiya da toshe hanyoyin haɗin da ake tuhuma ba tare da jiran tabbaci na waje ba.
Telemetry mai amfani: abin da za a duba da yadda ake ba da fifiko
Don ƙara yiwuwar ganowa ba tare da daidaita tsarin ba, yana da kyau a ba da fifikon sigina masu daraja. Wasu tushe da sarrafawa waɗanda ke ba da mahallin mahallin. m ga rashin fayil Su ne:
- Cikakken Login PowerShell da sauran masu fassarori: rubutun toshe log, tarihin umarni, ɗorawa da kayan aiki, da abubuwan AMSI, idan akwai.
- Wurin ajiya na WMIƘirƙiri da faɗakarwa game da ƙirƙira ko gyara abubuwan tacewa, masu amfani, da hanyoyin haɗin gwiwa, musamman a cikin wuraren sunaye masu mahimmanci.
- Abubuwan tsaro da Symmon: tsarin daidaitawa, mutuncin hoto, ƙaddamar da ƙwaƙwalwar ajiya, allura, da ƙirƙirar ayyukan da aka tsara.
- Red: hanyoyin haɗin waje mara kyau, taswira, tsarin zazzage kayan aiki, da amfani da tashoshi masu ɓoye don haɓakawa.
Yin aiki da kai yana taimakawa raba alkama daga ƙanƙara: ƙa'idodin gano ɗabi'a, jerin izini don halattaccen gudanarwa kuma wadatar da bayanan barazanar yana iyakance abubuwan da ba daidai ba kuma yana hanzarta amsawa.
Rigakafin da raguwar farfajiya
Babu ma'auni guda ɗaya da ya isa, amma kariya mai laushi yana rage haɗari sosai. A gefen rigakafin, layukan ayyuka da yawa sun tsaya amfanin gona vectors da kuma sanya rayuwa ta fi wahala ga abokan gaba.
- Macro management: musaki ta tsohuwa kuma ba da izini kawai idan ya zama dole kuma an sanya hannu; granular controls via kungiyar manufofin.
- Ƙuntata masu fassara da LoLBinsAiwatar da AppLocker/WDAC ko makamancin haka, sarrafa rubutun da samfuran aiwatarwa tare da cikakken shiga.
- Patching da ragewa: kusa da lahani masu amfani da kunna kariyar ƙwaƙwalwar ajiya waɗanda ke iyakance RCE da allurai.
- Tabbatarwa mai ƙarfiMFA da ka'idodin aminci na sifili don hana cin zarafi da kuma rage motsi na gefe.
- Fadakarwa da kwaikwayoHorarwa na aiki akan phishing, takardu tare da abun ciki mai aiki, da alamun kisa mara kyau.
Waɗannan matakan sun cika ta hanyar mafita waɗanda ke bincika zirga-zirgar zirga-zirga da ƙwaƙwalwar ajiya don gano halayen mugunta a ainihin lokacin, haka kuma manufofin rabuwa da mafi ƙarancin gata don ɗaukar tasiri lokacin da wani abu ya zame.
Ayyuka da hanyoyin da ke aiki
A cikin mahallin da ke da wuraren ƙarshe da yawa da babban mahimmanci, gano sarrafawa da sabis na amsa tare da 24/7 saka idanu Sun tabbatar da hanzarta hana faruwar lamarin. Haɗin SOC, EMDR/MDR, da EDR/XDR yana ba da idanu na ƙwararru, wadataccen kayan aikin telemetry, da damar amsawa daidaitacce.
Mafi inganci masu samarwa sun shigar da motsi zuwa hali: wakilai masu nauyi waɗanda daidaita aiki a matakin kernelSuna sake gina cikakken tarihin harin kuma suna amfani da raguwa ta atomatik lokacin da suka gano sarƙoƙi masu ɓarna, tare da iya jujjuyawa don gyara canje-canje.
A cikin layi daya, ɗakunan kariya na ƙarshen ƙarshen da dandamali na XDR sun haɗu da hangen nesa na tsakiya da sarrafa barazanar a cikin wuraren aiki, sabobin, ganowa, imel, da gajimare; manufar ita ce wargaza sarkar harin ko da kuwa ko fayiloli suna da hannu.
Alamomi masu amfani don farauta barazanar
Idan dole ne ku ba da fifikon hasashen bincike, mayar da hankali kan haɗa sigina: tsarin ofis wanda ke ƙaddamar da mai fassara tare da sigogin da ba a saba gani ba, Ƙirƙirar biyan kuɗin WMI Bayan buɗe daftarin aiki, gyare-gyare zuwa maɓallan farawa suna biye da haɗin kai zuwa yankunan da ke da mummunan suna.
Wata hanya mai mahimmanci ita ce dogaro da tushe daga yanayin ku: menene al'ada akan sabar ku da wuraren aiki? Duk wani sabani (sababbin binaries da aka sanya hannu suna bayyana a matsayin iyayen masu tafsiri, kwatsam spikes a cikin aiki (na rubutun, igiyoyin umarni tare da ɓarna) sun cancanci bincike.
A ƙarshe, kar a manta da ƙwaƙwalwar ajiya: idan kuna da kayan aikin da ke bincika yankuna masu gudana ko ɗaukar hotuna, abubuwan da aka gano a cikin RAM Suna iya zama tabbataccen hujja na ayyukan rashin fayil, musamman lokacin da babu kayan tarihi a cikin tsarin fayil.
Haɗin waɗannan dabarun, dabaru, da sarrafawa ba ya kawar da barazanar, amma yana sanya ku cikin mafi kyawun matsayi don gano shi a cikin lokaci. yanke sarkar da rage tasiri.
Lokacin da aka yi amfani da duk waɗannan cikin adalci - wadataccen telemetry na ƙarshen ƙarshen, daidaitawar ɗabi'a, amsa ta atomatik, da taurin zaɓi - dabarar mara fayil tana rasa fa'idarsa. Kuma, ko da yake zai ci gaba da haɓakawa, mayar da hankali ga halaye Maimakon a cikin fayiloli, yana ba da ƙwaƙƙwaran tushe don tsaron ku don haɓakawa da shi.
Edita ya ƙware a fannin fasaha da al'amuran intanet tare da gogewa fiye da shekaru goma a cikin kafofin watsa labaru na dijital daban-daban. Na yi aiki a matsayin edita da mahaliccin abun ciki don kasuwancin e-commerce, sadarwa, tallan kan layi da kamfanonin talla. Na kuma yi rubutu a shafukan yanar gizo na tattalin arziki, kudi da sauran fannoni. Aikina kuma shine sha'awata. Yanzu, ta hanyar labarai na a ciki Tecnobits, Ina ƙoƙarin bincika duk labarai da sababbin damar da duniyar fasahar ke ba mu kowace rana don inganta rayuwarmu.